Le 25 mai 2019, les entreprises qui traitent les données personnelles des résidents de l’Union Européenne (UE) ont célébré le premier anniversaire de l’application du règlement général sur la protection des données (RGPD). Les deux années qui ont précédé sa mise en application ont vu une ruée sans précédent d’entreprises examinant et modifiant leurs pratiques pour essayer d’entrer en conformité avec ce texte et éviter une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial.
Ces douze derniers mois, la ruée d’entreprises examinant et modifiant leurs pratiques pour entrer en conformité avec le règlement général sur la protection des données (RGPD) a cédé la place à un rythme plus prudent et délibéré. A mesure que les régulateurs élaborent leur processus d'examen, des centaines de milliers de plaintes ont déjà été déposées. A ce jour, il n’y a eu que très peu d’actions répressives, entraînant des amendes relativement faibles, à mesure que les régulateurs se penchent sur le RGPD et sur les moyens les plus efficaces pour l’appliquer.
Lors d’une table ronde qui s’est tenue plus tôt ce mois-ci à Washington D.C. lors du Sommet mondial sur la protection de la vie privée de l'International Association of Privacy Professionals -un rassemblement annuel de 4 000 professionnels de la vie privée du monde entier-, Helen Dixon, de la Commission irlandaise de protection des données, en conversation avec Elizabeth Denham, de la Commission d’information du Royaume-Uni, et Andrea Jelinek, présidente du conseil européen de la protection des données, ont souligné que les enquêtes prennent six mois au minimum.
Plus d'informations
Au cours du cycle d’une requête, les régulateurs doivent d’abord déterminer si, à première vue, une plainte déposée par un résident de l’UE est pertinente et atteint le niveau d’une violation potentielle du RGPD. Parmi les centaines de milliers de plaintes reçues par les autorités de protection des données, au cours de l’année, nombre d'entre elles ont simplement été des requêtes d’exclusion des publicités, ce qui ne rentre pas dans la réglementation. Dans le cas d’une plainte valide, les régulateurs ont ensuite besoin de mieux connaitre la technologie en question ; ce qui implique naturellement de contacter les entreprises sujettes aux plaintes pour solliciter plus d’informations.
Un va-et-vient entre les régulateurs et les entreprises apparaît aussi utile pour résoudre les plaintes, comme l'a souligné Helen Dixon, membre de la commission, qui préfère utiliser des "carottes" plutôt que des "bâtons". Cette approche fait écho aux commentaires qu’elle avait fait l’année dernière et selon lesquels les amendes ne sont pas les seuls outils que possèdent les régulateurs. D'où l'intérêt pour les entreprises de lier langue avec les régulateurs plutôt que de chercher à les éviter.
Mieux contrôler
Mises à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE à mesure que les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Ces droits donnés aux consommateurs de l’UE ont pae ailleurs des conséquences sur nombre de consommateurs ne faisant pas parties de l’UE. Ceux-cii bénéficient de pratiques améliorées, à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.
En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD est désormais de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée. Toute rétraction est intrinsèquement risquée, puisque les évaluations périmées des facteurs relatifs à la vie privée et les inventaires obsolètes donnent lieu à des rapports incomplets sur les activités de traitement des données.
Amélioration des lois sur la protection de la vie privée
Et les rapports incomplets sur les activités de traitement des données sont un signe évident pour les régulateurs que le maintien d'un programme de protection de la vie privée fait défaut et mérite probablement d’être examiné de plus près. Une autre question importante est de savoir si les allégations de conformités des entreprises seront vérifiées par des tiers ou ne seront pas contestées tant que les régulateurs n’auront pas réagi et ne seront pas satisfaits de ce qu'ils auront vu.
Le RGPD donne également l'exemple pour l'amélioration des lois sur la protection de la vie privée aux États-Unis. La loi California Consumer Privacy Act (CCPA), encore en discussion, contient des similarités avec le RGPD, en particulier pour permettre aux californiens d’accéder aux données personnelles les concernant et qui auraient été collectées par des entreprises soumises à la loi. Cependant, le CCPA peut aller plus loin que le RGPD en autorisant éventuellement un droit d’action privé qui pourrait donner lieu à des recours collectifs en matière de protection de la vie privée contre les entreprises qui violent la loi.
Confusion
La Californie n’est pas le seul état dans ce cas. D’autres transforment en lois les leçons tirées du RGPD ; avec à la clé un possible ensemble contradictoire et pesant à suivre pour les entreprises. Une loi fédérale sur la protection de la vie privée pourrait ainsi être adoptée et normaliserait les exigences. Mais elle a peu de chance de voir le jour avant l'entrée en vigueur de diverses lois étatiques. En attendant, le résultat sèmera très certainement la confusion chez des consommateurs à propos de leurs droits, de la responsabilité des entreprises, de l’application de la loi et de l’éducation.
On a constaté que la directive sur la protection des données de 1995, qui a précédé le RGPD, était toujours appliquée 23 ans plus tard, jusqu’à ce qu’elle ne soit remplacée par la réglementation actuelle. Le RGPD en est à ses débuts et subira sans doute des changements dans son interprétation au fur et à mesure de sa vie. Une chose est sûre cependant : le RGPD a déjà façonné de manière drastique l’approche adoptées par des milliers d’entreprises pour la gestion des données. De plus, à mesure que l’environnement de la protection des données et les réglementation le gouvernant évoluent, de nouvelles questions sur la confidentialité des données vont continuer à apparaître dans le monde.
