Protection des données : plaintes, amendes, enquêtes… que s’est-il passé en un an de RGPD ?
Protection des données : plaintes, amendes, enquêtes… que s’est-il passé en un an de RGPD ?
LE MONDE ECONOMIE
Ce texte sur les données personnelles est entré en application il y a un an. Quel bilan peut-on tirer de ce texte ambitieux ?
QUENTIN HUGON
Il y a un an, le 25 mai 2018, entrait en application le règlement général sur la protection des données (RGPD), un texte redéfinissant les droits des citoyens et les obligations des entreprises en matière de données personnelles dans toute l’Union européenne (UE). Il a été présenté comme une révolution, un changement d’ère dans un monde numérique dopé à la donnée personnelle. Un an plus tard, quel bilan peut-on tirer de ce texte ambitieux ?
Explosion du nombre de plaintes
D’abord, ce nouveau cadre juridique n’est pas passé inaperçu des citoyens européens – médiatisation du texte et importance croissante de la question des données personnelles aidant. De nombreuses autorités nationales de protection des données personnelles ont fait état d’une forte augmentation du nombre de plaintes.
En France, la Commission nationale de l’informatique et des libertés (CNIL) expliquait il y a peu avoir observé une augmentation de 32 % des plaintes reçues en 2018, largement imputable au RGPD. Les derniers chiffres publiés cette semaine par l’institution confirment cette tendance : la CNIL a reçu plus de 11 900 plaintes depuis mai 2018. Même constat au sein de son homologue irlandaise – la plupart des géants du numérique ont leurs quartiers généraux européens à Dublin – qui a reçu lors de la première année d’application du RGPD deux fois plus de plaintes (6 624) que pour l’année 2017 tout entière.
Selon un décompte de l’European Data Protection Board (EDPB), l’organisme qui chapeaute les autorités européennes, ces dernières ont planché sur plus de 280 000 dossiers (issus de plaintes notamment) lors des neuf premiers mois du RGPD. Une bonne partie est issue de plaintes (144 376).
De nombreux dossiers ont également été ouverts à la suite des notifications de violation de données. Cette nouveauté introduite par le RGPD impose aux entreprises victimes d’un piratage ou d’une faille de sécurité d’avertir leur autorité de contrôle. Plus de 89 000 notifications ont été adressées à travers l’Europe – dont 2 044 en France. L’une d’entre elles concerne par exemple Facebook, qui a reconnu, fin septembre 2018, qu’une faille de sécurité avait permis à des pirates de mettre la main sur les données personnelles de millions d’utilisateurs. Sur ces 280 000 dossiers, 62 % ont été clôturés.
Des plaintes contre les géants du Net
Parmi toutes ces plaintes, certaines sortent du lot. Le secteur de la publicité en ligne, encore relativement épargné par les autorités de protection des données depuis l’entrée en vigueur du RGPD, a fait l’objet d’une série de plaintes, en Irlande mais aussi au Royaume-Uni, en Espagne et en Pologne.
Certaines, notamment celles visant Google ou le géant Quantcast, ont déclenché des enquêtes de l’autorité irlandaise de protection des données. Une association française a opté pour une autre stratégie, en contournant la CNIL : elle compte porter le combat contre Facebook, pour manquement au RGPD, directement devant la justice.
L’ONG Noyb, de l’activiste autrichien Max Schrems, a également lancé de nombreuses plaintes, plus classiques celles-là. En début d’année, elle a reproché à plusieurs services de streaming (YouTube, Spotify, Soundcloud….) de méconnaître leur obligation à donner à leurs utilisateurs l’accès à leurs données. Dès le premier jour d’entrée en application du RGPD, elle avait déjà déposé dans quatre pays (France, Allemagne, Belgique et Autriche) des plaintes contre Android, Instagram, Whatsapp et Facebook, leur reprochant de ne pas respecter le consentement des internautes dont ils collectent les informations personnelles.
L’organisation française de défense des libertés numériques La Quadrature du Net déposait elle aussi, trois jours plus tard, des plaintes collectives visant Facebook, Apple, Amazon, LinkedIn et Google. Pour les quatre premières entreprises, elles ont été transmises à l’autorité de protection des données, où leur instruction est toujours en cours. Concernant Google, la CNIL s’est penchée sur les plaintes de La Quadrature du Net et de Noyb et a infligé la première amende d’ampleur sous le règne du RGPD : 50 millions d’euros.
Des sanctions encore timides
C’est la principale nouveauté introduite par le RGPD : les autorités de contrôle disposent désormais de pouvoirs de sanction démultipliés. Limitée avant le RGPD à 300 000 euros en France, l’amende que peut infliger la CNIL peut théoriquement atteindre 4 % du chiffre d’affaires mondial en cas de manquement grave.
Selon une étude du cabinet d’avocat DLA Piper, 91 amendes ont été prononcées depuis l’entrée en vigueur du RGPD par les autorités de contrôle des données personnelles. En tout, selon l’EDPB, ce sont un peu moins de 56 millions d’euros d’amendes qui ont été infligés lors des neuf premiers mois du RGPD.
Cependant, ce chiffre comprend l’amende de la CNIL, que Google entend contester devant la justice française. Mise à part l’autorité française, les sanctions demeurent donc relativement timides, en tout cas loin de leur plafond théorique.
Les géants du numérique dans le viseur
Le discours s’est toutefois musclé ces derniers mois. Dans nos colonnes, la nouvelle présidente de la CNIL expliquait qu’un an après l’entrée en application du RGPD, c’était « la fin d’une certaine forme de tolérance ». Lors d’une conférence il y a quelques jours, son homologue irlandaise a promis « pour les mois qui viennent » les « résultats » des nombreuses enquêtes menées par son administration. Les services de l’autorité irlandaise de protection des données ont instruit ces derniers mois 52 enquêtes d’ampleur, dont dix-huit concernent de grandes entreprises américaines du numérique.
Aura internationale
En un an, le RGPD s’est imposé comme un standard international de la protection des données. Il a notamment inspiré l’Etat de Californie, aux Etats-Unis, dans l’écriture de son propre texte. Nouvelle ère ou opportunisme, certains géants du numérique américains louent en tout cas aujourd’hui les mérites du RGPD, signe d’un changement de perception des enjeux liés aux données personnelles dans le monde, et en particulier outre-Atlantique.
« Ce que je défends c’est que le RGPD soit adopté par davantage de pays », expliquait le patron de Facebook, Mark Zuckerberg, de passage à Paris il y a peu, devant une poignée de journalistes dont Le Monde. Dans une tribune au New York Times, son homologue chez Google, Sundar Pichai, notait que « l’Europe a élevé le niveau en matière de loi sur la vie privée ». « Nous pensons que les Etats-Unis bénéficieraient de l’adoption de sa propre loi », expliquait en outre le dirigeant.
Un comble, pour ces ogres des données personnelles qui jetaient, il y a encore quelques années, des millions de dollars dans la tentaculaire bataille contre le RGPD.
Comprendre le RGPD, le nouveau règlement de protection des données, en cinq questions