Le RGPD a 5 ans ! Quel est le bilan ?

Le mois de mai 2021 marque les 5 ans de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) dans l’Union européenne. 

Le RGPD a en effet été adopté en 2016 par les Etats membres de l’Union européenne et est entré en vigueur en 2018. Pour rappel, le texte s’applique à la collecte, au traitement ou au stockage de toutes les données personnelles de résidents européens, quelle que soit la manière dont elles sont collectées et quelle que soit la nationalité de l’entreprise ou de l’organisation concernée. 

Autrement dit, le RGPD a été une évolution majeure pour les entreprises européennes (mais pas seulement) dans la gestion des données de leurs utilisateurs, clients, partenaires et salariés. Naturellement, c’est surtout en ligne que les pratiques ont dû évoluer pour améliorer la sécurité des données et le respect de la vie privée des individus. 

Voyons dans cet article quel bilan peut être dressé du RGPD, 5 ans après ! 

Quel est le bilan de l’action de la CNIL au bout de 5 ans ? 

En France, c’est la CNIL qui est responsable de l’application du RGPD. Plus précisément, la Commission est l’autorité de contrôle du RGPD pour la France. Autrement dit, chaque Etat membre dispose de sa propre “CNIL” sous l’autorité de la Commission européenne. 

C’est la CNIL qui reçoit les plaintes liées à la protection des données et qui peuvent être adressées par des individus ou des entreprises françaises. En 2022, la CNIL a traité 12 000 plaintes ! 

Ce chiffre, à lui seul, permet d’affirmer que les citoyens français se sont bel et bien saisi de l’outil et ont pu se tourner vers l’autorité de contrôle en cas de manquement supposé au RGPD. 

Dans cet entretien, Paul Hébert, directeur adjoint de l’accompagnement juridique à la CNIL précise que ces plaintes ont débouché sur 350 contrôles, 147 mises en demeure et 21 sanctions en 2022. Le montant total des sanctions prononcées atteint 101 millions d’euros. 

Si on prend un peu de recul sur l’action de la CNIL durant ces cinq ans : des sanctions ont été prononcées pour environ 500 millions d’euros, avec un montant record pour Google (150 millions) et Microsoft (60 millions).

Mais les sanctions ne sont pas le seul objectif de la CNIL, loin de là. Au contraire, l’objectif principal de l’autorité est de faire cesser les comportements contrevenant aux règles et d’améliorer les pratiques. 

Pour cela, la CNIL privilégie plutôt l’approche du conseil et de l’accompagnement à la mise en conformité au RGPD.

Est-ce que les entreprises respectent vraiment le RGPD ?

Au fait, est-ce que ça marche ? Les entreprises ont-elles adopté le RGPD dans leurs pratiques et qu’est-ce qui a changé dans la protection des données, en ligne comme en physique ? 

On peut commencer par se rappeler que les premiers jours (et par jours, on entend mois, voire années) du RGPD ont été un peu difficiles. La mise en conformité des entreprises n’est pas toujours allée de soi : incompréhension du texte ou de ses conséquences concrètes, crainte des entreprises de se retrouver submergées par une trop importante lourdeur administrative et juridique… le RGPD n’a pas fait que des ravis, du moins à ses débuts. 

Certaines entreprises ont pu se sentir prises entre deux feux, entre la crainte de devoir limiter leurs actions et donc potentiellement réduire leurs performances et celle de se voir infliger des sanctions par la CNIL…

Finalement, il faut saluer le travail de pédagogie des autorités, tant au niveau français qu’européen. Dès le départ, l’esprit du texte n’était pas de multiplier les sanctions mais plutôt d’accompagner les entreprises européennes vers des pratiques plus respectueuses de la vie privée et plus protectrices pour les données personnelles collectées. 

Pour ce qui est des résultats, on peut en partie se réjouir : les entreprises adoptent de plus en plus les obligations du RGPD : registre des traitements, analyses d’impact, recueil du consentement… 

Néanmoins, quand on voit que plus de la moitié des sites internet restent non conformes aujourd’hui, on ne peut que constater qu’il reste encore un peu de chemin à parcourir ! 

Quelles évolutions pour le RGPD dans le futur ? 

Comment va encore évoluer la protection des données dans le futur ? Il est évidemment toujours difficile de faire des pronostics, mais voici quelques grands sujets sur lesquels suivre les actualités dans le domaine. 

D’abord, la course du chat et de la souris va se continuer et se renforcer en matière de cybersécurité des données. Les cybercriminels continueront de rechercher et d’exploiter de nouvelles failles de sécurité tandis qu’à l’inverse, les experts de la cyberdéfense continueront de leur “courir après” en bâtissant des protections toujours plus perfectionnées… En tous les cas, le net accroissement du nombre de cyberattaques ces dernières années, notamment en France, en fait un sujet majeur de préoccupation. 

Ensuite, on peut se questionner sur le sort de nos données dans le cadre de l’avènement de l’IA grand public. Plus précisément, les IA conversationnelles (type ChatGPT) utilisent un grand nombre de données pour nourrir leur algorithme et fournir des réponses. Or il est assez difficile de connaître précisément l’origine de cette donnée. 

Quoi qu’il en soit, la protection des données restera un sujet crucial pour les entreprises dans les années à venir. Heureusement, elles peuvent compter sur Witik : nous sommes prêts à vous accompagner pour les 5 prochaines années et bien plus !