Peu de temps après le premier anniversaire du Reglement General sur la protection des données (RGPD), la Commission européenne a récemment publié les résultats de deux enquêtes destinées à éclairer tous publics sur le RGPD et son application pratique (lire).
Le RGPD est applicable au sein de l’UE depuis le 25 mai 2018 et depuis lors presque tous les États membres ont modifié leur législation nationale les modifications apportées par ce règlement. L’objectif du RGPD est d’harmoniser les règles aux seins des etats membres, de renforcer la transparence et le contrôle des utilisateurs (personnes concernées) sur leurs données personnelles ainsi que renforcer la responsabilisation des entreprises tout en garantissant la libre circulation des données personnelles entre les États membres de l’UE. La protection des données personnelles est désormais un droit fondamental dans l’Union européenne. Le premier sondage, l’Eurobaromètre spécial 487a (l ’« Eurobaromètre »), avait pour objectif d’appréhender la sensibilisation du public au RGPD, ainsi que son application pratique et leurs opinions sur les questions de protection des données.
L’Eurobaromètre s’est concentré sur les questions adressées aux utilisateurs (personnes concernées) parmi lesquelles:
- Leur utilisation d’Internet et activité sur les réseaux sociaux comme sur les plateformes d’achat en ligne;
- Leur connaissance du RGPD, de leurs droits comme des différents recours qu’ils peuvent adresser aux autorités de contrôle chargée de l’application du RGPD ;
- Leur perception de contrôler leurs données personnelles;
- Leur niveau d’appréhension sur la possible maîtrise de leurs données personnelles;
- Leur réaction vis à vis aux informations qu’ils reçoivent en lien avec la manière dont leurs données personnelles sont collectées et utilisées (y compris l’utilisation potentielle ultérieure) de leurs données personnelles;
- Leur attitude vis-à-vis des politiques de confidentialité, le pourcentage de personnes qui lisent les politiques de confidentialité en ligne et les raisons pour lesquelles ils ne les lisent pas (totalement); et
- Leur aptitude à utiliser les paramètres de confidentialité et, lorsque cela est applicable, les raisons pour ne pas modifier les paramètres par défaut.
Les résultats de l’Eurobaromètre ont été publiés lors de la célébration de son anniversaire le 13 juin, qui avait pour thème « Un an d’application du GDPR : faire le point dans l’UE et au-delà ».
La Commission européenne a également publié le rapport qui a été rédigé par le groupe d’experts multipartite du RGPD , un comité composé d’universitaires, de praticiens du droit et de représentants des milieux d’affaires et de la société civile qui soutiennent la Commission européenne quant à l’application du RGPD.
Le rapport met en exergue les principaux retours des membres du groupe d’experts multipartites du RGPD en mettant l’accent sur les aspects suivants :
- L’impact du RGPD sur l’exercice des droits des personnes concernées (les utilisateurs);
- Les défis liés au recueil d’un consentement valable de la personne concernée par l’ensemble de l’écosystème impliqué dans le traitement des données personnelles;
- Le nombre de plaintes et d’actions en justice introduites depuis l’application du RGPD;
- Les expériences avec les autorités de protection des données et le mécanisme de guichet unique;
- Le retour d’information sur la mise en œuvre du principe de responsabilité et de l’approche fondée sur les risques;
- Les interactions avec les responsables de la protection des données;
- Le retour d’information sur la relation contrôleur / sous-traitant;
- La nécessité d’adapter / développer d’avantage les clauses contractuelles comme celles encadrant les transferts internationaux comme le Privacy Shield; et
- les ajustements engendrés par le RGPD dans les législations nationales des États membres.
La Commission européenne a publié le 24 Juillet un rapport sur l’impact du RGPD et sur les moyens d’améliorer davantage sa mise en œuvre. Le rapport conclut que la plupart des États membres ont mis en place le cadre juridique nécessaire et que le nouveau système renforçant l’application des règles sur la protection des données est en cours d’implémentation. Les entreprises commencent à développer une culture de conformité en la matière, tandis que les utilisateurs prennent davantage conscience de leurs droits. En même temps, la convergence vers des normes élevées de protection des données progresse au niveau international. Le RGPD a sensibilisé les citoyens européens aux règles de protection des données et à leurs droits mais seulement 20% des européens savent quelle autorité publique est chargée de protéger leurs données. La Commission européenne a donc lancé cet été une nouvelle campagne visant à encourager les personnes concernées à lire les politiques de confidentialité et à optimiser leurs paramètres de confidentialité.
Frans Timmermans, premier vice-président de la Commission européenne, a déclaré:
«L’Union européenne s’efforce de rester à la pointe de la protection des droits de la personne dans le cadre de la transformation numérique, tout en profitant des nombreuses possibilités pour l’emploi et l’innovation qui l’accompagnent. Les données prennent une valeur inestimable dans une économie numérique en plein essor et jouent un rôle de plus en plus crucial dans le développement de systèmes innovants et de l’apprentissage automatique. Il est essentiel que nous puissions façonner le paysage mondial dans lequel s’inscriront le développement et l’utilisation correcte de la révolution technologique, tout en respectant pleinement les droits individuels.»
Le rapport constate que tous les États membres sauf trois – la Grèce, le Portugal et la Slovénie – ont mis à jour leurs lois nationales sur la protection des données conformément aux règles de l’UE. La Commission continuera à surveiller les lois des États membres et de veiller à l’application effectif du RGPD et si nécessaire, la Commission n’hésitera pas à utiliser les outils à sa disposition, y compris l’ouverture de procédures d’infractions à l’encontre des pays qui ne sont pas en conformité pour s’assurer que les États membres transposent et appliquent correctement les règles. La Commission européenne appelle aussi l’Allemagne à la désignation d’un DPO dans les entreprises de 20 salariés ou plus. De plus, la commission constate que le respect de la réglementation a aidé les entreprises à renforcer la sécurité de leurs données et à développer la confidentialité comme un avantage concurrentiel.
Le règlement a aussi donné davantage de pouvoirs aux autorités nationales de protection des données pour appliquer les règles. La Commission européenne constate que les autorités nationales de protection des données collaborent plus avec le Comité européen de la protection des données (CEPD) et incite le CEPD à jouer un rôle plus actif dans les enquêtes menées. Finalement, le rapport indique que les pays à travers le monde utilisent de plus en plus la norme de protection des données de l’UE comme point de référence pour se doter de règles modernes de protection des données. Ce qui ouvre de nouvelles possibilités de sécurisation des flux de données entre l’UE et les pays tiers avec comme voeux pieux d’arriver à l’adoption de règles internationales harmonisées rangeant les égos de souveraineté pour le bien commun des utilisateurs, des régulateurs comme des acteurs de l’industrie.
À l’approche du 25 mai 2018, nombreuses organisations, quelles que soient la zone géographique ou la nature de la responsabilité sur les traitements, ont été confrontées à ces nouvelles règles européennes en matière de protection des données personnelles avec inquiétude notamment à cause des amendes extrêmement lourdes pouvant être infligées pour violation du RGPD: certaines infractions peuvent être punies d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel total réalisé dans le monde ou de l’exercice financier (le plus élevé des deux).
Un an après, une première vague de sanctions ont été prononcées et de nombreuses enquêtes sont cours ou annoncées. La CNIL a infligé une amende de 50 millions d’euros à Google pour «pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité». L’autorité portugaise chargée de la protection des données (CNPD) a infligé une amende de 400 000 euros au Centro Hospitalar Barreiro Montijo pour trois violations du RGPD. Le Commissaire d’État à la protection des données et à la liberté d’information du Bade-Wurtemberg en Allemagne a infligé une amende de 20 000 € (22 500 $) à la société Knuddels suite a un piratage informatique ayant entraîné la divulgation non autorisée d’environ 808 000 courriers électroniques d’utilisateurs et mots de passe.
Ce règlement, malgré le fait qu’il soit encore jeune, fait l’objet de toutes les attentions. Les régulateurs comme les entreprises continuent d’en déterminer son impact au fil des mises en conformité et des réactions. Ces rapports nous donnent une image plus large et meilleure du niveau de conformité de chacun. Ce texte de compromis est, pour ceux qui ont entamé l’ensemble des règles érigées par le RGPD, perçu comme un opportunité.
Et vous, souhaitez-vous savoir où vous en êtes dans vos démarches de mise en conformité ou avez vous besoin d’assistance sur répondre à des besoins spécifiques ?