Publications

Le RGPD, 2 ans après : bilan et perspectives

Publié le 14 juillet 2020

Entré en application depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a fait couler beaucoup d’encre, et le dernier rapport de la Commission européenne à son sujet ne déroge pas à la règle.

Prévu par l’article 97 du RGPD pour être publié au plus tard le 25 mai 2020 et tous les quatre ans par la suite, ce rapport sur l’évaluation et le réexamen du Règlement a donc été présenté au Parlement européen et au Conseil en juin dernier et met en avant que le RGPD a atteint la plupart de ses objectifs.

Pour Bruxelles, le RGPD est devenu une référence et a joué un rôle de catalyseur pour de nombreux pays et régions du globe qui réfléchissent à la manière de moderniser leurs règles en matière de protection de la vie privée. Le texte s’est aussi révélé être un outil souple pour aider l’élaboration de solutions numériques dans des circonstances imprévues telles que la crise du COVID-19.

Dans son rapport, la Commission se félicite d’un certain nombre de points positifs tout en attirant l’attention sur le fait que des efforts restent nécessaires.

Věra Jourová, vice-présidente chargée des valeurs et de la transparence, a ainsi déclaré :

« Le RGPD illustre parfaitement comment l’Union européenne, en adoptant une approche fondée sur les droits fondamentaux, donne à ses citoyens les moyens d’agir et offre aux entreprises des possibilités de tirer le meilleur parti de la révolution numérique. Mais nous devons tous continuer à œuvrer pour que le RGPD réalise son plein potentiel ».

1. Un compte rendu relativement positif

Au-delà de conférer aux citoyens, sur le papier, un ensemble solide de droits applicables, la Commission européenne note que les citoyens sont mieux armés car davantage responsabilisés et conscients des droits que le RGPD leur confère, ce qui renforce la transparence et rend ces droits exécutoires.

En effet, selon les résultats d’une enquête de l’Agence des droits fondamentaux de l’Union européenne, 69 % de la population de l’UE âgée de plus de 16 ans connaissent aujourd’hui l’existence du RGPD tandis qu’ils sont 71 % à avoir entendu parler de leur autorité nationale chargée de la protection des données.

Quant aux entreprises, la Commission note avec satisfaction qu’avec le RGDP, ces dernières, y compris les PME, disposent dans toute l’Union européenne d’un référentiel unique qui établit des conditions de concurrence équitables avec les entreprises non européennes qui exercent leurs activités sur le territoire de l’Union. Ainsi, la protection des données devient progressivement un élément essentiel dans les choix des consommateurs. C’est la raison pour laquelle le rapport énumère à l’intention de toutes les parties prenantes des actions visant à faciliter davantage l’application du RGPD, afin de promouvoir et de continuer à développer une véritable culture européenne en matière de protection des données.

Le rapport note également que le RGPD a été conçu sur une approche fondée sur le risque et technologiquement neutre, ce qui offre au règlement une grande flexibilité pour s’adapter aux risques des traitements, y compris liés aux technologies émergentes. Cette approche a pu s’illustrer lors de la crise liée au COVID-19, et devrait se montrer adaptée dans le futur cadre de l’UE pour l’intelligence artificielle.

Autre avancée majeure : la sécurisation des transferts internationaux de données personnelles. La décision d’adéquation en faveur du Japon a ainsi permis à l’Union européenne de disposer avec ce dernier depuis janvier 2019 de la plus grande zone de libre circulation sécurisée de données au monde. La Commission indique aussi que le processus d’adéquation est désormais avancé avec la République de Corée et certaines discussions ont commencé avec des pays d’Asie et d’Amérique du Sud. Sans compter le Royaume-Uni pour lequel une décision d’adéquation est bien évidemment la meilleure solution, même si cela implique qu’il réponde aux conditions demandées par l’UE.

La nécessité de vérifier que ces mécanismes d’adéquation procurent aux citoyens européens une protection effective est, en revanche, toujours au cœur des débats : on relève ainsi qu’elle  mentionnée dans le rapport, où il est fait référence au jugement très attendu de la Cour de justice de l’Union européenne, le 16 juillet prochain, sur l’affaire Schrems dans lequel la Cour devrait « apporter des clarifications » sur la légalité du transfert des données personnelles entre l’UE et les États-Unis.

2. Des améliorations requises

Si l’harmonisation du niveau de protection des données progresse dans l’Union européenne, le rapport déplore une certaine fragmentation qu’il faut surveiller en permanence.

Si l’on prend par exemple le mécanisme du guichet unique, l’on se rend compte qu’il n’est pas beaucoup utilisé : seuls 141 projets de décisions ont été soumis dont 79 ont abouti à une décision définitive. Pour rappel, ce mécanisme a été créé par le RGPD et permet à une société traitant des données dans un contexte transfrontalier de n’avoir pour interlocutrice qu’une seule autorité de protection des données, à savoir l’autorité de l’État membre dans lequel est situé son établissement principal. Au regard de cette description, le nombre de projets soumis aux autorités de contrôle dans ce cadre parait faible.

La coopération des autorités de protection des données est un autre élément pour lequel, selon la Commission européenne, des améliorations sont possibles. En effet, même si ces dernières collaborent dans le cadre du Comité européen de la protection des données (CEPD), le traitement des dossiers transfrontalier par exemple, requiert selon elle une approche plus efficace et plus harmonisée ainsi qu’une utilisation effective de tous les outils prévus dans le RGPD.

De même, la coopération internationale est un autre point sur lequel la Commission aimerait voir une évolution. En effet, dans la mesure où le non-respect des règles en matière de protection de la vie privée peut toucher simultanément un grand nombre de personnes dans plusieurs régions du monde, le rapport demande une intensification de la coopération internationale entre les instances chargées de veiller à la protection des données. C’est la raison pour laquelle la Commission sollicitera du Conseil l’autorisation d’ouvrir des négociations en vue de la conclusion, avec les pays tiers concernés, d’accords d’assistance mutuelle et de coopération en matière de prévention et de répression.

Cette fragmentation de l’application du RGPD, au-delà des aspects de coopération internationale et européenne, s’illustre aussi par des décisions diverses, voire divergentes, entre les Etats membres de l’UE, qu’il s’agisse de dispositions législatives permises par le RGPD, ou de positions individuelles des autorités de contrôle. Ainsi, selon le pays une même infraction peut par exemple être sanctionnée avec plus ou moins de sévérité, alors qu’au contraire le texte avait pour objectif d’uniformiser ces pratiques.

L’exemple des recommandations en matière de cookies et autres traceurs est flagrant. Si la CNIL a révisé ses recommandations en juillet 2019, certaines des 26 autres autorités ont aussi édicté des recommandations et ces dernières ne sont souvent pas cohérentes entre elles. Cela oblige par conséquent les entreprises (et par extension leurs délégués à la protection des données) confrontées à des activités multinationales, à devoir prendre en compte une multitude de préconisations difficiles à concilier entre elles.

3. Et la France dans tout ça ?

La CNIL, bien que disposant d’un budget parfois inférieur à ses homologues européens, joue un rôle majeur dans l’accompagnement à la mise en conformité des particuliers et des entreprises au RGPD et à la loi informatique et libertés. Dans son rapport d’activités 2019, cette dernière indique par exemple avoir reçu 145 913 appels et 14 137 plaintes (+27% par rapport à 2018) et peut se vanter de 62 000 comptes créés pour suivre son MOOC sur le RGPD.

En communiquant des modèles de clauses contractuelles ou bien de registre des activités de traitement, en proposant des webinars et autres rapports et fiches pratique afin de clarifier certains points, la CNIL peut aussi se prévaloir d’une assistance attentive aux PME, point qui est d’ailleurs particulièrement félicité par la Commission européenne dans son rapport.

Autre élément non négligeable dans l’activité de la CNIL ces deux dernières années : la sanction que l’autorité a imposé à Google LLC.

Pour rappel, le 21 janvier 2019 la CNIL a prononcé une amende de 50 millions d’euros contre le géant américain, le montant de cette amende, uniquement possible sous l’ère du RGPD, restant à ce jour la plus élevée de toutes les amendes imposées depuis sont entrée en application.

Dans sa sanction, la CNIL a considéré notamment que les informations fournies à l’utilisateur au moment de la création d’un compte (en particulier les informations essentielles sur les finalités, les durées de conservation ou les catégories de données pour la personnalisation de la publicité) n’étaient pas toujours claires et facilement accessibles, en plus d’être trop vagues. La collecte des données des utilisateurs se faisant à travers de nombreux services, l’autorité de contrôle a aussi considéré le traitement comme massif et intrusif. Enfin, la présence d’une case précochée par défaut rendait le consentement recueilli pour le traitement relatif à la personnalisation de la publicité invalide et non conforme aux exigences du RGPD.

Le 19 juin 2020, saisi par la société américaine d’une requête pour invalider cette sanction, le Conseil d’État, plus haute juridiction administrative française, a par ailleurs validé la décision de la CNIL.

En confirmant que la CNIL a fait une juste application des principes clés du RGPD relatifs à la transparence, à l’information des utilisateurs et à la nécessité d’un consentement valable pour la publicité personnalisée, le Conseil d’Etat a ainsi validé les exigences de la CNIL en matière de transparence et de licéité face à un traitement massif et intrusif.

4.Conclusion

Ces différents éléments nous laissent donc à penser qu’il reste encore beaucoup de travail pour une mise en conformité des différents acteurs de manière effective et homogène au sein de l’Union européenne, même si la Commission reconnaît « qu’il serait prématuré de tirer des conclusions définitives sur l’application du RGPD » et, par extension, « de présenter des propositions en vue de sa révision« . Il n’y aura donc pas de révision du texte avant au moins 2024.

Pour Bruxelles, ce rapport n’est qu’une première étape et « il est probable qu’une plus grande expérience de l’application du règlement dans les années à venir sera utile pour résoudre la plupart des problèmes mis en évidence par les États membres et les parties prenantes« .