5 ans de RGPD : déjà et seulement à la fois

Le , par Harmonie Peynot - RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce jeudi, nous fêterons donc son 5ème anniversaire ! Et bien sûr, nous sommes tentés de faire un bilan (ou au moins un point d’étape) à l’approche de cet anniversaire.

Le RGPD, une révolution, vraiment ?

L’arrivée du RGPD a été marquée par une vague de prise de conscience des citoyens, la multiplication des cyberattaques et des scandales liés aux géants du numérique. Bon… et peut-être aussi par l’agacement lié aux très nombreux bandeaux de cookies, d’accord !

Bien qu’en France nous avions déjà une autorité de protection des données, la Commission Nationale de l’Informatique et des Libertés (CNIL) ainsi qu’une loi, la Loi Informatique et Libertés, depuis 1978, beaucoup d’organismes ont semblé découvrir la notion de protection des données avec le RGPD.

Notez donc que l’on fête cette année les 5 ans du RGPD et les 45 ans de la CNIL, quelle année !

Ces 5 dernières années, l’entrée en vigueur du RGPD a permis de : 

  • renforcer les pouvoirs de la CNIL : avant 2016, l’amende maximale était de 150 000 € puis 3 millions à partir de 2016 et désormais 20 millions d’€ ou 4% du chiffre d’affaires mondial, une belle augmentation tout de même.
  • harmoniser les règles au niveau européen : même s’il y a encore un peu de boulot sur ce point. Non, vous ne pouvez pas prouver que je pense notamment aux vagues de mécontentement suite aux décisions (ou absences de décisions) de l’autorité de protection des données irlandaise. L’info brûlante de ce début de semaine est d’ailleurs que la plus haute sanction émise au niveau européen vient d’être détrônée ce lundi par une sanction de 1,2 milliard d’euros contre Meta émise par l’autorité irlandaise après avis contraignant de l’European Data Protection Board.
  • renforcer les droits des personnes concernées : notez bien l’utilisation du terme “renforcer” qui insiste sur le fait qu’il en existait déjà auparavant en France.
  • responsabiliser les responsables de traitements : grand pouvoir, grande responsabilité, évidemment.
  • mettre le sujet sur le devant de la scène !

Mais la partie est loin d’être gagnée. 

De nombreux organismes ne se sont toujours pas (ou très peu) emparés du sujet. Citons tout particulièrement les PME, les associations, les fondations et les collectivités territoriales qui font face à des contraintes fortes, notamment en termes de moyens, mais qui manipulent tout de même de nombreuses données, et parfois avec une forte sensibilité. 

La CNIL met d’ailleurs à leur disposition des ressources dédiées : guide pour les TPE/PME, guide pour les associations, guide pour les collectivités territoriales.

Et puis bien sûr, il y a toujours certains organismes qui s’en sont bien emparé. Mais uniquement dans le but de mieux le contourner… Point que j’ai d’ailleurs eu l’occasion d’évoquer dans le 19h de France Inter le 21/05/2023 lors d’un sujet sur les 5 ans du RGPD (début à la 16ème minute).

Revenons un instant sur les pouvoirs de contrôle et de sanction de la CNIL pour un moment chiffré : 

Évolution chiffrée des contrôles et sanctions de la CNIL de 2018 à 2022
20182019202020212022Total depuis 2018
Nombre de contrôles3103002473843451586
Nombre de mises en demeure484249135147721
Nombre de sanctions11814182172
Montant des amendes financières en millions d’euros151138214101505

Évolution chiffrée des contrôles et sanctions de la CNIL de 2018 à 2022

  • Nombre de contrôles

    • en 2018 : 310
    • en 2019 : 300
    • en 2020 : 247
    • en 2021 : 384
    • en 2022 : 345
    • au total depuis 2018 : 1586

  • Nombre de mises en demeure

    • en 2018 : 48
    • en 2019 : 42
    • en 2020 : 49
    • en 2021 : 135
    • en 2022 : 147
    • au total depuis 2018 : 721

  • Nombre de sanctions

    • en 2018 : 11
    • en 2019 : 8
    • en 2020 : 14
    • en 2021 : 18
    • en 2022 : 21
    • au total depuis 2018 : 72

  • Montant total des amendes financières

    • en 2018 : 1
    • en 2019 : 51
    • en 2020 : 138
    • en 2021 : 214
    • en 2022 : 101
    • au total depuis 2018 : 505

On constate donc une montée en puissance des sanctions par la CNIL depuis ces 5 dernières années.

À cela vient s’ajouter, depuis 2022, une procédure simplifiée de sanction dont vous pouvez découvrir le premier bilan sur le site de la CNIL. En résumé, pour des cas “simples”, la CNIL peut émettre des sanctions de manière plus rapide avec des montants limités (jusqu’à 20 000€) et non rendues publiques. Une manière de rappeler aux organismes de plus petite ampleur qu’ils sont aussi dans le viseur ? Les premières sanctions ont d’ailleurs été émises fin 2022 et vous pouvez les consulter sur la page des sanctions prononcées par la CNIL

Mais soyons honnêtes, tout n’est pas tout rose. Si l’on se concentre sur le verre à moitié plein, alors on met en avant la montée en puissance et l’évolution de l’organisation de la CNIL. Mais si l’on se concentre sur le verre à moitié vide, alors on met en avant que les contrôles et sanctions restent à la marge par rapport au nombre de traitements réalisés et d’entités ne respectant pas le RGPD.

Le DPO, un ami qui vous veut du bien ?

Le RGPD a également intronisé le métier de Délégué à la Protection des Données (DPO). Il l’a même rendu obligatoire pour certains organismes (établissements publics ou organismes traitant des données sensibles à grande échelle). 

Le rôle du DPO en résumé ? Être un chef d’orchestre organisant et accompagnant la démarche de protection des données de l’organisme dans une logique d’amélioration continue. Et surtout, traduire concrètement les exigences règlementaires. Et c’est parfois là que le bas blesse. 

Nombreux sont les organismes qui, pleins de bonne volonté, se sont engagés dans la démarche et se sont rendus compte qu’ils n’avaient malheureusement pas trouvé “chaussure à leur pied” en matière d’organisation ou bien de DPO. 

Que ce soit pour des problématiques de positionnement, d’écoute, de pédagogie, de disponibilité, de moyens, d’adaptation aux processus et contraintes de l’organisme, (ou autre !), il peut rapidement se développer une sorte de “peur du RGPD et de ses termes compliqués” ou de “refus/oubli de consulter son DPO” amenant inévitablement à une mort à petit feu de la démarche.

La ré-impulser est alors bien plus coûteux (sur tous les aspects) que si celle-ci avait été maintenue au fil de l’eau. Et je vous laisse imaginer les réticences des équipes à s’investir de nouveau pour raviver la flamme…

Choisir son DPO, en interne ou en externe, n’est donc pas un choix anodin. Lui permettre de mener à bien ses missions en lui fournissant les moyens, le positionnement et l’organisation nécessaires non plus. 

Dans le cas contraire, à force de lutter souvent seul contre vents et marées, celui-ci n’en sort pas toujours indemne comme l’évoque l’étude “Il faut sauver le soldat DPO !” de Bruno Rasle publiée le 5 mai 2023.  

C’est d’ailleurs en cette 5ème année de RGPD que l’EPDB (European Data Protection Board) a décidé de lancer une action coordonnée de contrôle des DPO à laquelle la CNIL participe. 

Oui, parce que désigner un DPO ne consiste pas uniquement à remplir un formulaire auprès de la CNIL en indiquant un nom (oserais-je ajouter “au hasard” ?). Il faut respecter un certain nombre de conditions et réellement mener une démarche. Sinon cela revient à mettre un petit morceau d’adhésif sur le trou de la coque d’un navire… il finira par couler à un moment ou un autre.

Mon conseil ? Choisissez précautionneusement votre DPO et faites en sorte d’en faire votre allié au quotidien. Pour qu’une relation s’épanouisse pleinement, il faut que les deux parties la cultivent.

Encore un long chemin à parcourir ?

Après 5 ans, on peut donc constater que nous ne sommes pas sortis du sable et qu’il y a encore beaucoup à faire. Cela entraîne parfois un sentiment de découragement. Mais le chemin parcouru est déjà conséquent, il faut s’en souvenir. 

Gardons également en tête que chaque action menée en faveur de la protection des données a son importance. Je synthétiserais cela avec un extrait musical (pardon pour la mélodie qui va rester dans votre tête) : 

“C’est peut-être un détail pour vous, mais pour moi ça veut dire beaucoup”. 

Rappelons-nous que lorsque nous travaillons pour protéger les données, c’est surtout la personne qui se cache derrière que nous protégeons. N’oublions pas que notre objectif final reste, encore et toujours, de protéger l’humain. Et chaque avancée est alors précieuse.

Les évolutions réglementaires à venir (DSA - règlement sur les services numériques, DMA - règlement sur les marchés numériques,…), les évolutions technologiques et leurs utilisations (intelligence artificielle, caméras intelligentes,…), le futur des cookies, vont également venir challenger la protection des données personnelles dans les mois et années à venir. 

Alors attachons nos ceintures, prenons un morceau de gâteau (d’anniversaire) et continuons ensemble notre engagement en faveur de la protection des données. Joyeux anniversaire au RGPD et the show must go on !