En chiffres

RGPD : un bilan mitigé

Posté le 28 mai 2021
par Philippe RICHARD
dans Informatique et Numérique

Ce 25 mai marque le troisième anniversaire de l'entrée en vigueur du RGPD (Règlement Général européen sur la Protection des Données). Au cours de cette période, les autorités de protection européennes (APD) ont pris environ 700 mesures d'application, y compris des amendes et des pénalités. Mais encore trop peu de citoyens européens s’appuient sur ce texte européen pour défendre leurs droits.

Malgré la pandémie mondiale, l’application du RGPD s’est en effet poursuivie à un rythme soutenu. Selon le site GDPR Enforcement Tracker, plus de 220 décisions d’application ont été prises jusqu’à présent.

Dans l’ensemble, les APD ont infligé un total de 280 millions d’euros d’amendes. Et la CNIL a parfois eu la main lourde. « Selon mes calculs, la France a prononcé 138 577 300 € d’amende en 2020, le tout réparti sur seulement 8 sociétés, détaille maître Julien Le Clainche, avocat au barreau de Montpellier et spécialiste en Droit de l’informatique et des télécommunications. Le 7 décembre 2020, elle a sanctionné Google de 100 millions d’euros d’amende (60 M pour Google LLC et 40 M pour Google Ireland à cause de cookies). Le même mois, Amazon a écopé de 35 millions d’euros d’amende, toujours à propos des cookies. Il y a également eu Spartoo (500 000 €), Carrefour France (2 250 000 €) et Carrefour banque (800 000 €) ».

En France, de nombreuses entreprises ont mis en place des mesures pour être en conformité avec le RGPD. « Le côté positif est la prise de conscience auprès d’un grand nombre de chefs d’entreprise de la nécessité de renforcer la protection des données personnelles, mais également de celles considérées comme stratégiques. Le RGPD a favorisé l’application des bonnes pratiques en matière de cybersécurité. En revanche, cela coûte très cher aux organisations et il est difficile d’être en complète conformité avec les 99 articles du RGPD et les 128 articles de la loi 78-17 dite “informatique et Libertés”, car il y a de nombreuses zones grises et de points à interpréter », constate maître Julien Le Clainche.

Lutte contre le terrorisme

Pour maître Jérôme Boisseau, « les entreprises s’en tirent très bien, car les citoyens européens n’exploitent pas encore correctement leurs droits, nouveaux ou renforcés par le RGPD qui est un texte extrêmement riche et précis.Mais il n’est en vigueur que depuis peu de temps quand on sait qu’un contentieux, avant un appel, dure deux ans et que ce texte européen a, étrangement, fait l’objet de mesures de transposition [alors qu’il s’agit d’un règlement de l’Union avec effet direct], dont le dernier acte a été adopté il y a deux ans seulement [il s’agit du décret n° 019-536, publié le 30 mai 2019, applicable aux fichiers de la sphère pénale] ».

Pour cet avocat au barreau de Paris et spécialisé en droit des affaires et de la concurrence, le côté positif est « l’instauration d’une coresponsabilité entre l’entreprise (considérée comme la responsable du traitement des données personnelles) et ses partenaires qui doivent eux aussi mettre en place des mesures de sécurité informatique ».

Et de préciser un élément essentiel : « Les droits des citoyens se trouvent indirectement renforcés en raison des effets normatifs du RGPD sur les pouvoirs publics : si l’actuelle discussion au Parlement du projet de loi relatif à la prévention d’actes de terrorisme et au renseignement est si complexe (le Gouvernement vient d’engager ce 12 mai 2021 la procédure accélérée sur ce texte et d’adresser aux parlementaires, de manière inédite, une lettre rectificative), c’est en partie parce que les pouvoirs publics doivent se conformer à l’interdiction posée par la Cour de justice de l’Union (dans un arrêt du 6 octobre 2020) et appliquée par le Conseil d’État, dans sa décision French data Network du 21 avril 2021 d’imposer aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement des règles généralisées et indifférenciées de conservation des données à caractère personnel, y compris dans l’effort de lutte contre le terrorisme ».

Beaucoup de plaintes et peu de sanctions

Mais de nombreux spécialistes notent également que peu de plaintes donnent lieu à des sanctions. Un constat dû en partie à l’évolution de la philosophie concernant la protection des citoyens et de leur vie privée. « Avant l’entrée en application du RGPD en mai 2018, la CNIL pouvait ou non autoriser des traitements grâce à des pouvoirs de contrôle a priori. Avec le RGPD, nous sommes passés d’un contrôle a priori à un contrôle a posteriori et de la réglementation à l’autorégulation. En contrepartie, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial. Par exemple, toutes les entreprises peuvent mettre en œuvre des traitements de données sensibles sans avoir obtenu l’aval de la CNIL », explique maître Julien Le Clainche.

Selon son dernier rapport pour 2020, la CNIL indique avoir « reçu 13 585 plaintes soit 62,5 % d’augmentation depuis la mise en œuvre du RGPD. Ce chiffre, toujours élevé et constant par rapport à 2019, confirme une prise de conscience conséquente des Français vis-à-vis de leurs droits. Parmi ces plaintes, 4 528 ont été suivies d’une réponse rapide et 9 057 ont nécessité une étude plus approfondie ». Mais la formation restreinte de la CNIL n’a prononcé que 14 sanctions, dont 11 amendes.

« En consultant les précédents rapports de la CNIL, j’ai constaté qu’en 2010, il y avait eu 4 821 plaintes, 308 contrôles, 111 mises en demeure, 3 avertissements et 5 sanctions financières. En 2012, il y avait eu 6 017 plaintes, 458 contrôles, 43 mises en demeure, 9 avertissements et 4 sanctions financières. En 2017, pour 8 360 plaintes, il y avait eu 9 sanctions, dont 6 publiques. Je trouve surprenant de constater une augmentation constante des plaintes mais une baisse constante des contrôles depuis 2018. Les mises en demeure restent stables depuis 2018 (environ 40) mais nous sommes loin des 93 de 2015. Enfin, je ne vois pas de corrélation évidente entre le nombre de contrôles et le nombre de sanctions. En revanche, il est incontestable que le montant des sanctions est considérable depuis le RGPD », constate maître Julien Le Clainche.

Même constat pour la Data Protection Commissionner (DPC) en Irlande, pays où se trouvent les sièges de plus de 1 000 entreprises étrangères dont huit multinationales informatiques sur dix (comme Apple, IBM, Siemens et Microsoft).  L’équivalent de la CNIL française indique « avoir reçu pas moins de 10 000 plaintes en 2020 ». Cependant, elle n’a rendu que deux décisions l’an passé et espère en rendre « entre 6 et 7 » cette année. Les plaintes concernent pourtant de gros poissons : Google, Facebook, Microsoft, PayPal, Apple, eBay.

Le peu d’empressement des CNIL française et irlandaise à traiter les plaintes est également souligné par la Quadrature du net. Sur son site, cette association indique qu’elle a déposé « avec 12 000 personnes cinq plaintes devant la CNIL, une contre chacun des GAFAM. Trois ans plus tard, aucune de ces plaintes n’a donné le moindre résultat. Ce total échec résulte d’une multitude d’irrégularités qui, toutes ou presque, révèlent le rôle coupable de la CNIL pour protéger les GAFAM contre le droit ».

 

Les cinq plus grosses amendes, infligées l’an passé et jusqu’à présent, ont concerné :

  1. Google (100 millions d’euros en France) pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.
  2. H&M (35 millions d’euros en Allemagne). Les violations du RGPD impliquaient la « surveillance de plusieurs centaines d’employés ». Selon le tribunal d’Hambourg, les cadres supérieurs de H&M ont acquis « une vaste connaissance de la vie privée de leurs employés… allant de détails plutôt anodins à des problèmes familiaux et des croyances religieuses ».
  3. TIM (27,8 millions d’euros en Italie) : l’opérateur de télécommunications italien TIM (ou Telecom Italia) a été condamné pour une série d’infractions (stratégie marketing trop agressive avec notamment des appels promotionnels et de communications non sollicitées) et de violations qui se sont accumulées au cours des dernières années.
  4. British Airways (22 millions d’euros au Royaume-Uni) pour une fuite de données qui avait concerné 400 000 clients.
  5. Marriott (20,4 millions d’euros au Royaume uni) pour des violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles.

Pour aller plus loin