Le RGPD a un an : que retenir du bilan de la CNIL évoquant une année « exceptionnelle » ? – Politique

La RGPD fête son premier anniversaire. La CNIL en profite pour établir un rapport sur l'activité générée par ce texte, qui prévoit une meilleure protection des données pour les Européens.

La date du 25 mai 2019 marque le premier anniversaire de l'entrée en vigueur du règlement général sur la protection des données (GDPR). Il est peut-être encore trop tôt pour déterminer les effets bénéfiques et négatifs du texte, en particulier sur le Web – même si Politico suggère que les géants du net ont toujours réussi à appliquer les nouvelles règles européennes en matière de vie privée.

Il n’est pas surprenant que les petites entreprises aient plus de difficultés à s’adapter à ce nouveau cadre que les grandes entreprises: bien entendu, les grandes entreprises risquent bien davantage de se voir imposer des sanctions financières beaucoup plus lourdes que les entreprises de taille modeste, si elles sont prises au piège. Mais ils ont aussi des bataillons d'avocats et des avocats pour s'adapter et se défendre.

Dans l'attente d'une évaluation de la RGPD, la Commission nationale de l'informatique et des libertés (CNIL) profite de ce premier anniversaire pour faire le point sur l'année écoulée. Ce n'est certainement pas la première fois qu'elle dresse le bilan de la RGPD. Quatre mois après sa création, l'autorité de surveillance a proposé un rapport d'avancement sur les plaintes en cours, la sensibilisation du public et les actions futures.

Un ans " exceptionnel "

Rebelote, alors, huit mois plus tard. Sans surprise, presque tous les indicateurs sont à la hausse. Le nombre de visiteurs sur le site a dépassé les 8,1 millions d’internautes (contre 3 millions en septembre), 2 044 notifications d’atteintes à la confidentialité des données (600 auparavant), et le nombre de plaintes a augmenté de 3 797 sur les 4 premiers mois, pour atteindre plus de 11 900 après un seul. année.

De toute évidence, ces marqueurs de l'excitation autour de la RGPD ne peuvent, par nature, que progresser. Cependant, la CNIL insiste sur la rapidité avec laquelle ils ont grimpé. Au point que cette première année est déjà qualifiée " exceptionnel ", avec un " nombre record de plaintes ". Et encore, ces statistiques n'incluent même pas l'activité autour du RGPD au niveau européen.

Les sanctions ont commencé à tomber

En regardant dans le rétroviseur, la CNIL n’a pas évoqué l’un des faits saillants de l’année écoulée: la condamnation de Google à une amende record de 50 millions d’euros pour une série d’infractions RGPD. C'est toutefois le bilan actuel dans l'Union européenne, les peines prononcées dans les autres États membres étant beaucoup plus courtes.

Des sanctions ont été prononcées dans onze douze pays européens: France, Allemagne, Italie, Pologne, Autriche, Danemark, Portugal, Norvège, Lituanie, Bulgarie, Hongrie et Chypre. Les montants vont de 9 700 euros (en Autriche) à 400 000 euros (au Portugal). Ces sanctions peuvent faire l'objet d'un recours, ce qui rend effectivement Google dans l'Hexagone.

Au niveau européen, la CNIL est impliquée dans plus de 800 procédures sur les 1 013 actuellement sous enquête. C’est le fruit de la coopération initiée entre les organismes de contrôle du Vieux Continent. En raison du chevauchement croissant des pays membres, ces échanges sont vitaux. Sur le continent, on compte actuellement plus de 144 000 plaintes et plus de 89 000 notifications de violation de données.

Changement de ton

La CNIL ne précise pas la nature des fichiers qu'elle a sur la table. Nous savons que certains ont trait aux géants du net, comme les actions initiées par l'avocat autrichien Maxilimilian Schrems, la Quadrature du Net ou, dans un registre moins judiciaire, l'UFC-Que Choisir. Les entreprises habituelles (Google, Amazon, Facebook, Microsoft, Apple) sont ciblées, ainsi que des astuces de conception pour guider l'utilisateur.

Le responsable de la CNIL irlandaise a toutefois déclaré au printemps dernier que 51 instructions de grande ampleur étaient instruites, dont 17 avaient un lien avec une entreprise du secteur numérique ou technologique. Apple, Facebook, Instagram (filiale de Facebook), LinkedIn (filiale de Microsoft), Twitter et WhatsApp (filiale de Facebook). Et sur ces 17 fichiers, 11 concernent Facebook ou ses filiales.

Le premier anniversaire de la RGPD coïncide avec un changement de ton progressif de la CNIL.

Un commutateur que l'autorité a rappelé dans ce rapport, expliquant que " L'année 2019 marque l'achèvement de la transition vers la RGPD. Il est essentiel que les organisations appliquent maintenant pleinement le nouveau texte. ". Clairement, la flexibilité et la tolérance relatives démontrées par la procédure prendront fin, même si elle promet de discernement Dans son action répressive.

A lire sur Numerama: RGPD: les conclusions des premières enquêtes des géants du net attendues cet été