Le RGPD est applicable depuis le 25 mai 2018. Ce règlement européen vise à renforcer et à unifier la protection des données personnelles au sein de l’Union européenne (UE). En cas de non-respect des nouvelles règles, les entreprises risques gros, avec des sanctions pécuniaires pouvant atteindre 4% de leur chiffre d’affaire mondial. Que s’est-il passé depuis un an ? La population est-elle plus sensibilisée aux questions de la protection de ses données ? Des entreprises ont-elles été condamnées à payer des amendes ? Nos données sensibles sont-elles bien en sécurité grâce au RGPD ? Bilan des 12 derniers mois.
« Le 25 mai marque l’anniversaire des nouvelles règles européennes en matière de protection des données instaurées par le règlement général sur la protection des données, également connu sous le nom de RGPD. Ces règles innovantes ont non seulement permis à l’Europe de s’adapter à l’ère numérique, mais sont également devenues une référence mondiale », note Andrus Ansip, vice-président pour le marché unique numérique.
Données sensibles et RGPD : explosion du nombre de plaintes
D’après un premier bilan réalisé par la Commission européenne, plus de 400 enquêtes ont été ouvertes dans le cadre du RGPD. En outre, la Commission a recensé près de 145 000 plaintes durant l’année écoulée. Au niveau français la CNIL a réalisé 310 contrôles en 2018 dans le cadre du règlement européen. Elle a également reçu un nombre record de plaintes l’année dernière, avec une augmentation de 32,5% par rapport à 2017.
Amende de 50 millions d’euros pour non-respect du RGPD
La première année d’application du RGPD a été l’occasion pour les autorités de contrôle des Etats membres d’infliger les premières amendes à des entreprises. La CNIL par exemple, a condamné Google à une amende de 50 millions d’euros pour violation des règles européennes de protection des données. La Commission avait procédé en 2018 à un contrôle pour « vérifier la conformité à la loi informatique et libertés et au RGPD des traitements de données personnelles réalisés par Google, en analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android ».
Au Portugal, l’autorité de contrôle a condamné un centre hospitalier à 400 000 euros d’amende dans le cadre du RGPD. La CNPD (équivalent de la CNIL au Portugal) a relevé plusieurs manquements dans les procédures de gestion des accès. Elle a condamné l’hôpital pour violation du principe d’intégrité et de confidentialité, violation du principe du moindre privilège et incapacité du responsable de traitement de garantir la confidentialité et l’intégrité des données.
RGPD : une prise de conscience des enjeux de protection des données sensibles
RGPD et données sensibles sont deux notions désormais indissociables. Pour la CNIL, l’entrée en application du RGPD a marqué une prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers. Pourtant, d’après le Global Data Risk Report publié par Varonis, le niveau de sécurité des données en entreprise ne progresse pas. Les auteurs de l’étude affirment même que les entreprises sont de plus en plus nombreuses à exposer leurs données sensibles.
Du côté des particuliers, un sondage IFOP a montré que 70% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. « La sensibilisation des citoyens progresse, ce qui est un signe très encourageant », s’est réjouit Andrus Ansip. « Selon des chiffres récents, près de 6 personnes sur 10 savent qu’il existe, dans leur pays, une autorité chargée de la protection des données ».
Le RGPD : un modèle pour la communauté internationale ?
« Le rayonnement des principes du RGPD dépasse les frontières de l’Europe », affirme la Commission européenne. Du Chili au Japon en passant par le Brésil, la Corée du Sud, l’Argentine et le Kenya, nous assistons à l’émergence de nouvelles législations sur la protection de la vie privée, fondées sur des garanties solides, des droits individuels opposables et des autorités de contrôles indépendantes. En effet, tous ces pays ont promulgué – ou sont sur le point de le faire – une législation similaire au RGPD. « Cette convergence vers le haut offre de nouvelles possibilités de promouvoir les flux de données reposant sur la confiance et la sécurité« , explique Andrus Ansip.
