Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) a récemment atteint ses deux années d’existence. Quel bilan peut-on tirer de ces 24 premiers mois ? Décryptage des données fournies par la Commission nationale de l’informatique et des libertés (Cnil).
D’entrée de jeu, il y a eu une bonne visibilité du problème, grâce notamment à une sensibilisation large des citoyens européens sur le traitement de leurs données, selon Me Cousin, avocate spécialisée dans le droit des nouvelles technologies, d’Internet et des médias. En France, selon un sondage IFOP réalisé en avril 2019 et repris par la Cnil, 70 % des gens se sont montrés plus sensibles aux problématiques de protection des données, seulement après une année d’existence du RGPD. Une réelle prise de conscience qui se traduit par une augmentation de 30% du nombre de plaintes enregistrées en la matière, en France. Cependant, les comportements n’auraient pas, pour autant, beaucoup changé, même si personne n’ignore, aujourd’hui, que chaque passage sur internet laisse des traces.
Vu sous cet angle, c’est donc un bilan assez mitigé qui est tiré des deux années d’application du RGPD, d’autant plus que certaines entreprises auraient encore du mal à se conformer à cette loi européenne qui fait actuellement office de standard.
Le principal problème relevé par Me Cousin est la lourdeur du cadre juridique du RGPD. Selon elle, « les PME ne sont pas armées » pour se conformer aux directives de protection de données du texte européen. « Pour chaque type de données récoltées, il faut que l’entreprise fixe la durée de conservation », a-t-elle rappelé. Et de reconnaître ensuite que cela requiert un travail monstre de la part des entreprises. Et pour cause, il faudrait embaucher un salarié à temps plein (un Data protection officier – DPO), pour être en conformité avec le règlement. Notons que l’Union européenne conseille dans l’idéal d’employer un juriste ou un informaticien.
Il existe une autre alternative pour la mise en conformité des entreprises : solliciter les services d’un prestataire. Mais, les frais d’audit seraient très peu rentables pour les entreprises modestes, ce qui n’encourage pas les PME à envisager une telle option, qui n’aurait d’ailleurs aucun intérêt pour de nombreux chefs d’entreprises, a expliqué Me Cousin. L’avocate rappelle néanmoins que la Cnil ne lésine pas sur les moyens pour accompagner les petites entreprises dans leur mise en conformité avec le RGPD.
De leur côté, les grandes entreprises sont très peu confrontées à des obstacles dans l’application du RGPD, d’autant plus qu’elles disposent des moyens et outils nécessaires pour se conformer, à terme, à la loi européenne. Par ailleurs, l’enjeu étant plus stratégique dans les multinationales et les entreprises d’envergure internationale, des efforts plus importants sont exigés dans la gestion du volume des données traitées au sein de ces structures. Toutefois, malgré l’armada juridique déployée, leurs bases de données ne bénéficient pas encore d’une sécurisation assez élevée, d’où une récurrence des fuites des données des clients.
Pour Me Cousin, seule une justice plus efficace permettra de réellement faire bouger les lignes en matière de protection des données, un concept jugé encore trop théorique par l’avocate. Même si le RGPD a permis de mettre en lumière la partie immergée de l’iceberg, il a encore besoin de temps pour faire vraiment avancer les choses. Une formation en informatique est souvent nécessaire pour accompagner son évolution et son application dans les entreprises.