RGPD : 5 ans, déjà !

Publié le 10/05/2023

Fruit d’un long processus et de nombreux débats au sein de l’Union européenne, le règlement général sur la protection des données (RGPD) fête en ce mois de mai son cinquième anniversaire. Une date symbolique pour un texte majeur à l’heure du tout numérique. Paul Hébert, directeur adjoint à la direction de l’accompagnement juridique de la Commission nationale de l’informatique et des libertés (CNIL), considère que « les citoyens se sont vraiment saisis des droits octroyés par le règlement », en témoigne le nombre de plaintes reçues. Entretien.

Actu-Juridique : Peut-on dire, cinq ans plus tard, que les promesses du RGPD – notamment pour le renforcement de la protection des données personnelles – ont été tenues ?

Paul Hébert : Avant son entrée en vigueur en 2018, le règlement avait semé chez certaines entreprises un vent de panique. Elles craignaient notamment des lourdeurs techniques et administratives quant aux nombreuses obligations qui découlaient du RGPD et la crainte de sanctions immédiates. Néanmoins, l’expérience a montré qu’il n’en fut rien. La plupart d’entre elles disposaient déjà d’une culture « informatique et libertés » et ont eu suffisamment de temps pour s’adapter. Pour rappel, les grands principes de la protection des données datent de 45 ans.

Le RGPD, adopté dès 2016 par les pays membres, a permis d’abord de renforcer la responsabilité des entreprises via une série d’obligations légales et d’ouvrir de nouveaux droits pour les particuliers, notamment le droit à la portabilité des données et le droit à l’oubli. De manière générale, le règlement a permis de fixer un cadre harmonisé au niveau européen pour les entreprises et les citoyens. La portée du RGPD est extraterritoriale puisque son champ d’application concerne toutes les entreprises qui collectent des données personnelles en vue d’offrir des biens et des services en Europe, et ce même si elles se trouvent en dehors de l’Union européenne.

Depuis cinq ans, nous observons que les citoyens se sont vraiment saisis des droits octroyés par le règlement, ce qui crée un effet de souffle sur le nombre de plaintes reçues par la CNIL. En 2021, la CNIL a reçu près de 14 000 plaintes liées à un problème de protection des données, contre 7 700 en 2016.

Actu-Juridique : Les petites entreprises peuvent-elles – et réussissent-elles – à répondre à leurs obligations quant aux traitements et à la sécurisation des données ?

Paul Hébert : Avant de répondre à votre question, permettez-moi d’abord de préciser que le RGPD s’applique à toutes les données personnelles, qu’elles soient collectées directement (exemple : nom, prénom), ou indirectement (exemple : identifiant, numéro de téléphone ou tout élément spécifique propre à l’identité d’une personne). Une donnée personnelle se réfère, selon le RGPD, à « toute information se rapportant à une personne physique identifiée ou identifiable ». L’entrée en application du RGPD a eu pour avantage pour les entreprises, même les plus petites, de mieux structurer leur stratégie de gouvernance des données. Grâce aux obligations du RGPD, elles doivent désormais cartographier, recueillir, classer et sécuriser l’ensemble des données personnelles qu’elles collectent. Et ce qui pouvait relever de la gageure a priori s’avère en réalité très utile dans une société extrêmement digitalisée. Dorénavant, les entreprises doivent également nommer un délégué à la protection des données (DPO) pour veiller à la bonne application du texte au sein de l’organisme qui le désigne. Ces délégués jouent un véritable rôle de chef d’orchestre de la bonne gestion et gouvernance des données. Aussi, le règlement a eu pour effet positif d’engager les acteurs économiques dans une meilleure prise en compte du risque cyber, avec la définition d’impératifs très clairs et intangibles afin de sécuriser les données personnelles. Les entreprises sont notamment obligées d’identifier les sources de risques, de formaliser des processus en cas d’attaque ou encore d’établir un registre des violations des données.

L’ensemble de ces avancées est néanmoins moins aisé à appréhender, il est vrai, pour les plus petites structures qui ne disposent pas toujours des ressources humaines et techniques nécessaires. C’est pour répondre d’ailleurs à cette problématique que la CNIL met à disposition, en libre accès sur son site, des guides pratiques et des outils tels que le modèle de registre.

Actu-Juridique : À ce propos, pouvez-vous nous expliquer le rôle de la CNIL vis-à-vis du RGPD ?

Paul Hébert : Chaque pays membre dispose d’une autorité de protection des données à caractère personnel qui veille à la bonne application du RGPD. En France, la CNIL a cette charge-là. Et pour bien l’exécuter, nous avons principalement trois missions. La première vise à accompagner, quelle que soit leur taille, les entreprises ou les acteurs publics dans leurs démarches de conformité au RGPD. Une charte d’accompagnement a été publiée par la CNIL et elle est l’une des autorités qui a le plus développé des offres d’accompagnement favorisant l’innovation et les modèles d’affaires respectueux du RGPD. Ensuite, la CNIL a un rôle de protection des citoyens et de « gendarme » des données personnelles. Nous veillons ainsi à ce que les citoyens puissent faire valoir leurs droits quant au traitement de leurs données. À cet effet, nous recueillons des plaintes et menons des enquêtes. En 2022, près de 12 000 plaintes ont été déposées auprès de la CNIL. Celles-ci ont débouché sur 350 contrôles, 147 mises en demeure et 21 sanctions pour un montant de 101 millions d’euros. En l’espace de cinq ans, la Commission a prononcé des sanctions pour un total d’un demi-milliard d’euros. C’est un niveau évidemment sans commune mesure avec les montants en vigueur avant le RGDP. Parmi les entreprises sanctionnées pour des manquements, citons Google (150 millions d’euros en 2021), Microsoft (60 millions d’euros en 2022) ou encore Amazon (35 millions d’euros en 2020).

Par ailleurs, la Commission veille aussi à informer les particuliers et les professionnels sur leurs droits et leurs devoirs. Cela passe bien sûr par la communication, l’accès à notre site internet et les informations publiées, mais aussi par l’organisation ou la participation à des conférences ou colloques.

Actu-Juridique : Qu’en est-il de la coopération européenne ? Fonctionne-t-elle bien ?

Paul Hébert : Elle a été, sans aucun doute, sensiblement renforcée car il a fallu que les autorités s’adaptent au nouveau mode de coopération prévu par le RGPD. Les 27 instances nationales chargées de la bonne application du RGPD au sein des États membres sont réunies au sein du Comité européen de la protection des données (CEPD). Cet organe européen veille notamment à garantir l’application cohérente du règlement et à renforcer la coopération entre les instances pour les affaires transfrontalières notamment. Pour ce faire, le CEPD adopte des lignes directrices applicables à toutes les instances nationales afin de clarifier des dispositions ou des sujets précis. Qu’est-ce qu’un consentement valable ? Comment réalise-t-on une analyse d’impact ? Voilà certaines des problématiques sur lesquelles s’est penché le CEPD pour que tous les États membres disposent d’une même lecture du RGPD. En matière de coopération en matière de sanction, les autorités de protection de données ont également fourni d’importants efforts même si des choses peuvent toujours être améliorées.

Au niveau européen, 2,5 milliards d’euros d’amendes ont été prononcés par les 27 instances nationales responsables de la protection des données personnelles. À titre d’exemple, l’autorité irlandaise a infligé en décembre dernier plusieurs amendes au groupe Meta (anciennement Facebook, Ndlr) pour un montant de 390 millions d’euros. Cette décision faisait suite à des plaintes concernant les activités de traitement du groupe.

Actu-Juridique : Après 5 ans d’exercice du RGPD, observez-vous encore des manquements pour une protection efficace des données personnelles ?

Paul Hébert : Oui, il est encore possible, il me semble, d’améliorer la coopération européenne. Les pratiques développées depuis cinq ans nécessitent du temps pour être pleinement efficientes. Les échanges, par exemple, peuvent être encore renforcés pour une meilleure protection des données personnelles. Par ailleurs, certaines procédures liées au dépôt de plainte ou à la répression ne sont pas encore tout à fait harmonisées dans tous les États membres. La Commission européenne a d’ailleurs annoncé, le 20 février dernier, une initiative pour coordonner certaines procédures relatives au RGPD.

D’autre part, il faudra être vigilant, à l’avenir, à la bonne articulation entre l’application du règlement et d’autres textes qui réguleront l’espace numérique européen (marchés numériques, services numériques, intelligence artificielle, etc.). L’enchevêtrement de problématiques et d’enjeux peut parfois conduire à des contradictions ou des blocages qui nuisent nécessairement aux objectifs souhaités.

Actu-Juridique : Faut-il s’inquiéter du recours prévu à la vidéosurveillance dite « intelligente » lors des Jeux Olympiques et Paralympiques de 2024 ?

Paul Hébert : La CNIL a publié, en janvier dernier, un avis sur le projet de loi relatif aux Jeux Olympiques et Paralympiques de 2024. Celui-ci contient de nombreux enjeux pour la protection des données personnelles et notamment en raison du déploiement de caméras dites « intelligentes » pour prévenir par exemple des problèmes de mouvements de foules. Le déploiement de ces dispositifs constitue un tournant qui va contribuer à définir le rôle général qui sera attribué à ces technologies, et plus généralement à l’intelligence artificielle. Dans l’état actuel du projet de texte, le législateur a prévu des garanties, en particulier les dispositifs qui seront utilisés ne seront pas biométriques et ne permettront pas d’identifier un individu dans une foule. De façon plus générale, et à l’instar de ce que je vous disais plus tôt, ce projet de loi soulève des questions liées à l’intelligence artificielle (IA). Nous ne sommes qu’aux prémices, pourrais-je dire, du sujet. C’est d’ailleurs pour cela que la CNIL a créé un nouveau service dédié à cette seule question de l’IA. Ce service sera composé de juristes et d’ingénieurs spécialisés et aura pour mission de renforcer l’expertise de la Commission, de préparer l’entrée en vigueur du règlement européen sur l’IA et de mieux accompagner et informer les parties prenantes sur ce sujet.

Plan