Depuis mai 2018, le RGPD ou Règlement Européen sur la Protection des Données est entré en vigueur, dans le but d’améliorer la sécurité des usagers du web en fournissant une information transparente et totale sur le traitement des données personnelles. Le privé a été particulièrement impacté : le récent exemple de Google, épinglé par la CNIL (Commission nationale de l’informatique et des libertés) pour absence de mise en conformité, a montré qu’aucune entreprise n’était au-dessus du RPGD, aussi grosse soit-elle. Les sanctions sont lourdes et les plaintes pleuvent. Mais quel bilan peut-on tirer après une année d’application ?

Le RGPD en résumé

Le RGPD, Règlement Général sur la Protection des Données, cherche à donner un nouveau cadre au traitement et à la circulation des données à caractère personnel, au niveau européen. Peu de lois régissent précisément la collecte et l’utilisation des données des utilisateurs sur le web, et surtout, la plupart ne sont pas appliquées. Cookies, adresse IP, habitudes de navigation, historique des achats, profil socio-culturel, l’analyse des données relatives aux habitudes du consommateur est une véritable manne pour les entreprises, qui n’hésitent pas à récupérer ces informations personnelles sans son consentement, de manière frauduleuse ou à les acheter à  des tiers peu scrupuleux. On relève surtout un énorme manque de transparence : l’internaute n’est même pas informé de ce qu’il se passe.

En moins d’une année de RGPD, on a vu tripler les notifications de violations de données personnelles (passant de 600 à plus de 2000) et les plaintes (passées de 3797 à plus de 11 900) ! Un bilan qui ne cesse d’augmenter, prouvant l’intérêt croissant des internautes pour leur propre sécurité.

Les contraintes de protection des données pèsent lourd sur les entreprises

Dans la pratique, le RGPD a imposé de nouveaux processus de mise en conformité, plus lourds et plus contraignants. Mais c’est exactement l’objectif : le RGPD cherche à imposer de nouveaux modes de développement, loin des applications « vites faites, mal sécurisées » : c’est véritablement une loi tournée vers la sécurité et la protection des intérêts de l’utilisateur, un bouleversement majeur dans des pratiques jusque là peu contrôlées. Développer une application ou mettre un site en ligne requiert un suivi des « bonnes pratiques RGPD », ce qui n’était pas une priorité pour toutes les entreprises.

La protection des données personnelles, la transparence des méthodes et de l’utilisation de ces données sont trois points cruciaux de la mission de la CNIL, qui travaille à la mise en conformité des entreprises avec le RGPD (au delà du traitement des plaintes). L’utilisateur a droit à l’information, et l’entreprise a le devoir d’assurer la sécurité du stockage… ce qui commence à poser des problèmes avec l’hébergement dans le Cloud !

La nomination d’un DPO (délégué à la protection des données ou data protection officer) auprès de la CNIL est également devenue obligatoire pour les entreprises, pourvu qu’il soit compétent et habilité à intervenir en toute indépendance.

La CNIL sanctionne la non mise en conformité

Aujourd’hui, l’infraction au RGPD se paie cher dans les entreprises privées : 50 millions d’euros d’amende pour Google en janvier 2019, une sanction prononcée par la CNIL, la haute autorité européenne de protection des données, qui a estimé que le mastodonte américain ne fournissait pas suffisamment d’information quant au traitement des données privées. Une première pour la CNIL, et probablement pas la dernière… Suivent Microsoft Office et Windows 10, également dans le viseur de la CNIL pour « problèmes de confidentialité ».

Le futur du RGPD ?

L’exemple de Google est un avertissement clair pour les entreprises, sommées par la CNIL de se mettre en conformité et de respecter une fois pour toutes la vie privée des clients et utilisateurs. Toutefois, certains sites ont préféré bloquer tout simplement les internautes européens, histoire d’éviter d’avoir à se mettre en conformité avec le RGPD… reste à voir de quelle façon cela évoluera.

L’immense difficulté à encadrer les pratiques des entreprises qui collectent « sauvagement » les données de navigation, en raison de la variété des techniques mises en œuvre sur le net, de la méconnaissance du public et surtout du caractère international de l’internet ont de tout temps entravé l’application d’un tel règlement. Avec son autorité, la CNIL peut véritablement faire appliquer une loi jusque là négligée des entreprises.

Si le public est de mieux en mieux informé, une harmonisation de la législation au niveau de l’Europe était nécessaire. On peut espérer que le RGPD est une première étape, qui aboutira un jour sur la mise en place de véritables accords mondiaux, dans le but d’améliorer la protection de tous les utilisateurs du web.