RGPD: le jour d’après

©pixabay

Vous n’avez pas pu y échapper. Votre boîte mail a été inondée de courriels vous informant de l’application d’une nouvelle politique de confidentialité. En effet, le RGPD, la pierre angulaire de la protection des données à caractère personnel au sein de l’UE, est entré en vigueur le 25 mai 2018. Mais que s’est-il passé le jour d’après? Les responsables des traitement de données, se sont-ils réellement conformés au droit européen?

Voici quelques premiers retours concernant l’application du RGPD au sein de l’UE depuis le  25 mai 2018.

La première amende en vertu du RGPD, d’un montant de 400 000 euros,  ne s’est pas faite attendre. La CNPD (Commission Nationale pour la Protection des Données) portugaise a infligé cette amende contre un hôpital portugais. Les raisons d’un tel montant étaient, d’une part, le fait que membres du personnel avaient des accès normalement réservés aux médecins et, d’autre part, le fait que les médecins temporaires continuaient d’avoir accès aux données des patients même après la cessation de leurs fonctions. Autrement dit, l’établissement portugais a violé les principes de confidentialité et d’intégrité des données ainsi que celui de la limitation d’accès aux données.

L’établissement portugais a violé les principes de confidentialité et d’intégrité des données ainsi que celui de la limitation d’accès aux données.

La France a suivi l’exemple. L’autorité française compétente, la CNIL, procède déjà aux sanctions contre des grandes entreprises. En effet, dès l’entrée en vigueur du RGPD, elle a reçu des plaintes concernant la personnalisation de la publicité par GOOGLE sans consentement préalable des usagers (autrement dit, le ciblage publicitaire). Après avoir procédé à un contrôle, la CNIL a constaté que GOOGLE a manqué à ses obligations de transparence et d’information envers les internautes. En particulier, le moteur de recherche ne rendait pas facilement accessibles les informations sur les modalités et les finalités de traitement des données à caractère personnel. De plus, celles fournies n’étaient pas aisément compréhensibles, ce qui est contraire aux dispositions du RGPD.  En tenant en compte de la gravité et de la continuité des manquements, la CNIL a infligé à GOOGLE l’amende de 50000 euros. Cette sanction ne semble être qu’un début, l’autorité poursuivant ses contrôles de conformité de manière régulière.

En outre, l’autorité française a effectué récemment un sondage sur la protection des données à caractère personnel et la vision des citoyens français. Les réponses de ces derniers relèvent d’une grande importance. Plus précisément, ils répondent être aujourd’hui plus sensibles sur la question de la protection des données à caractère personnel en tenant compte des risques de piratages et arnaques, mais ils estiment que cette protection reste insuffisante. Certes, un taux considérable de personnes déclare que malgré le fait qu’elles ont déjà constaté des violations, elles ne les ont pas signalées. En plus, un quart avoue ne pas avoir de connaissances sur le RGPD ni sur sa valeur ajoutée quant à la protection de leurs données. Réponses qui signifient qu’il reste du travail à faire dans ce domaine.

Dans le pays voisin, le Luxembourg, la CNPD luxembourgeoise a publié récemment des statistiques concernant les violations des données à caractère personnel qui lui ont été notifiées depuis le 25 mai 2018. Pour avoir une idée, jusqu’à la fin 2018, 172 violations ont été déclarées, nombre qui ne semble pas diminuer avec le temps. Pourtant, le taux de violation est resté stable les derniers mois de 2018 et continue au même rythme début 2019. En outre, malgré le fait que la cause principale des violations reste l’erreur humaine, les actes externes malveillants (le piratage et le hacking, par exemple) ne manquent pas et constituent le plus grand risque. La raison? Tout simplement leur cible: les transactions financières des personnes physiques. Au demeurant, les violations sont en général détectées en 48h, mais quand il s’agit d’une violation continue, la durée de leur détection s’élève à 1 mois.

Le taux de violation est resté stable les derniers mois de 2018 et continue au même rythme début 2019.

Certes, tous ces chiffres supposent que les entreprises concernées notifient les violations des données à caractère personnel à la CNPD et cela dans les meilleurs délais, comme l’article 33, paragraphe 1, du RGPD l’exige. Néanmoins, la tendance montre un manque de sensibilisation au sein des personnes morales concernant la violation de la confidentialité de données personnelles de telle sorte qu’elles ne notifient pas les violations détectées à l’autorité compétente ou elles omettent de déclarer le type de données cibles des violations. En conséquence, il est constaté que le sensibilisation des personnes physiques sur la nécessité de protéger les données à caractère personnel et sur l’impact d’une éventuelle violation est un domaine dans lequel les entreprises et les autorités compétentes doivent investir.

Conclusion

Même si l’entrée en vigueur du RGPD ne date que de quelques mois, les premiers résultats font leur apparition et donnent des informations pratiques aux spécialistes du domaine. Malgré le fait que les autorités compétentes procèdent déjà aux sanctions en vertu du RGPD, le travail reste à faire non seulement au niveau de la conformité des personnes morales, mais surtout au niveau de la sensibilisation des personnes physiques, première cible des violations.

Marina Tsikintikou est titulaire du Master 2 en Droit Pénal de l’UE de l’Université de Strasbourg