Le 25 mai 2018, entrait en application le règlement général sur la protection des données (RGPD). Ce texte avait pour principal objectif de redéfinir les droits des citoyens et les obligations des entreprises en matière de données personnelles dans toute l’Union Européenne.

Prise de conscience et augmentation du nombre de plaintes

L’entrée en application du RGPD a marqué une prise de conscience des enjeux de protection de données auprès des professionnels mais surtout des particuliers. Pour preuve, selon un sondage IFOP réalisé en avril pour la Commission nationale de l’informatique et des libertés (CNIL), 70 % des français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.

La CNIL a expliqué avoir reçu 11 077 plaintes soit une augmentation de 32 % qui sont directement imputables au RGPD. Ceci s’explique par le fait que ce nouveau cadre juridique n’est pas passé inaperçu auprès des citoyens – médiatisation du texte et importance croissante de la question des données personnelles aidant.

Ces plaintes portent sur :

  • la diffusion de données sur internet (373 demandes de déréférencement, droit désormais consacré par le RGPD.) Il s’agit pour les personnes de demander la suppression de données les concernant sur internet (nom, prénom, coordonnées, commentaires, photographies, vidéos, comptes, etc.) Ces plaintes traduisent les difficultés rencontrées par les personnes pour maîtriser leur vie numérique, et notamment leur réputation en ligne : 35,7% ;
  • le secteur marketing/commerce : 21% ;
  • les ressources humaines : 16,5% ;
  • la banque et le crédit : 8,9% ;
  • le secteur santé et social : 4,2%.

D’ailleurs, il n’y a pas qu’en France que le nombre de plaintes a augmenté. Le constat est le même chez notre homologue irlandais qui a reçu lors de la première année d’application du RGPD deux fois plus de plaintes (6 624) que pour l’année 2017 toute entière.

Une amende exemplaire contre un géant du web

Les associations La Quadrature du Net et None of your business ont déposé deux plaintes contre Google. En effet, elles lui reprochaient de ne pas disposer d’une base juridique valable pour traiter des données personnelles des utilisateurs de ses services, notamment pour personnaliser les publicités. Suite à ces deux plaintes, la CNIL a d’abord procédé, en septembre 2018, à un contrôle en ligne pour vérifier la conformité au RGPD et à la loi informatique et libertés de Google pour les traitements de données personnelles. Elle a ainsi analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile Android. Le constat fut sans appel :

  • manque de transparence,
  • manque d’information adéquate,
  • absence de consentement explicite préalablement recueilli.

Suite à ce constat, la CNIL a décidé de lui infliger une amende record de 50 millions d’euros. D’autres plaintes ont été déposées contre Facebook, Amazon et LinkedIn qui ont à ce jour reçu aucune sanction.

Des sanctions trop légères

Malgré cette amende record, selon une étude du cabinet d’avocat DLA Piper, seulement 91 amendes ont été prononcées depuis l’entrée en vigueur du RGPD par les autorités de contrôle des données personnelles. En tout, ce sont un peu moins de 56 millions d’euros d’amendes qui ont été infligés depuis mai 2018, Google compris.

Dans les colonnes du Monde, la nouvelle présidente de la CNIL expliquait qu’un an après l’entrée en application du RGPD, c’était « la fin d’une certaine forme de tolérance ». Lors d’une conférence il y a quelques jours, son homologue irlandaise a promis « pour les mois qui viennent » les « résultats » des nombreuses enquêtes menées par son administration.

Pour conclure, on peut dire que le RGPD a enclenché une prise de conscience au sein des entreprises. La donnée est certes un actif essentiel pour elles, mais la confiance des utilisateurs dans le numérique l’est tout autant. Cela peut même devenir un avantage concurrentiel. Elles ont parfois pris du retard dans leurs nouvelles obligations mais le rattrapage est en cours, du moins on l’espère ! Il est important de noter que 18 000 délégués ont été désignés pour veiller à la protection des données. La CNIL va continuer à accompagner les entreprises cette année. Elle a d’ailleurs lancé un MOOC pour aider les personnes à se familiariser avec le RGPD. Cette initiative est l’une des nombreuses actions mises en œuvre par la CNIL.