Le Règlement général sur la protection des données est le règlement sur la protection des données personnelles des utilisateurs entré en vigueur dans l’Union européenne le 25 mai 2018. Il traite de la protection des données des résidents de l’UE et de l’exportation de données à caractère personnel hors des zones de l’UE et de l’EEE (Espace économique européen). À sa sortie, il a bouleversé le fonctionnement de bon nombre d’entreprises ainsi que la façon dont elles traitent les données sensibles. Pour ces entreprises, il faut s’adapter à la nouvelle loi. Pour en savoir plus sur le RGPD, vous pouvez vous référer à ce guide pratique pour les développeurs.

Quelques mois après sa promulgation, DLA Piper, un cabinet d’avocats international a présenté dans un rapport l’état de la situation sous le RGPD. Le cabinet mentionne dans son rapport qu’en seulement huit mois, il y a eu pas moins de 59 000 violations signalées dans 28 pays de l’EEE pour seulement 91 amendes infligées. À la lecture du rapport, on remarque que les plus gros chiffres de violations de données proviennent de l’Allemagne, du Royaume-Uni et des Pays-Bas. Ces derniers sont en tête avec 15 000 violations signalés, puis 12 600 pour l’Allemagne et enfin 10 600 dans le cas du Royaume-Uni. Par contre, les infractions signalées les plus faibles ont été enregistrées au Liechtenstein, en Islande et au Chypre, avec respectivement 15, 25 et 35 infractions signalées.

Sur la base des chiffres mentionnés en haut, une pondération du nombre d’infractions en fonction du nombre d’habitants montre que : les Pays-Bas présentent en tête de liste un taux de 89,8 infractions rapportées pour 100 000 habitants, suivi de l’Irlande et du Danemark. Sur les 26 pays de l’EEE où des données de notification d’infractions sont disponibles, le Royaume-Uni, l’Allemagne et la France se sont classés respectivement dixième, onzième et vingt-et-unième, sur la base d’une amende déclarée par habitant. La Grèce, l’Italie et la Roumanie ont signalé le plus petit nombre d’infractions par habitant.

Pourraît-on dire que le RGPD est plus observé dans les pays où les infractions sont les plus faibles ?

Les amendes infligées quant à elles, sont de l’ordre de 91 dans les premiers huit mois du RGPD. Le plus important et le plus marquant est l’amende infligée à Google par la CNIL en janvier dernier. L’autorité française a requis une amende de 50 millions contre la firme pour mésinformation de ses utilisateurs sur l’utilisation de leurs données personnelles à des fins publicitaires. Cependant, DLA Piper a rappelé dans son rapport que toutes les violations citées ne concernent pas seulement des violations de données à caractères personnels, mais également d’autres violations du règlement général. Le cas de Google s’inscrit dans cette dernière catégorie.

Le RGPD protège-t-il pleinement les données personnelles des utilisateurs ?

En raison du nombre élevé d’infractions signalées en seulement 8 mois, beaucoup se demandent si le RGPD joue pleinement son rôle. Beaucoup partagent leurs avis sur la chose comme l’a fait Ross McKean, un partenaire du cabinet d’avocats, spécialiste de la protection des données. Pour lui, il semblerait que le règlement soit la cause principale de la montée remarquable du nombre d’infractions. « Le RGPD change complètement le risque de conformité pour les organisations qui subissent une violation de données personnelles en raison d’amendes basées sur les revenus et le potentiel de demandes d’indemnisation du groupe de style américain. Comme nous l’avons vu aux États-Unis au moment de l’entrée en vigueur des lois sur les notifications d’infraction obligatoires, assorties de sanctions sévères pour non-notification, le RGPD a ouvert la voie à la violation de données à caractère personnel. Notre rapport le confirme avec plus de 59 000 violations de données signalées à travers l’Europe pendant les huit premiers mois suivant l’entrée en vigueur du RGPD », a-t-il déclaré.

Dans le même temps, un autre de leurs partenaires spécialiste des enquêtes informatiques remarque qu’avec les amendes qui deviennent de plus en plus lourdes (cas de Google), les entreprises vont se ranger dans l’ordre et les infractions pourraient diminuer d’ici les mois à venir. « Il est à noter que les autorités de réglementation traiteront plus sévèrement les atteintes à la protection des données en infligeant des amendes plus lourdes compte tenu du risque plus élevé de préjudice pour les individus. Nous pouvons nous attendre à ce que d’autres amendes soient infligées au cours de la prochaine année », a-t-il expliqué pour se justifier.

Rappelons que la CNIL (Commission Nationale de l’Informatique et des Libertés) avait publié en septembre un premier bilan faisant état des lieux. L’organisme indépendant public a déjà constaté une hausse significative des plaintes relatives à la vie privée. Cette hausse, selon la CNIL, est le signe que les citoyens se sont fortement appropriés du RGPD. La CNIL a mis cet intérêt des citoyens pour le nouveau règlement à l’actif du coup de projecteur médiatique important récemment sur la protection des données : RGPD, Cambridge Analytica, etc.

Six mois après l’entrée en vigueur du RGPD, la CNIL avait publié en novembre 2018 à nouveau un rapport. On y apprend que l’organisme a reçu 2018 9700 plaintes, soit une hausse de 34 % de plus qu’en 2017 sur la même période. Sur ces plaintes, 6000 ont été reçues après le 25 mai. Cette hausse peut être expliquée par la sensibilité de plus en plus accrue des Français à la protection des données notamment après l’entrée en application du RGPD.

« On constate, dans le cadre de l’instruction de ces plaintes, qu’elles sont l’occasion, pour les organismes mis en cause, de repenser leur organisation notamment au regard de l’information des personnes et des modalités d’exercice des droits, comme le droit d’accès. En effet, les organismes reçoivent énormément de demandes de droit d’accès notamment, ce à quoi ils n’étaient manifestement pas assez préparés, » a écrit la CNIL dans un communiqué.