retour

Le RGPD, quel bilan 5 ans après ?

Article Droit de la propriété intellectuelle, média et art | 30/05/23 | 10 min. | Florence Chafiol Alexandra Antalis Stéphanie Lapeyre

Propriété Intellectuelle

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrait en vigueur avec des objectifs ambitieux : accroitre le contrôle des citoyens sur leurs données personnelles, responsabiliser les acteurs, harmoniser l’application de la réglementation sur l’ensemble du territoire européen et renforcer la coopération entre les autorités afin de crédibiliser la régulation dans ce domaine. S’il fut l’objet de vives critiques à cette époque, de nombreux organismes craignant qu’il ne freine l’innovation et le développement économique, il fut également encensé pour la protection qu’il était supposé octroyer aux individus contre le traitement massif et parfois anarchique par les géants du net de leurs données.

5 ans après, le RGPD semble avoir rempli nombre de ses missions mais a également montré ses limites.

  • Une explosion du nombre de plaintes
 
Le RGPD, très médiatisé, a eu le mérite de sensibiliser les citoyens européens à la protection de leurs données à caractère personnel. Les citoyens français sont à ce titre particulièrement actifs, la CNIL ayant recensé en 2022 plus de 12 000 plaintes[1], là où son homologue irlandais en recevait un peu moins de 3000[2]. La récente création par la CNIL d’un dispositif de recueil des signalements permettant à toute personne d’alerter l’autorité d’un manquement au RGPD dont elle a eu connaissance[3] va en outre probablement accroitre encore davantage les saisines au cours des prochaines années.
 
  • Des contrôles de plus en plus fréquents et des montants de sanction records


Le nombre de contrôles réalisés et de mesures adoptées à leur suite[4], ainsi que le montant des sanctions prononcées, ont considérablement augmenté au fil des ans, poussant les organismes à renforcer leur conformité par crainte du préjudice financier et surtout réputationnel auquel un manquement les exposerait. Au total, environ 2,5 milliards d’euros d’amendes ont été infligés en cinq ans par les autorités de protection des données européennes. La CNIL est à ce titre l’une des autorités les plus réactives puisqu’elle comptabilise à elle seule plus de 500 millions d’euros d’amendes depuis 2018.

Ces chiffres doivent néanmoins être relativisés dans la mesure où les sanctions prononcées à l’encontre des GAFAM représentent la majeure partie de ces montants (près de 93% s’agissant de la France). Or, bien que de telles sanctions puissent paraitre impressionnantes (la CNIL a par exemple sanctionné Google à 150 millions d’euros d’amende en 2021), il a plusieurs fois été reproché aux autorités de protection des données (et en particulier à l’autorité de protection des données irlandaise, chargée du contrôle de la plupart des géants du net), de se montrer trop clémentes en limitant le montant des éventuelles sanctions infligées (celles-ci ne représentant qu’une infime portion du chiffre d’affaires de l’entreprise sanctionnée alors que le montant maximal s’élève à 4% du chiffre d’affaire mondial). Le Comité européen de protection des données a d’ailleurs rendu plusieurs décisions demandant à l’autorité irlandaise de revoir à la hausse le montant des sanctions envisagées dans le cadre de procédures contentieuses. Le prononcé dans ce cadre, le 22 mai 2023, d’une amende record d’1,2 milliard d’euros à l’encontre de Meta[5] par l’autorité irlandaise témoigne d’une probable tendance des autorités à se montrer, à l’avenir, bien plus sévères.

  • Une coopération importante entre les autorités de contrôle 


Les autorités de protection des données européennes collaborent de plus en plus efficacement lorsque les manquements au RGPD concernent des traitements transfrontaliers de données. Plus de 809 procédures de coopération ont ainsi été mises en œuvre entre 2018 et 2021, à l’issue desquelles près de 300 décisions ont été adoptées[6]. Si une telle coopération favorise indéniablement une interprétation et une application du RGPD harmonisées en Europe, elle se heurte malgré tout aux différences de procédures entre les pays et aux spécificités légales nationales subsistantes (par exemple s’agissant des règles en matière de santé ou de prospection commerciale) qui en limitent la portée.

  • Une instrumentalisation des droits des personnes  

Le RGPD, en créant de nouveaux droits, en imposant aux acteurs une plus grande transparence sur leurs pratiques et en fixant des modalités d’obtention du consentement plus strictes (comme par exemple la refonte des bannières cookies des sites web, obligeant les internautes à cliquer sur un bouton « accepter » pour consentir au dépôt de traceurs), a indéniablement renforcé la maitrise des individus sur leurs données.

Ces derniers, désormais très au fait de leurs droits, ont cependant de plus en plus tendance à les instrumentaliser pour servir des intérêts annexes. On observe en effet depuis quelques années une augmentation exponentielle du nombre de demandes d’accès aux données (sur le fondement de l’article 15 du RGPD) visant à obtenir la communication de documents utilisés ensuite comme preuves dans le cadre de procédures contentieuses, notamment prud’hommales. Face à ce détournement du droit d’accès, les responsables de traitement se trouvent souvent dans une position délicate, partagés entre leur obligation de respecter le RGPD et leur souhait de ne pas communiquer des éléments susceptibles de les incriminer. Le manque de pragmatisme des autorités à cet égard, qui imposent aux organismes la transmission de toute donnée détenue quelle que soit la motivation de la personne concernée, est criant.
 
  • Des écarts de conformité

Alors que nombre de grandes entreprises atteignent un niveau de maturité notable concernant la conformité au RGPD et allouent, pour ce faire, des ressources importantes, le niveau de conformité des PME et TPE demeure bien souvent encore insatisfaisant. Moins sensibilisées à ces sujets et ne pouvant allouer les moyens financiers et humains nécessaires à la mise en place des nombreux chantiers imposés par le RGPD, elles font souvent figure de mauvais élèves.

Cependant, même au sein des sociétés les plus diligentes, on observe des écarts importants de conformité en fonction des domaines. Certaines obligations sont en effet, même pour elles, difficiles à respecter face aux réalités économiques. A titre d’exemple, de nombreux organismes continuent à avoir recours à des prestataires situés aux Etats-Unis, et ainsi à leur transférer des données, malgré l’invalidation du Privacy Shield et les suites de l’arrêts Schrems II.  
 
  • De nouveaux défis


Le développement de l’intelligence artificielle (IA) soulève des problématiques inédites et amène à s’interroger sur la suffisance et la pertinence du cadre légal actuel pour encadrer correctement l’utilisation des données à caractère personnel par ces nouveaux outils. Le principal défi du RGPD, du règlement à venir sur l’IA et des autorités qui en contrôleront le respect dans les années à venir sera alors de tenter de façonner le développement d’IA respectueuses de la vie privée en accompagnant de manière adaptée et pragmatique les acteurs de ce secteur.

 

[2] Autorité de protection des données irlandaise, 2022 Annual Report

[4] 345 contrôles ont par exemple été réalisés par la CNIL en 2022 aboutissant à 21 sanctions et 147 mises en demeure : https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-la-cnil-presente-le-bilan-2022-de-son-action-repressive

[5] https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf - à noter qu’alors que l’autorité irlandaise souhaitait infliger une sanction de 390 millions d’euros à Meta, le CEPD a estimé que le montant de la sanction devait représenter 20 à 100% du maximum légal applicable à savoir 4% du CA de l’ensemble des entités du groupe Meta.

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement