RGPD : ce que l’on a appris, par Alexa King

Dernière mise à jour:

Le 25 mai,premier anniversaire du RGPD. Les entreprises qui traitent les données personnelles des résidents de l’UE ont célébré le premier anniversaire de l’application du Règlement Général sur la Protection des Données (RGPD).

Les deux années qui ont précédé la date de mise en application de 2018 ont vu une ruée sans précédent d’entreprises examinant et modifiant leurs pratiques. Elles devaient essayer d’entrer en conformité avec le RGPD. Il leur fallait aussi éviter une amende potentielle allant jusqu’à 4% du chiffre d’affaires mondial.

Les douze derniers mois, cette ruée a cédé sa place à un rythme plus prudent et délibéré. A mesure que les régulateurs élaborent leur processus d’examen, des centaines de milliers de plaintes ont déjà été déposées. A ce jour, il n’y a eu que très peu d’actions répressives, entraînant des amendes relativement faibles, à mesure que les régulateurs se penchent sur le RGPD et sur les moyens les plus efficaces pour l’appliquer.

Retour sur le Sommet Mondial sur la Protection de la Vie Privée

Une table ronde s’est tenue plus tôt ce mois-ci à Washington D.C. pour le Sommet Mondial sur la Protection de la Vie Privée de l’International Association of Privacy Professionals. Ce rassemblement annuel regroupait 4000 professionnels de la vie privée du monde entier. Helen Dixon, de la Commission Irlandaise de Protection des Données, en conversation avec Elizabeth Denham, de la Commission d’Information du Royaume-Uni, et Andrea Jelinek, Présidente du conseil européen de la protection des données, ont souligné que les enquêtes prennent six mois au minimum. Au cours du cycle d’une requête, les régulateurs déterminent tout d’abord si, à première vue, la pertinence d’une plainte déposée par un résident de l’UE au niveau d’une violation potentielle du RGPD.

Des centaines de milliers de plaintes reçues par les autorités de protection des données au cours de l’année ont simplement été des requêtes d’exclusion des publicités. Cela ne rentre pas dans la réglementation. Dans le cas d’une plainte valide, les régulateurs ont ensuite eu besoin de mieux s’éduquer sur la technologie en question. Cela implique ici naturellement de contacter les entreprises sujettes aux plaintes pour solliciter plus d’informations. 

RGPD, entre plaintes et enquêtes

Un va-et-vient entre les régulateurs et les entreprises sert aussi comme moyen de résoudre les plaintes. En effet, comme l’a souligné Helen Dixon, membre de la commission, il convient d’utiliser des « carottes » plutôt que des « bâtons ». Cette approche fait écho aux commentaires qu’elle avait fait l’année dernière. Elle estime que les amendes ne sont pas les seuls outils que possèdent les régulateurs. La leçon immédiate pour les entreprises est que l’engagement avec les régulateurs peut entraîner de meilleurs résultats que l’évitement.  

Mis à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE. Les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification, et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Et les droits donnés aux consommateurs de l’UE ont des conséquences sur beaucoup de consommateurs ne faisant pas parties de l’UE. Ils bénéficient de pratiques améliorées à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée.

Complaisance et RGPD, une antinomie

Toute rétraction est intrinsèquement risquée. En effet, les évaluations périmées des facteurs relatifs à la vie privée et les inventaires obsolètes donnent lieu à des rapports incomplets sur les activités de traitement des données. Ces derniers révèlent aux régulateurs que le maintien d’un programme de protection de la vie privée mérite probablement d’être examiné de plus près. Une autre question importante est de savoir si les allégations de conformités des entreprises seront vérifiées par des tiers. Ou bien si elles ne seront pas contestées tant que ou à moins que les régulateurs n’aient pas réagi.

Le RGPD donne également l’exemple pour l’amélioration des lois sur la protection de la vie privée aux États-Unis. La loi California Consumer Privacy Act (CCPA), qui prend encore forme, contient des similarités avec le RGPD. Ainsi, elle permet aux Californiens d’accéder aux données personnelles collectées les concernant par des entreprises soumises à la loi. Cependant, le CCPA peut aller plus loin que le RGPD en permettant éventuellement un droit d’action privé. Celui-ci pourrait donner lieu à des recours collectifs. Il se situent en matière de protection de la vie privée contre les entreprises qui violent la loi. La Californie n’est pas la seule dans ce cas. D’autres états transforment en lois les leçons tirées grâce au RGPD.

Ce qui conduit à un ensemble pesant à suivre pour les entreprises. Une conséquence potentielle résiderait dans l’adoption d’une loi fédérale sur la protection de la vie privée. Elle normaliserait les exigences, mais avec peu de chance de devenir une loi avant l’entrée en vigueur de diverses lois étatiques. En attendant, le résultat sèmera très certainement la confusion. Les consommateurs se trouvent dans le flou à propos de leurs droits, de la responsabilité des entreprises, de l’application de la loi et de l’éducation.

Une interprétation encore à venir

On a constaté que la Directive sur le Protection des Données de 1995, était toujours appliquée 23 ans plus tard. Cela avant d’être remplacée par la Réglementation. Le RGPD en est à ses débuts. Il subira sans doute des changements dans son interprétation au fur et à mesure. Cependant, une chose est sûre à propos de ce premier anniversaire de l’application. Le RGPD a déjà façonné de manière drastique l’approche adoptées par des milliers d’entreprises pour la gestion des données. De plus, à mesure que l’environnement de la protection des données et les réglementation le gouvernant évoluent, de nouvelles questions et approches à la confidentialité des données vont continuer à apparaître dans le monde.

Par Alexa KING

Abonnez-vous à la Newsletter