Rechercher

RGPD : 5 ans déjà !

A l'occasion des cinq ans de l'entrée en vigueur du Règlement Général sur la Protection des Données , nous vous proposons une suite de trois articles de blog qui apporteront un éclairage sur ce réglement mis en place par l'Union Européenne en matière de protection de nos données personnelles ! Un grand merci à Romane Riegelhaupt, consultante en cybersécurité et experte RGPD chez Orange Cyberdefense pour son éclairage et sa contribution. 

 

 

Le RGPD souffle ses 5 bougies !

Ce jeudi 25 mai 2023 marquera les 5 ans de l'application du RGPD dans l’ensemble des 27 Etats membres de l’UE.

Le règlement général sur la protection des données dit « RGPD » (règlement UE 2016/619 du Parlement européen et du Conseil en date du 27 avril 2016) est un texte relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à libre circulation de ces données. Ce règlement abroge la directive 95/46/CE adoptée en 1995 et devient une référence en matière de protection des données à caractère personnel. Il a pour objectif de renforcer et d’unifier la protection des données pour les individus au sein de l’UE, d’accroître la protection des personnes concernées par un traitement de données à caractère personnel et de responsabiliser les acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle.

Le contexte de l'adoption de ce règlement

La Commission européenne a proposé en janvier 2012 une réforme globale des règles en matière de protection des données personnelles dans l’UE. Cette réforme porte sur la mise à jour et la modernisation des principes énoncés dans la directive européenne de 1995 sur la protection des données, sous la forme de ce règlement général sur la protection des données et la rédaction d’une nouvelle directive relative à la protection des données à caractère personnel dans le cadre des activités policières et judiciaires (« Directive Justice-Police »).

Le Parlement européen a modifié et adopté le règlement le 12 mars 2014 en 1ère lecture. Des négociations ont suivi entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l’Union européenne et ont pris fin le 15 décembre 2015. Le projet de règlement a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015. La France a transposé le règlement dans une loi adoptée le 14 mai 2018.

Le règlement européen a été publié le 4 mai 2016 dans le Journal officiel de l’Union européenne et entre en vigueur le vingtième jour suivant celui de sa publication. Ses dispositions ont été directement applicables dans l’ensemble des 27 Etats membres de l’UE à compter du 25 mai 2018.

Les premiers impacts de l’adoption du RGDP

A sa mise en œuvre, les organisations devaient garantir et prouver leur conformité à la protection des données personnelles. Pour ce faire, la Commission de l’Informatique et des libertés dit « CNIL » conseillait de mettre en application les 6 étapes suivantes :

  1. Nommer un délégué à la protection des données (Data Protection Officer « DPO » ou Délégué à la Protection des Données « DPD »)
  2. Recenser les traitements de données à caractère personnel dans un registre
  3. Définir les actions correctives
  4. Analyser les risques
  5. Etablir des procédure internes
  6. Tenir une documentation

Le premier impact global était donc d’entrainer les entreprises à se doter d’une nouvelle philosophie de la data en les obligeant à rationaliser leur collecte et leur traitement des données à caractère personnel. Les entreprises se devaient de réaliser un tri des données qu’elles collectaient en vérifiant que les données traitées étaient strictement nécessaires à leurs activités, que la collecte de données sensibles étaient proscrite ou autorisée mais encadrée strictement par la CNIL, que seules les personnes habilitées avaient accès aux données dont elles ont besoin, et enfin, que les données ne sont pas conservées au-delà de ce qui est nécessaire.

L’adoption du RGPD a également impacté la gestion du consentement et de la transparence, le renforcement des droits des personnes concernées et l’extension du champ de responsabilité des acteurs.

Au balbutiement du RGPD, la CNIL se montrait conciliante avec les organismes ne respectant pas le RGPD. En effet, cette réglementation nouvelle était souvent longue et difficile à mettre en œuvre et appliquer pour certaines structures. De ce fait, la CNIL ne sanctionnait alors que très peu et jouait un rôle de conseillère.

Cependant, 3 / 4 ans après son adoption, la CNIL a toujours un rôle de conseillère mais sanctionne désormais beaucoup plus pour non-conformité. En effet, en 2022, la CNIL a effectué 384 contrôles portant principalement sur 3 thématiques. Ces thématiques étaient la prospection commerciale, les outils de surveillance dans le cadre du télétravail, l’utilisation de l’information en nuage (cloud). La CNIL a également beaucoup insisté sur la conformité des sites web notamment en matière de respect des règles concernant les cookies et les traceurs. Elle a en effet déclaré non-conforme l’utilisation de Google Analytics, service de mesure d’audience largement utilisé[1].

En 2023, les contrôles de la CNIL porteront principalement sur l’utilisation de caméras « augmentées/intelligentes » par les acteurs publics, l’utilisation du fichier d’incidents de remboursement de crédit au particulier, l’accès aux dossiers de patient informatisés au sein des établissement de santé et le traçage des utilisateurs par les applications mobiles[2].