Entré en vigueur le 25 mai 2018, le règlement européen sur la protection des données a scellé un cadre harmonisé en matière de traitement de données personnelles au sein de l’Union européenne. L’occasion de dresser un bilan sur cette réglementation fondamentale pour la protection des droits des individus et d’entrevoir les nouveaux défis.
Cinq ans après l’entrée en vigueur du règlement général sur la protection des données (RGPD), la majorité des organismes établis ou exerçant au moins une partie de leur activité sur le territoire de l’Union européenne est consciente de la nécessaire conformité de leurs traitements de données avec ce texte. Toutefois, si certains peuvent se targuer d’être pleinement conformes aux obligations à leur charge, bon nombre peinent encore à finaliser, voire à mettre en œuvre, leur programme de mise en conformité.
Une mobilisation croissante à marche forcée
Le RGPD a opéré un changement de paradigme dans l’approche de la conformité au travers du principe d’« accountability », remplaçant l’exécution de formalités déclaratives trop souvent perçues par les acteurs économiques comme l’alpha et l’oméga des mesures requises. La conformité au RGPD requiert dans un premier temps que les organismes aient correctement cartographié l’ensemble de leurs traitements de données et aient effectivement établi une documentation interne et externe ainsi que les procédures requises. Ils doivent être en mesure d’en justifier. Force est de constater que certains ont connu des difficultés à mobiliser les ressources humaines et financières ainsi que le temps nécessaires à ce chantier.
Plus encore, la conformité ne peut s’entendre que dans la continuité de l’effort entrepris. Le développement de nouvelles activités, le transfert de données vers des pays tiers, l’introduction de nouveaux dispositifs technologiques, sont autant d’événements qui requièrent un étroit suivi des flux de données sous-jacents, afin d’évaluer leur faisabilité au regard de la réglementation applicable et la mise à jour ou l’établissement de nouvelles procédures. La conformité RGPD nécessite, en pratique, la création d’une fonction quasi dédiée au sein de l’entreprise.
Sauf exceptions liées au statut de l’organisme ou à son activité, la désignation d’un délégué à la protection des données (DPO) n’est pas obligatoire. Elle est toutefois encouragée. Fin 2022, près de 350 000 organismes avaient désigné un DPO auprès de la Commission nationale de l’informatique et des libertés (CNIL). Si ce chiffre peut paraître encore faible en proportion du nombre d’organismes soumis au RGPD, il est en constante augmentation chaque année depuis son entrée en vigueur, témoignant ainsi de la mobilisation croissante des acteurs économiques afin d’assurer le respect de leurs obligations réglementaires.
Un enjeu à l’égard des partenaires commerciaux et des individus
Dans le cadre de ses activités commerciales, tout organisme est contraint de justifier auprès de ses clients, et plus généralement de son écosystème, des conditions de traitement des données confiées et des mesures de sécurité y afférentes. La maturité des procédures et les garanties offertes constituent aujourd’hui un véritable avantage concurrentiel dans le cadre des réponses à appel d’offres et des négociations commerciales. La conformité est également un point d’attention incontournable dans les opérations d’acquisition jusqu’à constituer un obstacle dirimant à la réalisation du projet.
Le renforcement des droits des individus sur leurs données, principe fondateur du RGPD, connaît une mise en application notable. D’après les tendances relevées par la CNIL, les signalements de pratiques portant atteinte aux droits des personnes sont en augmentation constante. Depuis 2018, la CNIL reçoit en moyenne chaque année entre 11 000 et 14 000 plaintes, soit environ le double de celles reçues les années précédant l’entrée en vigueur du texte. Dans son dernier rapport d’activité, elle insiste sur le fait que l’ensemble des plaintes reçues ont effectivement fait l’objet d’un traitement par ses services. Rappelons, en outre, que les plaintes constituent l’un des principaux facteurs déclencheurs de contrôles de l’autorité.
Au rang des principales atteintes signalées, la CNIL a relevé, dans ses deux derniers rapports d’activité, celles liées à l’utilisation d’Internet, avec un accroissement des plaintes relatives aux cookies et autres traceurs, la prospection commerciale notamment par voie électronique, la surveillance des salariés entre autres par le biais de dispositifs de vidéosurveillance, ainsi que l’absence de réponse satisfaisante aux demandes de droits d’accès des individus, principalement dans les rapports professionnels/consommateurs et employeurs/salariés.
Une approche répressive à géométrie variable
Force est de constater que, dans l’exercice de leurs pouvoirs répressifs, les différentes autorités de protection des données européennes ont adopté des approches variables. Certaines d’entre elles, à l’image de l’Espagne et de l’Italie, sanctionnent très régulièrement mais infligent des amendes aux montants faibles à modérés. Si la CNIL n’est pas l’autorité à l’initiative du plus grand nombre d’amendes, une soixantaine depuis 2019, elle est, avec le Luxembourg et l’Irlande, celle dont les amendes connaissent les montants les plus élevés, dépassant régulièrement le seuil du million d’euros. Notons, en ce qui concerne l’Irlande, que son positionnement en tête du palmarès ne résulte pas tant d’une approche qui lui serait propre, que des décisions contraignantes du Comité européen à la protection des données, rendues dans le cadre des litiges entre les autorités nationales sur les projets de décisions dont elle a été à l’initiative et marqués par une certaine mansuétude.
Du point de vue des acteurs sanctionnés, les grandes plateformes figurent en haut du classement de ceux s’étant vu infliger les amendes les plus lourdes. Toutefois, les sanctions à l’encontre d’acteurs économiques de taille plus réduite, bien que moins médiatisées, ne doivent pas être minimisées, notamment dans le secteur de la santé. Une manière de rappeler que la conformité est l’affaire de tous.
Les défis à venir
Les systèmes d’intelligence artificielle (IA) et leurs applications multiples sont au cœur des préoccupations des régulateurs. Respect des principes de finalités et de minimisation, durée de conservation, information des personnes et exercice des droits, sont au rang des enjeux de protection face au développement galopant, et quelque peu anarchique, de ces technologies. Devant les récentes actualités en lien avec les IA génératives, telles que ChatGPT, et le déploiement des caméras augmentées dans les espaces publics, notamment à l’occasion des JO 2024, la CNIL a publié un plan d’action visant à répondre aux incertitudes des acteurs face au casse-tête résultant de l’application du RGPD à l’IA. Au-delà de l’enquête en cours visant à instruire les différentes plaintes reçues concernant ChatGPT, la CNIL doit encore se positionner sur des problématiques, telles que la conception de systèmes d’IA et la constitution de bases de données pour l’apprentissage automatique.
Autre défi, pas tout à fait nouveau mais toujours notable, au vu de la récente amende de 1,2 milliard d’euros infligée par l’autorité irlandaise : les transferts de données en dehors de l’Union européenne. Depuis l’annulation par la Cour de justice de l’Union européenne (CJUE) en 2020 du Privacy Shield, accord sur les transferts de données entre les Etats-Unis et l’Union, les organismes peinent à mettre en place des garanties suffisantes permettant d’assurer un niveau de protection adéquat des données transférées. A l’heure où la CNIL a, de manière générale, proscrit l’utilisation de Google Analytics et alors que Meta devrait faire face à une interdiction de transfert des données des utilisateurs européens vers les Etats-Unis, la mise en place d’un nouveau cadre de protection des données transférées est plus que jamais attendu.
