Mis en application le 25 mai 2018, le RGPD (Règlement général sur la protection des données) a fait couler beaucoup d’encre à l’occasion de son premier anniversaire. Un mois après, et avec un peu plus de recul, nous en dressons un bilan général entre réalisations et perspectives.

Plus de 11 900 plaintes adressées à la CNIL, soit une augmentation de 30 % entre mai 2018 et mai 2019, 2044 notifications de violation de données, environ 19 000 délégués à la protection des données désignés par plus de 53 000 organismes, 8,1 millions de visites sur son site… Ces statistiques françaises publiées par l’autorité administrative sont édifiantes, et pour cause, 70 % des Français se disent aujourd’hui plus sensibles aux problématiques de protection des données, rappelle-t-elle ensuite dans son fameux bilan de la première année d’application du RGPD. Les conséquences de cette prise de conscience des citoyens sont variées : selon un sondage Odoxa, 76 % des Français se disent préoccupés par la collecte de leurs données, et par l’utilisation de celles-ci par des sites web ou d’e-commerce. Une préoccupation qui en amène certains à être méfiants : si 42 % d’entre eux trouvent que les publicités personnalisées sont bien ciblées, ils ne sont aujourd’hui que 41 % à déclarer les apprécier, contre 50 % en 2015. Leurs craintes concernent aussi les grands acteurs du numérique tels que Facebook ou Google, auxquels 57 % ne font pas confiance pour une meilleure protection de leurs données personnelles, malgré les récentes déclarations des deux entreprises en faveur de la confidentialité des données.

Evidemment, ce phénomène est loin d’être exclusivement français et s’est propagé dans une grande partie de l’Union européenne. Au niveau européen, la CNIL fait d’ailleurs état de 144 376 plaintes, de 89 271 notifications de violation de données, et d’une importante coopération avec l’ensemble de ses homologues sur 1013 procédures concernant plusieurs milliers de personnes. La Commission européenne a quant à elle évoqué dans un communiqué de presse 400 affaires transfrontalières ainsi qu’une importante progression dans le processus de sensibilisation au RGPD des citoyens : 67 % des Européens ont déjà entendu parler du RGPD, et parmi les 57 % d’entre eux qui sont au courant de l’existence d’une autorité administrative dans leur pays responsable de leurs droits concernant leurs données personnelles (contre 37 % en 2015), 20 % savent précisément de laquelle il s’agit. Une évolution et des statistiques qui témoignent donc de la pertinence d’une telle réglementation, qui commence d’ailleurs à se développer au-delà de l’Union européenne et à avoir une influence mondiale.

Outre-atlantique, des acteurs privés et publics en faveur de la protection des données

Plusieurs grandes sociétés américaines se sont en effet distinguées en se déclarant favorables à la protection des données personnelles de leurs utilisateurs. Certaines ont même entreprises des actions dans le but de les gérer plus respectueusement.

Apple a sans doute été le premier des GAFAM à prendre ainsi position, notamment via l’un de ses spots publicitaires au nom évocateur : “Vie privée”. Tim Cook, son patron, avait à plusieurs reprises défendu un modèle de gestion des données personnelles aux Etats-Unis semblable au RGPD européen.

Le CEO de Google, Sundar Pichai, n’avait d’ailleurs pas tardé à répliquer, en expliquant l’importance qu’avait la protection des données pour son entreprise, et en critiquant la politique d’Apple de “confidentialité de luxe” réservée aux produits haut de gammes de la marque à la pomme. Parmi les récentes innovations de Google en termes de respect des données personnelles : une option permettant aux utilisateurs de choisir de supprimer automatiquement leurs données personnelles au bout de 3 ou de 18 mois, un nouveau système d’exploitation mobile, Android Q, qui protégera mieux les données personnelles des utilisateurs, ainsi que l’ouverture d’un centre mondiale de sécurité des données personnelles à Munich.

Facebook et Microsoft ne sont pas en reste, le réseau social ayant pour projet la mise en place d’un comité indépendant de protection de la vie privée de ses utilisateurs, et la célèbre multinationale informatique ayant pris l’initiative de séparer les données qu’elle recueille en deux catégories, les requises et les facultatives, et de permettre aux utilisateurs de désactiver la collecte de celles dites facultatives.Evidemment, ces avancées ne sont sans doute pas dénuées d’intérêt : les acteurs plus modestes ayant moins de moyens à injecter dans leur mise en conformité et dans leur communication à ce sujet. Les géants du web profitent donc de leur popularité pour renforcer leur domination et obtenir plus facilement le consentement d’internautes percevant très positivement les entreprises ayant une politique de sécurité et de respect de la vie privée. Malgré cela, il s’agit tout de même d’évolution positives, d’autant plus que cette tendance ne se limite pas aux entreprises privées, mais à de nombreux pays.

“Le rayonnement des principes du RGPD dépasse les frontières de l’Europe. Du Chili au Japon en passant par le Brésil, la Corée du Sud, l’Argentine et le Kenya, nous assistons à l’émergence de nouvelles législations sur la protection de la vie privée, fondées sur des garanties solides, des droits individuels opposables et des autorités de contrôle indépendantes.”, a déclaré la Commission européenne dans son communiqué. Ainsi d’ici 2022, près de 50% de la population mondiale devrait vivre sous la protection d’une réglementation similaire au RGPD, contre seulement 10% aujourd’hui. Si l’Union européenne a proposé à l’Organisation mondiale du commerce un texte prévoyant un règlement international sur la protection des données, le débat est particulièrement présent aux États-Unis encore une fois, à quelques mois de l’entrée en vigueur du California Consumer Privacy Act. Elizabeth Warren, sénatrice démocrate, avait ainsi déposé un projet de loi prévoyant des peines d’emprisonnement pour les dirigeants de grandes entreprises faisant preuve de négligence concernant la protection des données personnelles. Le fondateur du moteur de recherche respectueux des données personnelles DuckDuckGo, Gabriel Weinberg, a lui aussi élaboré un projet de loi baptisé “Do Not Track Act”, ayant pour but d’imposer aux sites web le respect de l’interdiction de suivi, souvent matérialisée au sein des navigateurs et des moteurs de recherche par l’activation d’une fonction nommée Do Not Track. 

Les mentalités semblent donc évoluer et converger vers une volonté de développer à l’échelle mondiale une législation semblable au RGPD. Parallèlement, de nombreuses disparités vis-à-vis de cette réglementation s’observent au sein de l’Union européenne et des Etats qui l’appliquent. 

RGPD : encore d’importantes disparités

sondage

Ainsi, à l’échelle de l’Union européenne, trois pays sont en retard et n’ont toujours pas appliqué le RGPD dans leurs législations nationales : la Grèce, le Portugal, et la Slovénie. Un sondage effectué par Ogury auprès de 287 571 consommateurs à travers le monde révèle que seulement 20 % des individus interrogés affirment mieux comprendre l’utilisation de leurs données par les entreprises, ce qui n’est pas le cas pour 33 % d’entre eux, 47 % avouant même ne pas connaître ce règlement. Pour ce qui est du consentement, 78 % des sondés ne lisent pas les formulaires de collecte intégralement, et 52 % à l’échelle mondiale (58 % en Europe) ne comprennent pas l’utilisation de leur données malgré la lecture de ces formulaires. Pour ce qui est des Français, le sondage Odoxa indique que 50 % d’entre eux ne lisent pas les mentions légales, celles-ci s’avèrant incompréhensibles et complexes à décrypter. 

La confiance des citoyens envers leurs employeurs en termes de sécurisation de leurs données personnelles varie également : si 56 % des Européens affirment que leurs données sont stockées de manière responsable et sécurisé par leurs employeurs, les Français ne sont que 43 % à le penser, un tiers s’inquiétant de la protection de leurs données, et 7 % craignant que trop de données soient conservées sans leur consentement. 

D’ailleurs, plus touchés que les grandes entreprises, les TPE-PME, et les start-ups s’avèrent encore bien en difficulté face à une réglementation complexe à appliquer. Une étude réalisée par Kapersky Lab en fin d’année 2018 auprès de 700 décideurs de PME révèle que 50 % d’entre elles n’ont pas renforcé leurs mesures de sécurité, que 77 % n’ont pas réalisé d’audit de sécurité, et que la moitié ne forme pas ses salariés aux questions de protection des données personnelles et de cybersécurité. Un second sondage d’OpinionWay, auprès de 500 chefs d’entreprises de moins de 250 salariés, nous informe que parmi les 48 % qui ne sont toujours pas certains d’être en conformité, 14 % savent qu’ils ne respectent pas le nouveau règlement, faute de temps, d’accompagnement et de moyens pour effectuer une transition convenable. Des difficultés qui semblent proportionnelles à la taille des entreprises, plus elles sont petites, plus elles ont de mal à appliquer le RGPD : si 49 % des entreprises de moins de 10 employés sont inquiètes face à ce règlement, c’est le cas pour seulement 28 % des sociétés de plus de 150 salariés.

Les start-ups aussi éprouvent également quelques difficultés à se conformer au RGPD. D’après l’étude “Start up Legal Scanner” du Cabinet Murielle Cahen réalisée auprès de 185 start-ups ayant entre 3 et 10 ans d’existence : 

  • 77 % d’entre elles ne respectent pas l’obligation de publier la nouvelle réglementation sur une page de leurs sites internet.
  • S’il est obligatoire de faire apparaître le nom du directeur ou co-directeur de publication au sein des mentions légales, seules 49,5 % le font.
  • Elle ne sont que 37,6 % à avoir publié des Conditions Générales d’Utilisation ou des Conditions Générales de Vente sur leur sites. Ces informations, obligatoires, permettent pourtant aux utilisateurs de prendre connaissance des conditions d’utilisation, de vente, et de leurs droits et obligations lors de l’achat d’un produit ou service sur le site concerné.
  • Seulement 32 % des sites des start-ups renseignent les utilisateurs sur les voies juridictionnelles à emprunter en cas d’incident litigieux. Une information qui permet aux individus de pouvoir recourir à la justice de la bonne manière en cas de conflit.
  • 45 % d’entre elles affichent au sein de leurs mentions légales une clause de limitation de responsabilité dans certains cas, et 2 % des sites en question en contiennent une dont l’explication est erronée.

Des manquements qui s’expliquent facilement pour des start-ups qui privilégient leur croissance économique à l’optimisation de leur conformité aux divers règlements.

Si la première année était encore considérée comme une période de transition pour la mise en conformité des organisations, les entreprises ont tout intérêt à respecter pleinement le RGPD. L’année 2019 marque en effet la fin d’une certaine tolérance due à la nouveauté du texte pour la CNIL, qui a indiqué qu’elle “vérifiera donc pleinement le respect des nouvelles exigences” et “en tirera au besoin toutes les conséquences, y compris en termes de sanction”. Des propos étayés par Marie-Laure Denis, succédant à Isabelle Falque-Pierrotin à la présidence de l’autorité administrative : “l’action de régulation ne peut-être efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre”. 

Afin d’aider les entreprises à opérer leur mise à conformité et à faire levier sur la confiance, Fair&Smart propose des solutions clés en main de gestion des consentements et des demandes d’exercice de droit RGPD.