La question de l’éthique est une dimension importante du numérique responsable. La transparence et le respect de la vie privée sont des éléments fondamentaux de la démarche. La conformité avec le Règlement Général sur la Protection des Données (RGPD) est donc un incontournable de la politique NR. Nous faisons un état des lieux alors que le règlement fêtera son sixième anniversaire en 2024.
Il avait fait grand bruit en 2018, lors de son entrée en application le 25 mai : le Règlement Général sur la Protection des Données plus communément appelé RGPD allait encadrer le traitement des données au niveau européen. Beaucoup d’entreprises s’inquiétaient à l’époque du travail nécessaire pour se mettre en conformité avec cette nouvelle réglementation. Mais il faut rappeler que celui-ci s’inscrivait dans la continuité de la loi française “Informatique et Libertés” datant elle de 1978. Les organisations françaises avaient donc somme toute une longueur d’avance sur bon nombre de leurs voisines européennes.
Profitons donc de ce début d’année pour réaliser un rapide bilan :
- Les objectifs sont-ils atteints ?
- Quelles sanctions sont appliquées ?
- Quelles sont les difficultés rencontrées par les organisations ?
Les objectifs sont-ils atteints ?
Le RGPD a été pensé pour répondre à trois principaux objectifs :
- Renforcer les droits des personnes
- Responsabiliser les acteurs traitant des données
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données
Le premier constat que l’on peut faire, c’est que le pari ambitieux qu’était le RGPD en 2018 a finalement réussi à s’imposer dans toutes les discussions relatives au numérique en Europe. Cela a permis pour la plupart des organisations, même les plus petites, d’avoir une meilleure vision des données qu’elles collectent, et de réfléchir à la gouvernance de ces données, qui deviennent des actifs stratégiques dans le monde extrêmement digitalisé de 2024, comme le rappelait le directeur adjoint à la direction de l’accompagnement juridique de la CNIL dans une interview pour les 5 ans du RGPD.
En parallèle, le règlement a contribué à la sensibilisation des individus aux questions concernant les données personnelles, des simples cookies aux données de santé ou de ressources humaines. Les statistiques de la CNIL parlent d’elles-mêmes : 14 000 plaintes liées à un problème de protection des données ont été déposées en 2021, contre 7 700 en 2016.
Pour responsabiliser les acteurs, et notamment les plus importants collecteurs de données comme les GAFAM, d’autres textes sont venus s’ajouter au RGPD comme le Digital Market Act (DMA), l’IA Act ou encore le Digital Service Act (DSA) que nous avons couvert en synthèse.
La multiplication de ces textes vient questionner le dernier objectif concernant la régulation par les autorités de protection des données : le contrôle est-il assuré par une autorité unique au niveau national comme la CNIL ou par des organismes distincts ?
Nous verrons dans la suite de cet article qu’après plus de cinq ans, la Cour de Justice de l’Union Européenne œuvre encore à l’harmonisation des pratiques entre les 27 instances nationales chargées de la bonne application du règlement. Il faudra donc encore plusieurs années pour que l’articulation entre les différents textes et leur application atteignent une certaine maturité.
Quelles sanctions sont appliquées ?
Au niveau européen, 2,5 milliards d’euros d’amendes ont été prononcés depuis 2018 et 2022. En 2023, Meta avait été sanctionné d'une amende record de 1,2 milliard d'euros en Irlande.
Au niveau français, la CNIL a prononcé plus de 500 millions d’euros d’amendes entre 2018 et 2022. Mais la commission précise dans son rapport de 2022 que “94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la Cnil ne recoure à la sanction”.
Pour une vision plus détaillée des amendes appliquées et de leur motif, vous pouvez consulter cet article recensant les sanctions RGPD prononcées par la CNIL en 2023.
Enfin, la Cour de Justice de l’Union Européenne a rendu le 5 décembre 2023 un arrêt pour préciser et harmoniser les conditions d’imposition en cas d’infraction, ce qui devrait conduire à des amendes plus élevées.
Quelles sont les difficultés rencontrées par les organisations ?
Le constat général fait dans cette interview d’un spécialiste du sujet par Stratégies est que le niveau de maturité est assez hétérogène, et le sujet est encore souvent abordé comme une contrainte plutôt que comme un réel moyen de générer une plus grande confiance vis-à-vis des parties prenantes.
Pour les petites structures, le principal frein est le manque de ressources humaines compétentes en la matière et de ressources techniques. Les profils qui maîtrisent à la fois la réglementation et les enjeux métiers de l’organisation font cruellement défaut.
Pour répondre à ces difficultés, la CNIL propose un guide pratique de la sécurité des données personnelles, mis à jour en avril 2023. La commission a par ailleurs signé un partenariat avec CCI France pour la mise en place d’une offre de services gratuite et la mise en place d’ateliers collectifs numériques, pour “assurer la sécurité juridique” des entreprises et notamment des TPE.