RGPD, quatre lettres qui ont fait couler beaucoup d’encre. Lors de l’entrée en vigueur du Règlement général de la protection des données, le 25 mai 2018, les oiseaux de mauvais augure prophétisaient que l’Europe se tirait une balle dans le pied. En se dotant d’un dispositif particulièrement contraignant, le Vieux Continent imposait à ses entreprises un frein à l’innovation, un désavantage concurrentiel face à leurs concurrents américains ou chinois, moins regardant en termes de respect de la vie privée.
Cinq ans et quelques scandales plus tard dont celui de Cambridge Analytica et le vent a tourné. Editeurs de logiciels, prestataires cloud, plateformes digitales… tous mettent en avant leur conformité au RGPD comme un argument marketing, un antidote au Cloud Act américain et son principe d’extraterritorialité qui menace les données personnelles y compris celles hébergées sur le sol européen. Le RGPD a d’ailleurs fait des petits. Le 1er janvier 2020, la Californie se dotait d’un California Consumer Privacy Act (CCPA).
« Un cadre réglementaire solide et cohérent »
Avocat spécialisé en droit du numérique, Alexandre Lazarègue regarde le chemin parcouru. Selon lui, le RGPD a instauré « un cadre réglementaire solide et cohérent, garantissant des droits et des obligations clairs pour les individus et les entreprises afin que chacun préserve la maîtrise de ses données personnelles ».
Le RGPD a ainsi renforcé la confiance des citoyens dans la gestion de leurs données personnelles, en offrant des mécanismes de contrôle accrus avec les droits d’accès, de rectification, de portabilité et d’effacement des données. En suscitant un débat public sur les enjeux de confidentialité, il a aussi, d’après le juriste, « joué un rôle clé dans la sensibilisation du public à la protection des données ».
Un mécanisme qui va de pair avec une responsabilité accrue du côté des responsables de traitements de données personnelles. Entreprises comme acteurs publics sont tenus de mettre en place des mesures de sécurité appropriées, obtenir un consentement explicite des personnes concernées pour le traitement des données sensibles et notifier les violations de données dans les meilleurs délais.
Une mise en conformité qui n’est pas un chantier simple à conduire pour les PME et même les ETI. Selon un récent sondage d’Opinionway pour le cabinet Grant Thornton, 17 % des dirigeants d’ETI françaises déclarent ignorer totalement les contours du règlement européen, cinq années après sa mise en application.
Si 69 % des chefs d’entreprises jugent leur niveau de conformité plutôt bon, 27% se disent peu au fait des risques encourus. Parmi les difficultés rencontrées, ils citent la complexité d’évaluation de la conformité des sous-traitants (37 %), le suivi du manque de conformité des contrats fournisseurs et clients (20 %) et la réalisation des analyses d’impact (19 %).
DSA, DMA, Data Act, AI Act
De fait, il n’est pas question pour Alexandre Lazarègue de relâcher les efforts. « Les entreprises doivent continuer à investir dans des programmes de conformité solides et à sensibiliser leurs employés à l’importance de la protection des données. » La vigilance doit être d’autant plus maintenue que se profilent d’autres menaces avec l’évolution rapide de l’intelligence artificielle ou de l’internet des objets (IoT).
De nombreux textes européens sont ainsi venus compléter le droit des données personnelles tels le Digital Services Act (DSA) sur les réseaux sociaux, le Digital Markets Act (DMA) sur les droits de la concurrence des GAFA ou le futur Data Act sur les données des objets connectés en attendant l’AI Act sur l’encadrement des algorithmes d’intelligence artificielle.
En dépit de cet arsenal réglementaire, les GAFA peinent à se discipliner et à respecter scrupuleusement le RGPD en dépit de nombreuses décisions de condamnation sévère en matière d’amendes. Que vaut une amende de 1,2 milliard d’euros pour Meta lorsque le groupe américain a réalisé 116,6 milliards de dollars de chiffre d’affaires en 20202 ?, interroge l’avocat.
Alexandre Lazarègue fait le parallèle avec l’ouverture à la concurrence des télécoms. Certains acteurs historiques ont préféré résister au respect des nouvelles règles et s’exposer à des condamnations judiciaires dans le but de conserver des parts de marché. Face à des géants du numérique, peu prompts à l’autodiscipline, il convient donc, selon lui, de frapper au portefeuille et de pleinement appliquer les sanctions financières prévues par le RGPD, soit jusqu’à 2 ou 4 % du chiffre d’affaires mondial.
A ses yeux, « l’accès au marché européen d’environ 500 millions de consommateurs éduqués disposant d’un bon pouvoir d’achat, friands de ces nouveaux usages, constitue une cible de choix ». Il requiert un ticket d’entrée en termes de respect de la vie privée que les régulateurs doivent faire respecter.
Un demi-milliard d’euros d’amendes depuis 2018
Le régulateur français, la Cnil, a justement publié son rapport d’activité pour l’exercice 2022. La Commission nous apprend qu’elle a traité, pour la première fois depuis l’entrée en application du RGPD, de plaintes qu’elle n’en a reçues. Soit 13 160 plaintes traitées pour 12 193 plaintes reçues. Le fruit de deux ans d’efforts et l’ouverture d’un portail offrant aux usagers la possibilité de suivre leur dossier, de simplifier et de sécuriser les échanges avec la Cnil.
En 2022, l’activité répressive s’est accentuée avec 21 sanctions et 147 mises en demeure pour un montant cumulé des amendes dépassant les 100 millions d’euros. Parmi les organisations concernées, on trouve des entreprises de toutes tailles, y compris des géants du numérique (Google, Meta, Microsoft, TikTok).
Depuis l’entrée en vigueur du RGPD, le montant total des sanctions infligées dépasse le demi-milliard d’euros. La procédure simplifiée qui vise les « dossiers ne présentant pas de difficulté juridique ou technique particulière » permettra à la Cnil de gagner en réactivité. La sanction encourue dans le cadre de cette procédure simplifiée est de 20 000 euros maximum.
Enfin, l’autorité de contrôle s’est mise en ordre de marche pour faire de la prospective et anticiper les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée à travers son Laboratoire d’innovation numérique de la Cnil (Linc) En janvier dernier, elle se dotait d’un nouveau service dédié à l’IA. Il devrait être fortement sollicité dans les mois et années à venir.