En vigueur depuis le 25 mai 2018, le RGPD –règlement général sur la protection des données[1]– s’inscrit dans la continuité de la Loi Française Informatique et Libertés de 1978. Pour sa première année d’application,  la CNIL, autorité de protection, parlait d’une année « exceptionnelle ». Depuis, d’autres bilans étape ont été déposé et établissent de nouveaux éclairages quant à l’appropriation de cette nouvelle loi sur l’année 2019.

Constat et marqueur de l’effervescence autour du RGPD, le nombre de plaintes et notifications, par nature en progression, témoigne d’une véritable prise de conscience sociétale des enjeux gravitant autour des données personnelles. Le nombre de notifications recensées est passé de 247 par jour au cours des huit premiers mois, à 278 en 2019, soit une hausse de 12,6%. Le cabinet d’avocat DLA Piper vient à ce titre de livrer de nouveaux chiffres[2], où l’on dénombre plus de 160 000 signalements à l’échelle européenne, dont plus de 100 000 en Pays-Bas, Allemagne et Royaume-Uni. La France prend la 9ème place avec 3459 notifications recensées. Néanmoins, selon la CNIL, il reste 1129 sites encore non conformément accessibles[3]. En harmonisant et encadrant à l’échelle de l’Union européenne le traitement et la circulation des données, le RGPD offre un cadre juridique unique qui s’adapte pour suivre les évolutions technologiques de nos sociétés.

Transition vers le RGPD : une mise en conformité en deux temps.

Si le sujet a été en tête de l’actualité de l’année 2019, l’appropriation du texte n’est pas encore établie pour toutes les entreprises. Si les grands groupes ont rapidement réagit, nombreux encore sont les TPE/PME à ne pas être en conformité.  Pour rappel, quelle que soient sa taille, son pays d’implantation et son activité, tout organisme, qu’il soit privé ou public, et qui traite des données personnelles peut être concerné par le RGPD. En tant que responsable d’un traitement, mais aussi sous-traitant,l’organisme y est tenu dès lors qu’il est établi sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Alors même si le RGPD reste méconnu, il est désormais temps – pour ne pas dire urgent- que tous les systèmes de traitements informatiques soient mis en conformité par leur responsable. Les mesures[4] doivent en effet être prises pour garantir une utilisation des données respectueuse de la vie privée. « L’année 2019 marque l’achèvement de la transition vers le RGPD. Il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte » déclarait la CNIL. En clair, la relative souplesse et tolérance dont faisait preuve l’instance va prendre fin.

Nota bene, la CNIL a noté des risques d’arnaques autour du RGPD. Car si les grands groupes sont immunisés grâce à leurs départements juridiques en interne, les startup, les TPE et PME sont exposées. L’autorité a d’ailleurs dédiée une ligne à cet effet au 01 53 73 22 22.

 

La France en tête des plus lourdes sanctions.

« Nous n’en sommes encore qu’aux premiers jours de l’application de la législation. Nous nous attendons à ce que la dynamique s’accélère avec l’imposition de nouvelles amendes de plusieurs millions d’euros au cours de l’année à venir, à mesure que les régulateurs intensifieront leurs activités d’application » prévoit le cabinet d’avocats international DLA Piper.

  Source : DLA Piper.

Diverses sont les sanctions aux mains  de la CNIL pour veiller au respect de cette nouvelle loi. Outre des avertissements, mises en demeure ou encore suspension de flux de données, ce sont les sanctions administratives qui rendent perceptible ce nouveau cadre réglementaire. Les amendes peuvent s’élever, selon la catégorie d’infraction, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial, sachant que le montant retenu est le plus élevé. Selon DLA Piper, une hausse du nombre de sanctions et du montant des amendes est à prévoir, car les compteurs sont « relativement faibles par rapport aux amendes maximales potentielles qui peuvent être imposées dans le cadre du RGPD ».

Dans son bilan, DLA Piper offre un panorama des sanctions prises sous l’égide cette nouvelle réglementation. Les sanctions n’ont en effet pas tardé à tomber. Sans surprise, certaines, dites exemplaires, ont trait aux géants du net.  L’année 2019 a donc été le théâtre de la décision française prise envers Google, quant à une série d’infractions au RGPD. Prise en janvier 2019, la sanction infligée a atteint 50 millions d’euros et est le record actuel au sein de l’Union européenne. Montants cumulés, on comptabilise près de 114 millions d’euros. Cependant ce dernier bilan  arrive avant l’instance visant la compagne aérienne British Airways, susceptible d’être sanctionné à hauteur de 200 millions d’euros.

 

Si les cadres juridiques encadrant la vie privée ont été pris à l’avant-garde par l’Europe, les normes européennes sont désormais au centre des enjeux mondiaux. A tous les organismes de se mettre en conformité, en attendant le prochain bilan à venir de la CNIL, le 25 mai 2020.

Si vous avez des questions sur la conformité de votre entreprise avec le RGPD, l’équipe de Forcola est à votre disposition pour en discuter.

 

 

[1] En anglais : GDPR, pour General data protection regulation.

[2]Dernier bilan étape 2019 – DLA Piper, dirigeant vers https://www.dlapiper.com/en/uk/news/2020/01/114-million-in-fines-have-been-imposed-by-european-authorities-under-gdpr/.

[3] En date du 20 mars 2019.