Passer au contenu

RGPD : quel bilan sur la protection des données deux ans après son entrée en vigueur ?

Alors que le RGPD a fêté ses deux ans le 25 mai dernier, les citoyens semblent plus informés tandis que les entreprises paraissent peiner à s’y conformer. Malgré tout, le texte européen fait office de standard. 

70 % des Français se disent plus sensibles aux problématiques de protection des données. Issu d’un sondage IFOP d’avril 2019, ce chiffre témoignait, selon la Commission nationale de l’informatique et des libertés (Cnil), d’une « prise de conscience inédite » au premier anniversaire du RGPD (règlement général sur la protection des données).
Mais deux ans après son entrée en vigueur actée au 25 mai 2018 : quel est le bilan peut-on tirer de cette loi européenne ? Qu’est-ce que le RGPD a changé ? Et quelles sont encore les pistes d’amélioration ? 

Un problème devenu visible

Le bilan est contrasté. La législation a permis une sensibilisation large des citoyens européens sur le traitement de leurs données.

« Concernant la visibilité du problème, c’est un vrai succès », analyse Me Cousin, avocate spécialisée dans le droit des nouvelles technologies, d’Internet et des médias.

Cette prise de conscience se traduit dans les chiffres. En 2019, le nombre de plaintes en la matière a bondi de 30 % sur le territoire français. Les chiffres de 2020 devraient suivre la même tendance. 

« Même si tout le monde sait qu’à chaque passage sur Internet, on laisse des traces, les comportements ne sont pour autant pas plus prudents. »

D’après elle, il est difficile de faire un pas en arrière alors que les données sont devenues la monnaie d’échange d’un système globalisé dans lequel tous les services sont gratuits. « C’est trop ancré ».  

RGPD, un standard dans le monde

Si on veut voir le verre à moitié plein, le RGPD s’est également transformé en standard.

« L’Union européen (UE) est clairement à la pointe dans la protection des données », explique Me Cousin.

Plusieurs États ont d’ailleurs, à la suite de l’adoption du texte européen, proposé des encadrements juridiques similaires. Aux premiers rangs desquels la Californie.
Pour l’avocate spécialiste, cette « grande réussite » du RGPD donne « de l’espoir ». Mark Zuckerberg l’a encore souligné face à Thierry Breton, Commissaire européen au Marché intérieur, le RGPD est un « modèle » à suivre pour réguler le Net.

« Par imprégnation, les lignes bougent progressivement, les entreprises prennent progressivement conscience des enjeux économiques derrière la protection des données », souligne Me Cousin. Le « seul véritable » levier, selon elle. 

« Les gens ont plus de droits, certes, mais qui les respectent ? »,  s’inquiète Me Cousin. Sur le RGPD, « il y a encore beaucoup à redire ».

D’abord sur la mise en conformité des entreprises. Avant tout traitement de données, elles doivent depuis l’adoption du RGPD faire une étude d’impact. Or, les petites et moyennes entreprises (PME) sont rarement dotées de service juridique spécialisé qui peuvent s’atteler à la tâche. En claire, tous les contrats d’affaire doivent être réécrits. Un casse-tête « infernal ». 

Un cadre juridique trop « lourd »

« Les PME ne sont pas armées », explique Me Cousin. Selon le RGPD, pour chaque type de données récoltées , il faut que l’entreprise fixe la durée de conservation. « C’est un travail monstre ». 
Pour mettre en conformité une entreprise, il faut un salarié à plein temps -en anglais un Data protection officer (DPO). L’Union européenne conseille « dans l’idéal » d’employer un juriste ou un informaticien.
En 2019, la Cnil se félicitait que 19 000 délégués à la protection des données aient été désignés par plus de 53 000 organismes. Une goutte d’eau dans les 3,9 millions d’entreprises françaises (Source : Insee 2017).

« C’est un métier transversal donc il faut travailler avec tous les services et les gens n’ont pas forcément la disponibilité et le temps pour moi. Le budget a dégager pour le DPO n’est pas une priorité », confirme Mathilde, jeune juriste qui fait le travail de mise en conformité dans une PME. « Même si c’est de plus en plus considéré, le RGPD a du mal a rentrer dans les mœurs, sachant que la réglementation n’est pas claire ! »

Un budget non-prioritaire

L’autre option : faire appel à un prestataire. Mais, là encore, les frais engagés pour un audit de conformité RGPD peinent à être rentables pour les entreprises modestes. 

Résultat : les PME se découragent et ne font pas la démarche. Pour parler « franc », certains chefs d’entreprises vont même jusqu’à trouver ça « ridicule », confie Me Cousin.
La mise en conformité est contrôlée par la Cnil, qui a, par exemple, mis en demeure EDF et Engie pour non-conformité. Les deux sociétés ont pu réagir vite grâce à leur armée de juristes. Mais, il est difficile de savoir quelle proportion de PME sont bien conformes. Pour pallier ce manque, la Cnil multiplie les publications d’accompagnement aux petites entreprises. 

Encore trop « théorique »

L’hétérogénéité de l’application du RGPD prouve que les grandes entreprises étaient, elles, prêtes à la mise en place d’un tel cadre. Elles étaient outillées. D’autant plus que l’enjeu devient réellement stratégique quand l’entreprise est d’envergure internationale. L’ampleur du volume des données traitées implique également bien plus de responsabilités. Pour autant, malgré l’armada juridique, les fuites de données de leurs clients sont assez fréquentes – faute d’une sécurisation de leurs bases assez élevée. 

C’est pourquoi leur mise en conformité est bien plus surveillée. En bonne avocate, Me Cousin pense que c’est l’efficacité de la justice qui fera vraiment avancer la protection des données. Pour l’instant, même si le RGPD a rendu visible la partie immergée de l’iceberg, la protection des données n’est encore que trop « théorique ». Le RGPD n’a que deux ans, des entreprises aux particuliers en passant par la justice, laissons-lui le temps de changer les choses…

Source : Cnil

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Marion SIMON-RAINAUD