Accueil 5 ANS DU RGPD

5 ANS DU RGPD

Les 5 temps forts selon les DPO

Paul Olivier Gibert, Président de l’AFCDP

 

L’AFCDP a mené un sondage auprès des chargés de la protection des données personnelles (DPO) membres de l’association, pour faire ressortir les 5 temps forts de ces 5 premières années de mise en application du Règlement Général sur la Protection des Données (RGPD).

 

1 – L’évolution de la sévérité des sanctions des autorités de contrôle, et en particulier le montant des amendes

Il s’agit d’une mise à l’échelle, une mise à niveau, selon deux axes différents : d’un côté, la considération du poids économique de l’acteur sanctionné. En effet, plus d’un milliard d’euros de sanction pour Meta en est une illustration. De l’autre, la reconnaissance de la valeur des données personnelles. Nous avons aujourd’hui une vie qui est marquée par la génération de données à caractère personnel. Ce n’est donc qu’un équitable ajustement face à des enjeux de plus en plus conséquents pour les particuliers. Dans l’exemple de Meta, divisée par le nombre de mois et le nombre de personnes concernées, la sanction ne semble finalement pas disproportionnée. L’AFCDP rappelle que les sanctions de la CNIL ne sont pas nécessairement financières mais peuvent aussi revêtir la forme de mise en demeure publique.

 

2 – L’invalidation du Privacy Shield (accord transatlantique), et son remplacement par le Data Privacy Framework

L’invalidation du Privacy Shield est une source majeure d’insécurité juridique depuis l’été 2020 : soit on accepte de ne pas être au même niveau technologiquement que ses concurrents, soit on prend un risque juridique. Donc tout ce qui va dans le sens d’une solution est une bonne chose. La solution retenue avec le nouvel accord « Data Privacy Framework » (DPF) sera-t-elle la bonne ? Cela reste à confirmer, car les écarts de perception de chaque côté de l’Atlantique fragilisent tout nouveau cadre juridique.

 

3 – La crise du Covid et ses conséquences en particulier sur les modes de travail

La crise sanitaire a démontré que nous étions désormais capables et assez mûrs pour déplacer les informations et les données et non plus les personnes. Ce qui a eu des conséquences importantes sur la protection des données personnelles : nos échanges laissent des traces bien plus importantes que lors d’une réunion physique où les personnes présentes pouvaient être contrôlées. Les DPO ont dû travailler dans l’urgence (cyber assurance des domiciles, charte de télétravail, sécurisation des outils BYOD,…). Aujourd’hui, l’avènement du travail hybride demande de trouver de nouveaux équilibres et de nouvelles règles pour gérer cette situation ambivalente.

 

4 – Les décisions rendant illégale l’utilisation de Google Analytics

L’exemple de Google Analytics est une illustration concrète de la situation de monopole de certains acteurs, qui peut engendrer des problématiques d’envergure pour les professionnels. En effet, ici, l’outil est passé d’un suivi de fréquentation des sites, au moteur de la publicité de tous les acteurs du e-commerce, des médias, et bien d’autres. Pour les responsables Marketing, se passer de Google Analytics représente une perte de performance, donc un enjeu de taille. Cet exemple illustre également les difficultés de prise de décision des autorités face à ces acteurs en situation de monopole. L’adoption du DPF a rendu caduques les décisions d’invalidation de Google Analytics, mais avec les risques de nouveau revirement juridique, de nombreux DPO recommandent de rester prudent et de préférer des solutions alternatives (dont quelques exemples sont disponibles sur le site de la CNIL).

 

5 – La recommandation de la CNIL sur les cookies

Les recommandations de la CNIL sur les cookies sont intellectuellement très pertinentes, mais leur mise en œuvre demande un investissement énorme pour en comprendre les attentes et comment les mettre en application. Peut-être présentent-elles trop de subtilités par rapport à la capacité d’adaptation des entreprises ? De plus se pose la question de savoir s’il s’agit d’une technologie pérenne. Dans ce cas, est-ce intéressant de réglementer ? Quoi qu’il en soit, les bandeaux d’information et de consentement sur les sites web restent obligatoires !