RGPD : quel bilan après 3 ans ? | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
L'écran d'un smartphone affiche l'inscription Gafam avec les logos de chaque entreprise concernée (Google, Apple, Facebook, Amazon, Microsoft).
L'écran d'un smartphone affiche l'inscription Gafam avec les logos de chaque entreprise concernée (Google, Apple, Facebook, Amazon, Microsoft).
©JUSTIN TALLIS / AFP

Protection des données

RGPD : quel bilan après 3 ans ?

Le Règlement général sur la protection des données (RGDP) fête ses trois ans. Le bilan est-il positif ?

Denis Jacopini

Denis Jacopini

Denis Jacopini est expert de justice en informatique spécialisé en cybercriminalité et en RGPD (Protection des Données à Caractère Personnel).

Il réalise des audits RGPD et des mises en conformité RGPD et sous forme de conférences de formations ou d’interventions, dans la France Entière et à l’étranger sur les sujets de la Cybercriminalité et du RGPD, il sensibilise et accompagne les entreprises en vue d’améliorer ou de mettre en conformité de leur système d’information.

Diplômé en droit de l’expertise judiciaire, en cybercriminalité droit et sécurité de l’information, en investigation numérique pénale et certifié en gestion des risques sur les systèmes d’information, par son profil atypique pédago-technico-juridique, il est régulièrement contacté par des médias tels que C8, LCI, NRJ12, D8, France 2, Le Monde Informatique, Europe 1, Sud Radio, Atlantico pour vulgariser ces sujets et est également intervenu au Conseil de l’Europe à l’occasion de la conférence annuelle sur la lutte contre la cybercriminalité « Octopus ».

Auteur du livre « CYBERARNAQUES » (Plon 2018), diplômé en Cybercriminalité, Droit, Sécurité de l’information, informatique Légale, en Droit de l’Expertise Judiciaire et Certifié en Gestion des Risque sur les Systèmes d’Information (ISO 27005 Risk Manager), avant de devenir indépendant, il a été pendant une vingtaine d'année à la tête d'une société spécialisée en sécurité Informatique.

Denis JACOPINI peut être contacté sur :

http://www.leNetExpert.fr/contact

Voir la bio »
David Fayon

David Fayon

David Fayon est responsable de projets innovation au sein d'un grand Groupe, consultant et mentor pour des possibles licornes en fécondation, membre de plusieurs think tank comme La Fabrique du Futur, Renaissance Numérique, conseiller numérique d'Objectif France. Il est l'auteur de Géopolitique d'Internet : Qui gouverne le monde ? (Economica, 2013), Made in Silicon Valley – Du numérique en Amérique (Pearson, 2017) et co-auteur de Web 2.0 15 ans déjà et après ? (Kawa, 2020). Il a publié avec Michaël Tartar La Transformation digitale pour tous ! (Pearson, 2022) et Pro en réseaux sociaux avec Christine Balagué (Vuibert, 2022). 

Voir la bio »

Atlantico : Le RGPD est en place depuis trois ans dans tous les États européens. En quoi consiste la régulation mise en place et quels ont été les bénéfices de cette dernière ?

David Fayon : Le RGPD (Règlement Général sur la Protection des Données) est effectivement entrée en application le 25 mai 2018 et transpose le règlement européen du 14 avril 2016. Il décrit les principes, les obligations et les droits pour l’entreprise en prolongeant la loi Informatique, fichiers et libertés du 6 janvier 1978 qui s’est accompagnée par la création de la CNIL et qui a évolué depuis. Il cadre l’usage des informations personnelles (adresse mél, photo, vidéo, empreinte digitale, géolocalisation, éventuellement adresse IP, données clients ou consommateurs, etc.) dont les plateformes – GAFA en tête –  sont particulièrement friandes.

Cette régulation instaure en particulier un renversement de la charge de la preuve. Avant, la CNIL devait prouver la non-conformité des organismes dans le traitement automatisé des informations nominatives. Depuis le 25 mai, il appartient aux organismes de prouver leur conformité à la CNIL, ce qui leur occasionne une plus grande charge de travail et demande analyse des processus mis en place et rigueur.

Les objectifs du RGPD sont de renforcer le droit des personnes, de responsabiliser les acteurs traitant des données, de crédibiliser. Elle prévoit la nomination d’un DPO (Digital Protection Officer ou délégué à la protection des données) qui est obligatoire lequel succède au CIL (Correspondant Informatique et Libertés) qui était facultatif.

Le RGPD prévoit une sécurité des traitements, une responsabilité, l’absence de transfert des données personnelles en dehors de l’Union européenne, la responsabilité en cas de sous-traitance. En gros, les données sont davantage tracées et étant donné leur valeur, mieux vaut savoir où elles sont dans la nature d’autant qu’avec l’explosion des vols de données, de la cybercriminalité surtout en contexte de crise (données financières, données de santé), les préjudices peuvent être importants tant pour les entreprises que pour leurs clients et partenaires sans compter ce qui s’est passé avant l’adoption du RGPD (révélation sur les écoutes sur Internet par Edward Snowden en juin 2013, scandale Cambridge Analytica vis-à-vis d’une faille de Facebook exploitée et dévoilée en mars 2018, etc.).

À Lire Aussi

RGPD et HTTPS : ces sites publics qui mettent en danger des sites tiers

Les bénéfices sont plutôt du côté des internautes qui ont plus de sécurité quant à l’utilisation de leurs données avec des finalités précisées dans les traitements. En revanche, du côté des entreprises, un accompagnement pour être conforme au RGPD a été nécessaire et l’est encore pour les nouvelles entreprises qui se créent.

On a aussi la conservation des droits précédents avec la loi Informatique, fichiers et libertés (droit d’information, d’accès, de rectification, d’opposition à un traitement) auxquels se greffent des droits nouveaux : droit à l’effacement, à la portabilité des données (ce qui est important avec le développement des plateformes numériques), au déréférencement.

Denis Jacopini : Je considère que le RGPD est en France un vrai succès dans la mesure où le texte de référence au RGPD, la loi informatique et libertés du 6 janvier 1978 a été largement moins adopté pendant ces quarante dernières années que le RGPD ces 3 dernières pour le RGPD. Quelques dizaines de milliers d’entreprises avaient réalisé des démarches mais elles n’étaient pour la plupart malgré tout dans l'illégalité, leurs déclarations étaient généralement incomplètes. Donc le RGPD a amené une situation nouvelle. Il y a eu une prise de conscience des administrations qui avaient obligation de désigner un Délégué à la Protection des Données (aussi communément appelé DPO pour Data Protection Officer). La notion de co-responsabilité entre le responsable de traitement et le sous-traitant a également modifié la manière dont ces administrations ont communiqué avec leurs sous-traitants. Elles ne pouvaient continuer de travailler avec eux que s’ils se mettaient en règle avec le RPGD. Il y a donc eu un effet boule de neige. Par ailleurs, depuis 2017, l’explosion de la cybercriminalité a donné lieu à d’importantes fuites de données, notamment de santé. A cela s’ajoute une prise de conscience des utilisateurs sur la surveillance via les affaires Snowden ou Cambridge Analytica. Tout cela a modifié le paradigme dans lequel la règlementation européenne est arrivée. Il y a vraiment eu un avant et un après RGPD.

À Lire Aussi

RGPD : Nintendo et la FFF parmi les premiers sanctionnés sur les données personnelles

Le RGPD est censé s’appliquer de la même manière à toutes les entreprises. Cette uniformité s’est-elle faite au détriment des petites structures ? Les grosses entreprises ont-elles réellement vécu la contrainte que devait intégrer la réglementation ? Cela s’est-il vu dans les amendes infligées ?

David Fayon : Oui. Les principes sont certes identiques mais la contrainte posée n’est pas la même pour une grosse entreprise que pour une TPE ou une PME. Il ne faut pas occulter qu’une grande entreprise doit remettre à plat des fonctionnements qui peuvent différer selon ses entités, ce qui peut être une aubaine pour uniformiser son fonctionnement vis-à-vis des données clients collectées, des parcours utilisateur sur ses sites Web, ses programmes de fidélité et passer d’une logique en silos à une approche plus cohérente entre ses entités ou business units.

Cela a pu être l’occasion de mobiliser des équipes de différentes directions pour revoir des processus, les parcours utilisateurs, et les faire travailler ensemble sur un projet commun, etc. Mais pour une petite structure, non préparée et dont cela ne constitue pas la priorité, cela est dans bien des cas une charge de travail supplémentaire et coûteuse. Elle a aussi parfois besoin de se faire accompagner par des organismes extérieurs spécialisés.

Quant aux amendes infligées, elles sont avant tout dissuasives. La sanction pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros d’amende et jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende. Les GAFA ont les moyens de passer entre les mailles du filet même si la Californie s’est aussi rangée dans les avancées du droit où l’Europe est pionnière faute d’innover. Cela a été l’adoption du CCPA (California Consumer Privacy Act), version californienne du RGPD qui est entré en vigueur le 1er janvier 2020.

À Lire Aussi

RGPD : comment la presse s’est tirée une balle dans le pied

Denis Jacopini : Je suis parfaitement d’accord. Nous sommes face à des organismes qui en général adoptent la réglementation soit parce qu'ils y sont obligés sois parce qu'ils y trouvent un intérêt (commercial, d'image ou financier). Enormément d’entreprises ont dû faire face à d’autres problématiques (fuites de données, modifications économiques, …). Donc beaucoup d’entreprises se sont concentrées sur leur performance économique plutôt que sur les règlementations. Les principales évolutions comportementales ont eu lieu dans les organismes qui y étaient obligés, par exemple pour bénéficier de subvention ou obtenir certains contrats ou tout simplement parce qu'ils représentaient l'autorité, comme dans le cas des administrations. Mais aujourd’hui de nombreuses entreprises considèrent que le coût de la démarche, qui n’est pas négligeable, en temps et en argent, est trop élevé. Certaines n’ont pas envie d’y consacrer un budget. Elle préfère donc prendre le risque de ne pas mettre en place ces démarches réglementaires. Les professions médicales vont aujourd’hui commencer à rentrer dans le rang, les avocats, les notaires, les huissiers, les experts judiciaires vont faire de même car on ne peut pas exercer une profession réglementée et défier les textes de la République.

Google a subi une amende de 50 millions au titre du RGPD, est-ce suffisant pour promouvoir les bons comportements chez les géants du numérique ?

Denis Jacopini : Il n’y a que deux leviers pour faire changer les géants du numérique. D’abord, financier, par les amendes. Elles sont indexées sur le chiffre d’affaires mondial alors que la loi informatique et libertés les limitaient à 150.000 euros. Pour Google ou Facebook c’était dérisoire et elles préféraient payer. Le nouveau mode de calcul est plus gênant, même si ces entreprises ont des armées d’avocat. L’autre fonction à saluer c’est le changement de comportement entraîné par le RGPD. Des pays comme le Japon ont mis en place des réglementations relatives à la protection des données personnelles. La Californie a aussi un équivalent, le CCPA. Cela montre non seulement une certaine écoute des états extra européens mais aussi des internautes. Les européens (80 %) considèrent la protection de leurs données sur internet comme quelque chose de prioritaire. Nombreux sont ceux qui s’inscrivent en donnant de fausses informations. Donc la valeur de ces données diminuent. Et puisque cela peut finir par menacer le business model des géants de la tech, ils ont intérêt à respecter la réglementation pour conserver la confiance que leurs accordent leurs utilisateurs.

À Lire Aussi

Données personnelles : la guerre Apple contre Facebook fait rage et voilà pourquoi elle vous concerne de près

D’autres reproches doivent-ils être faits au RGPD ? Quel bilan global tirer ?

David Fayon : Comme dit précédemment, l’Europe a montré la voix et d’autres nations partout dans le monde nous ont suivi alors que pour l’innovation, c’est le contraire selon l’adage : « Les États-Unis innovent, les Chinois copient – mais de moins en moins, ils innovent aussi -, les Européens réglementent et les Français taxent ». La CNIL est montée en puissance avec davantage de sanctions prononcées et des peines infligées plus fortes.

Cependant concrètement pour l’utilisateur, il est souvent face aux sites sur lesquels il se rend face à un dilemme qui est le suivant. Il se trouve confronté face à un pop-up où il est plus simple de TOUT ACCEPTERque de choisir avec des options à cocher à la main qui sont très chronophages à passer en revue. Il va souvent machinalement cliquer pour passer à l’étape suivante au même titre que pour utiliser un service il va valider l’ensemble des CGU sans les lire. Un TOUT REFUSER pourrait aussi être proposé. Il peut avoir eu à créer un compte pour se rendre sur un site et repartir de zéro du fait de la mise en place du RGPD plutôt que de capitaliser sur l’existant. Il n’est pas toujours simple de concilier facilité d’utilisation et protection des données personnelles.

Notons aussi qu’en prolongement du RGPD, depuis le 1er avril 2021, les sites web qui utilisent des cookies doivent informer de façon claire et synthétique l’internaute de l’utilisation qui va en être faite (publicité personnalisée par exemple ou personnalisation du contenu, partage avec les réseaux sociaux). Le droit du numérique n’a pas fini d’évoluer et c’est l’éternelle course poursuite entre innovation technologique et rattrapage par le droit.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !