RGPD : quelles évolutions 5 ans après ?

A l'occasion des cinq ans de l'entrée en vigueur du Règlement Général sur la Protection des Données , nous vous proposons une suite de trois articles de blog qui apporteront un éclairage sur ce réglement mis en place par l'Union Européenne en matière de protection de nos données personnelles ! Un grand merci à Romane Riegelhaupt, consultante en cybersécurité et experte RGPD chez Orange Cyberdefense pour son éclairage et sa contribution. 

Depuis l’entrée en vigueur du RGPD, certaines législations ont évolué afin de s’adapter aux mesures adoptées par ce règlement. En effet, certains pays se sont inspirés de ce texte pour leur propre législations (Royaume-Uni, Chine, Californie). De même, la CNIL veille à ce que les textes européens nouvellement promulgués tels que la NIS 2, le Data Governance Act etc intègrent la protection des données personnelles et n’y porte pas atteinte.

Concernant le Royaume-Uni, le Brexit (« British Exit ») a quelque peu bousculé leur cadre juridique de protection des données personnelles. Les transferts de données personnelles depuis l’UE vers le Royaume-Uni sont toujours réalisables sans encadrement spécifique car le 28 juin 2021, la Commission européenne a adopté deux décisions d’adéquation vis-à-vis du Royaume-Uni. L’une au titre du règlement général sur la protection des données (RGPD) et l’autre au titre de la directive en matière de protection des données dans le domaine répressif[1]. La Commission a constaté que les données personnelles bénéficient d’un niveau de protection substantiellement équivalent à celui garanti en vertu de la législation de l’Union. Les transferts depuis l’UE vers le Royaume-Uni sont donc bien considérés comme des transferts vers un pays tiers, mais les responsables du traitement et sous-traitants pourront librement mettre en œuvre ces traitements, sans garantie ou condition supplémentaire.[2]

En parallèle de cette évolution au Royaume-Unis, la Chine a adopté son propre « RGPD » en novembre 2021. En effet, la Chine a promulgué un texte de protection des données personnelles dénommé PIPL (« Personnal Information Protection Law »). L’objectif de ce texte est fortement similaire au RGPD, il s’agit de contraindre les entreprises à respecter certaines règles afin de garantir le droit à la confidentialité des citoyens. Les organisations devront repenser leur stratégie concernant le stockage, le traitement, et le partage des données personnelles.

Ce texte est divisé en trois catégories : informelle, corrective et restrictives. Parmi les mesures prévues par ce texte on retrouve le droit pour les citoyens de réclamer une copie de leurs données, de demander leur correction en cas d’erreur, d’exiger leur suppression et de contrôler la façon dont elles sont utilisées.

Les règles de résidence des données s’appliquent sur toutes les données collectées en Chine et pouvant être transférées vers d’autres pays. Ils existent différents niveaux de précaution en fonction de la sensibilité et du volume de données[3].

Tout comme la Chine, quelques Etats des Etats-Unis se préoccupent de la protection des données personnelles. En effet, depuis le 1^er octobre 2019, les entreprises de l’Etat du Nevada proposant des services en ligne doivent laisser la possibilité à ses consommateurs d’interdire la vente de leurs données personnelles à des tiers. La Californie quant à elle a adopté en novembre 2020 la « Proposition 24 » qui étend la loi existante de l’Etat sur la vie privée (« Consumer Privacy Act ou CCPA ») et réduit la quantité de données que les grandes entreprises technologiques sont autorisées à collecter sur les individus. Les directives de la loi indiquent qu’elle rendra plus difficile pour les sociétés comme Facebook et Google, le suivi de l’activité des gens par le biais de tiers. Par conséquent, une grande partie des modèles commerciaux de publicité des géants de la technologie pourrait être obsolète.

Cette loi rapproche la Californie du RGPD et en tant que loi la plus forte des Etats-Unis, elle est susceptible de servir de norme pour les entreprises de tout le pays. En effet, les personnes qui soutiennent la Proposition 24 pensent qu’elle pourrait créer un précédent pour les futures lois sur la protection des données dans les Etats du pays. Ce ne sera pas la première fois que la Californie montre la voie aux autres Etats[4].

Enfin, le 10 novembre 2022, les députés européens ont adopté la NIS 2 afin d’harmoniser et renforcer la cybersécurité du marché européen.

Cette directive renforce également la fonction de DPO en intégrant l’aspect sécurité mais également sa collaboration avec le RSSI pour faire appliquer les règles imposées par la NIS 2. En effet, la NIS 2 élargit l’éventail des organisations concernées, et donc augmente le nombre de DPO pour lesquels les employeurs vont avoir des contraintes légales de sécurité. La NIS 1 régulait uniquement 6 secteurs d’activités contre 23 pour la NIS 2. De plus, la directive ne cible pas uniquement les grands groupes ou les administrations centrales. Elle concerne à présent les PME, les ETI, et toutes les collectivités territoriales.

Depuis 2018, la CNIL a considérablement augmenté le nombre de ses contrôles ainsi que ses sanctions. En effet, aux débuts du RGPD, la CNIL était indulgente envers les organismes car la mise en conformité était complexe et longue à mettre en œuvre.

Cependant, depuis quelques années (2 ans) le nombre de mises en demeure de la CNIL explosent.

[1]

Au niveau européen, depuis l’entrée en application du RGPD, les amendes prononcées par les autorités de protection des données sur la base de ce texte dépassent le montant total de 2,5 milliards d’euros.

Parmi ces amendes, certaines ont été importantes et majeures en termes de montant et d’impact sur la protection des données personnelles.

En effet, on peut citer l’amende de 180 000€ infligé à « SLIMPAY »[2] le 28 décembre 2021 pour avoir insuffisamment protégé les données personnelles des utilisateurs ainsi que ne pas les avoir informé d’une violation de données. Également, la sanction à l’encontre de « FREE MOBILE »[3] d’un montant de 300 000€, le 4 janvier 2022, pour ne pas avoir respecté les droits des personnes, la sécurité des données de ses utilisateurs et le principe du privacy by default. Le 17 juin 2021, la société « BRICO PRIVE »[4] a également écopé d’une amende de 500 000€ pour avoir envoyé des courriels de prospection sans le consentement des personnes et pour avoir manqué à plusieurs obligations du RGPD notamment le principe de limitation des durées de conservation, les règles attenant aux droits des personnes concernées et celles concernant la sécurité des données.

Enfin les deux plus grosses amendes ont été infligés aux géants des GAFAM : GOOGLE et FACEBOOK[5]. Ces deux entreprises ont été sanctionnées d’une amende de 150 000 000€ pour GOOGLE et 60 000 000€ pour FACEBOOK. Les manquements faisant l’objet des sanctions concernaient les cookies, en effet, sur les sites web facebook.com, google.fr et youtube.com, il n’existait pas de solution telle qu’un bouton ou une équivalence pour refuser les cookies aussi facilement que de les accepter.

Cependant, la CNIL n’a pas uniquement sanctionné de grosses entreprises. En effet, certaines TPE/PME ont également écopé de quelques amendes. Depuis 2018, 23 TPE/PME ont été sanctionnées par la CNIL pour manquement au RGPD. Parmi elles, on peut citer une société de développement de solutions informatiques sanctionnée d’une amende de 75 000€ pour manquement à l’obligation de recueillir le consentement, manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées par la société, manquement relatif à la durée de conservation, manquement relatif à l’information des personnes, manquement relatif au droit d’opposition et manquement à l’obligation d’encadrement contractuel du sous-traitant. Également, une société d’installation d’équipement d’isolation sanctionnée par une amende de 500 000€ pour non-adéquation, non pertinence et caractère excessif des données, défaut d’information des personnes, non-respect du droit d’opposition, non coopération avec l’autorité de contrôle, transfert non encadré de données hors de l’UE. Une coopérative de commerçant détaillant a également écopé d’une sanction 150 000€ pour manquement relatif à l’obligation d’assurer la sécurité des données.