Tantôt il suscite des craintes, tantôt il semble sibyllin. Le règlement européen pour la protection des données personnelles doit passer cette année de la phase de découverte à la mise en pratique.
Le 25 mai, le RGPD soufflera sa première bougie. Un an après son entrée en vigueur, cette loi promulguée à l’échelle européenne est sur toutes les lèvres et pourtant, encore peu d’entre nous (54% des Français) savent ce que le RGPD a changé concrètement sur les droits des personnes et les obligations des professionnels. Derrière tous les fantasmes et les craintes qu’il suscite, qu’est-ce que le RGPD ? Le Règlement général sur la Protection des données est un règlement qui s’applique dans l’Union européenne et qui impose aux entreprises ainsi que les administrations, de traiter les informations personnelles selon certaines règles. Avec la multiplication des données en circulation et des outils pour les collecter (smartphones, objets connectés, ou encore reconnaissance digitale et faciale), l’encadrement de cette collecte d’informations est devenu fondamental. Aussi, les entreprises présentes online ont pour obligation d’offrir un accès libre et direct aux internautes qui auraient livré leurs informations personnelles (récoltées au cours de créations de compte, d’inscription à une newsletter, de préférences de navigation…). L’objectif est de rendre au consommateur la maîtrise de son identité et l’usage commercial de ses informations personnelles.
Une majorité de Français acquis à la cause du RGPD
Six mois après l’entrée en vigueur, 65% des Français avaient entendu parler du RGPD selon un sondage Ifop. Bien qu’elle soit encore imprécise, la connaissance du RGPD apparaît globalement bonne, notamment grâce à une médiatisation importante de la question et à une plus grande sensibilité aux questions de protection des données. Cette nouvelle curiosité tient notamment au contexte actuel caractérisé par les scandales de fuites et de piratages de données sur les réseaux sociaux, couplé aux affaires de fake news. Les Français portent ainsi un regard positif sur la réponse législative faite à ces problématiques numériques, pour 73% d’entre eux.
Un an après sa mise place, quels ont été les premiers effets concrets du RGPD sur nos vies ? Le premier acteur témoin des changements apportés par cette loi, n’est autre que la CNIL, la Commission nationale de l'informatique et des libertés, chargée de veiller à ce que l’informatique ne porte pas atteinte aux libertés individuelles ou publiques. “Le RGPD a eu un effet sans précédent sur le site de la CNIL”, est-il précisé dans le dernier rapport éponyme. Pour appuyer ces propos, les chiffres parlent d’eux-mêmes. Le nombre de visiteurs a pratiquement doublé en une année, passant de 4,4 millions en 2017 à 8 millions en 2018. Dans le même temps, le site a été refondu pour appréhender la question de manière plus pragmatique, que ce soit du côté de l’internaute que du côté du professionnel qui peut savoir grâce à l’onglet “Ma conformité au RGPD” si son site obéit aux principes du RGPD.
Plus de plaintes et de sanctions
Ainsi, mieux informés, les individus sont plus à même de passer à l’action et de dénoncer une pratique non conforme. La CNIL a ainsi recensé 11 000 plaintes et 1170 notifications de violations de données. Onze sanctions ont d’ailleurs été prononcées. Parmi les entreprises incriminées, de gros acteurs du e-commerce, pourtant formés depuis longtemps à cette question, ont été pointés du doigt pour manquement à la sécurité des données. Il s’agit notamment de Darty, Uber ou encore Bouygues Telecom.
L’année 2018 aura donc été consacrée à la médiatisation de ce document et à la responsabilisation de tous les acteurs. 2019 devrait entériner la lisibilité du cadre juridique dont la première mouture avait été publiée en 1978. 41 ans après, cette loi a été réécrite et s’est adaptée aux nouvelles réalités numériques.
Dans son dernier rapport d’activité publié en avril, la CNIL a précisé ses nouveaux objectifs pour l’année présente et celles à venir. Le premier volet d’actions vise la pédagogie. A ce titre, l’organisme multiplie sa présence et sa visibilité sur tous les canaux de diffusion, les réseaux sociaux en premier lieu. Ainsi, selon la nature du réseau, la CNIL s’adresse à différentes communautés d’internautes. “Sur Facebook, nous parlons à des prescripteurs du quotidien, souvent des parents/enseignants en recherche d’informations sur la bonne « hygiène numérique » ou des citoyens qui rencontrent des problèmes liés à leurs données personnelles. Sur Twitter, ce sont les influenceurs - souvent technophiles - avec lesquels nous pouvons entrer en contact ou dialoguer. Sur LinkedIN, ce sont des experts, le plus souvent des délégués à la protection des données ou RSSI qui se font « les ambassadeurs » de nos messages auprès de leur réseau professionnel”, nous informe la CNIL.
Des fiches méthodologiques
Par ailleurs, la réussite effective du RGPD passe notamment par la diffusion de conseils “pratico-pratiques” à destination des professionnels. Un guide de sensibilisation au RGPD a été publié l’an dernier pour les quelques 4 millions de TPE et PME. L’accompagnement se poursuit avec la publication prochaine d’un mode d’emploi de même nature que celui dédié aux entreprises privées, mais cette fois pour les collectivités locales. Il reprend sous forme de fiches pratiques les principales étapes méthodologiques d’application du règlement et de sensibilisation du personnel de chaque entreprise. Enfin, la CNIL assure aussi renforcer ses contrôles et sanctions auprès de tous les acteurs concernés, et de conserver un rôle moteur au niveau européen et international.