RETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : DROIT DE L'INFORMATION, 6E ÉDITION
Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !
Le RGPD a marqué un tournant majeur dans la manière dont les entreprises et les organisations traitent nos données personnelles. Avant son entrée en application, la collecte et l'utilisation de ces informations étaient encadrées, en France, par la Loi Informatique et Libertés de 1978, révisée en 2004 dans le cadre de la transposition de la directive européenne du 24 octobre 1995 sur la protection des données, mais finalement peu respectée.
Et le cadre juridique était assez hétérogène au sein de l’Union Européenne (UE). Le RGPD a imposé de nouvelles obligations harmonisées aux entreprises, tout en renforçant les droits des citoyens européens.
Un changement de paradigme dans la protection des données
Le RGPD a marqué un tournant majeur dans la manière dont les entreprises et les organisations traitent nos données personnelles. Avant son entrée en application, la collecte et l'utilisation de ces informations étaient encadrées, en France, par la Loi Informatique et Libertés de 1978, révisée en 2004 dans le cadre de la transposition de la directive européenne du 24 octobre 1995 sur la protection des données, mais finalement peu respectée.
Et le cadre juridique était assez hétérogène au sein de l’UE. Le RGPD a imposé de nouvelles obligations harmonisées aux entreprises, tout en renforçant les droits des citoyens européens.
Parmi les principes imposés par le RGPD, on peut citer :
- les règles de licéité : les entreprises doivent définir ce qui justifie la collecte et le traitement de nos données, sans nécessairement s’appuyer sur le consentement ;
- le droit à l'oubli : nous pouvons demander la suppression de nos données personnelles sous certaines conditions ;
- la portabilité des données : nous avons le droit de récupérer nos données personnelles dans un format lisible et de les transférer à un autre service ;
- la notification des failles de sécurité : les entreprises doivent nous informer rapidement en cas de violation grave de données nous concernant ;
- des amendes dissuasives : les sanctions en cas de non-respect du RGPD peuvent atteindre jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise.
Lire aussi : Félicien Vallet : "La Cnil a vocation à créer du "droit souple" dans le domaine de l'IA"
Un impact concret sur les pratiques des entreprises
Six ans après son entrée en application, force est de constater que le RGPD a eu un impact significatif sur les pratiques des entreprises en matière de gestion des données personnelles. De nombreuses organisations ont dû revoir en profondeur leurs processus internes, leurs systèmes d'information et leurs politiques de confidentialité pour se mettre en conformité.
Cette mise en conformité s'est traduite par des changements visibles pour les utilisateurs : la multiplication des « bandeaux cookies » sur les sites web, la mise à jour des conditions générales d'utilisation et des politiques de confidentialité, l’apparition de nouveaux outils pour gérer nos préférences en matière de données personnelles, des communications plus fréquentes des entreprises sur leurs pratiques en matière de protection des données.
Au-delà de ces aspects visibles, le RGPD a également poussé de nombreuses entreprises à repenser leur approche globale de la gestion des données personnelles, en intégrant le concept de « privacy by design » (protection de la vie privée dès la conception) dans le développement de leurs produits et services.
Des sanctions qui commencent à se concrétiser
Si les premières années d'application du RGPD ont été marquées par une certaine clémence des autorités de contrôle, qui ont privilégié la pédagogie à la sanction, la tendance s'est progressivement inversée. Depuis 2020, on observe une augmentation significative du nombre et du montant des amendes infligées pour non-respect du RGPD.
Par exemple, en 2021, Amazon a écopé d'une amende record de 746 millions d'euros au Luxembourg pour des pratiques publicitaires non conformes. En 2022, Meta (Facebook) a été condamné à une amende de 265 millions d'euros en Irlande pour une fuite de données concernant plus de 500 millions d'utilisateurs. En France, la CNIL a infligé des amendes importantes à Google (100 millions d'euros) et Amazon (35 millions d'euros) pour des manquements liés aux cookies.
Ces sanctions, largement médiatisées, ont contribué à sensibiliser les entreprises à l'importance de la conformité au RGPD et à renforcer la crédibilité de la réglementation.
Lire aussi : La Cnil enregistre un nombre record de plaintes
Un modèle qui s'exporte au-delà des frontières européennes
L'un des succès indéniables du RGPD est son influence au niveau international. Cette réglementation européenne est devenue une référence mondiale en matière de protection des données personnelles, inspirant de nombreux pays à adopter des législations similaires.
Aux États-Unis, par exemple, plusieurs États ont adopté des lois s'inspirant du RGPD, comme le California Consumer Privacy Act (CCPA). Au Brésil, la LGPD est largement basée sur le modèle européen. Même la Chine a adopté en 2021 une loi sur la protection des informations personnelles qui reprend certains concepts du RGPD.
Cette influence internationale du RGPD contribue à l'émergence d'un standard global en matière de protection des données personnelles, bénéficiant in fine aux citoyens du monde entier.
Des défis persistants et de nouvelles problématiques
Malgré ces avancées significatives, l'application du RGPD continue de se heurter à plusieurs obstacles. D’abord la complexité du règlement : pour de nombreuses PME, la mise en conformité au RGPD reste un défi technique et financier important.
Par ailleurs, l'extraterritorialité qui permet d’appliquer le RGPD aux entreprises non européennes exerçant sur le territoire de l’UE reste compliquée, notamment pour les géants du numérique basés aux États-Unis.
D’autre part, le manque de ressources des autorités de contrôle, face au volume croissant de plaintes et de signalements, empêche le traitement de tous les dossiers dans des délais raisonnables. Ceci d’autant plus que l'émergence de nouvelles technologies comme l'intelligence artificielle ou la blockchain soulève de nouvelles questions en matière de protection des données personnelles.
Enfin, la sensibilisation des citoyens reste un enjeu majeur : malgré les efforts de communication, de nombreux européens sont encore peu informés de leurs droits en matière de protection des données personnelles.
Et de nouvelles difficultés sont apparues ces dernières années, comme la question du transfert des données personnelles hors de l'Union européenne : l'invalidation successive des deux premiers accords encadrant les transferts entre l'UE et les États-Unis, crée une situation d'incertitude juridique pour de nombreuses entreprises qui se méfient de la durée de vie de l’actuel Data Privacy Framework.
Lire aussi : 4,2 milliards d'euros d'amendes infligées en Europe au titre du RGPD
Vers une évolution du RGPD ?
Face à ces défis, la Commission européenne a lancé en 2024 une évaluation du RGPD, six ans après son entrée en application. Elle pourrait déboucher sur des ajustements de la réglementation pour l'adapter aux évolutions technologiques et aux nouveaux enjeux.
Parmi les pistes envisagées, on trouve le renforcement des moyens des autorités de contrôle, une simplification des procédures pour les PME, un encadrement plus strict des transferts de données hors de l'UE.
Conclusion : un bilan globalement positif, mais des efforts à poursuivre
Six ans après son entrée en application, le bilan du RGPD paraît globalement positif. Le règlement a incontestablement contribué à renforcer la protection des données personnelles des européens et à sensibiliser le grand public à ces enjeux. Il a également eu un impact significatif sur les pratiques des entreprises et est devenu une référence mondiale en matière de protection de la vie privée.
Néanmoins, des défis importants subsistent pour garantir une application effective et uniforme du RGPD dans toute l’UE. Les années à venir seront cruciales pour consolider les acquis de ce cadre ambitieux et l'adapter aux nouvelles réalités technologiques, ainsi que l’articuler avec l’écosystème réglementaire du numérique qui s’étoffe (DMA/DSA/IA ACT ….).
En tant que citoyens, nous avons également un rôle à jouer en restant vigilants sur l'utilisation de nos données personnelles et en exerçant nos droits lorsque cela est nécessaire. C'est à ce prix que nous pourrons pleinement bénéficier de la protection offerte par le RGPD et contribuer à façonner un environnement numérique plus respectueux de notre vie privée.
L'auteur, Patrick Blum, est délégué général de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP).