Le RGPD vient de célébrer son premier anniversaire. À cette occasion, AT Internet a créé un guide complet sur la façon de vous assurer que votre activité digital analytics est entièrement conforme à la réglementation. Une série d’articles et un quizz sur le RGPD accompagnent le guide pour vous mettre à la page !
Le premier post explorait la grande quantité d’articles sur l’inefficacité de la réglementation à résoudre les problèmes liés à la confidentialité des données. Les critiques sont-elles justifiées ou est-il encore trop tôt pour critiquer un projet aussi complexe et ambitieux après seulement 12 mois ?
Voici 12 critiques❌ majeures contre le RGPD et les arguments de la défense ✅ de la réglementation…
1. ❌ Le chaos était total lors du lancement du RGPD, avec 206 326 infractions signalées au cours des premiers mois.
✅ Bien qu’au départ un grand nombre de cas aient été signalés après l’échéance du RGPD, nombreux sont ceux qui ont été résolus rapidement. Sur environ 200 000 infractions au cours de 9 premiers mois d’existence de la réglementation, environ 65 000 ont été initiées sur la base d’un rapport de violation des données établi par un responsable du traitement des données. Sur les 95 000 plaintes, environ 52 % de tous les cas avaient déjà été classés, 1 % seulement ayant fait l’objet d’un recours devant des tribunaux nationaux.
2. ❌ Pour le consommateur, la réglementation n’a fait que créer un déluge sans fin d’avis de protection de la vie privée s’affichant dans des pop-up que personne ne lit vraiment. Ceci a entraîné une lassitude vis-à-vis du consentement et n’a guère contribué à améliorer la compréhension qu’ont les personnes de la protection de leurs données personnelles.
✅ En fait, la mise en œuvre du RGPD a considérablement sensibilisé les consommateurs aux questions de protection de la vie privée. Suite au scandale Cambridge Analytica, un sondage au Royaume-Uni a révélé que 72 % des personnes avaient déjà modifié les autorisations d’accès à leurs données avant le 25 mai 2018 et qu’elles envisageaient de partager encore moins de données à l’avenir.
3. ❌ Le RGPD décharge trop de responsabilités sur des personnes qui n’ont qu’une compréhension limitée des complexités de la réglementation.
✅ Selon les résultats de l’Eurobaromètre de mars 2019 dans un article rédigé par le Comité européen de la protection des données (EPDB), l’augmentation du nombre de demandes et de plaintes confirme une meilleure compréhension par les personnes des droits en matière de protection des données. 67 % des citoyens européens interrogés ont indiqué avoir entendu parler du RGPD et 36 % d’entre eux ont déclaré être bien conscients de ce que le RGPD implique.
✅ 57 % des citoyens européens interrogés ont déclaré être au courant de l’existence dans leur pays d’une autorité publique chargée de protéger leurs droits en matière de protection des données. Ce résultat montre une augmentation de 20 points par rapport aux résultats de l’Eurobaromètre en 2015.
Cela ne peut qu’augmenter à l’avenir…
4. ❌ Les entreprises n’ont aucune idée de la façon dont elles peuvent se conformer au RGPD et de ce qui constitue une violation des données, comme le reflète le nombre élevé de plaintes. Selon l’IAPP plus de 56 % des répondants soumis au RGPD ont déclaré être loin de la conformité ou ne le seraient jamais et 20 % ont déclaré qu’une « conformité totale serait sans doute impossible ». Dans l’espoir d’éviter les coûts liés à une conformité incorrecte ou retardée, de nombreuses entreprises adoptent une approche passive risquée, car elles ont du mal à comprendre la meilleure marche à suivre.
✅ En tant que nouvelle réglementation, il faudra du temps au RGPD pour être réellement efficace. La confusion durant la phase de mise en œuvre est normale. Cela représente également un défi monumental pour les organismes de réglementation et les entreprises réglementées. De nombreuses organisations sont encore aux prises avec un arriéré des activités nécessaires à la conformité, même plusieurs mois après l’entrée en vigueur du RGPD. Ce travail peut être très lent et nécessite l’intervention d’un délégué à la protection des données bénéficiant d’une expertise juridique et technique.
✅ Les organismes de réglementation ont consacré la majeure partie de l’année 2018 à se mettre au fait de leurs effectifs et de leurs procédures en interne, et à terminer les dernières enquêtes pré-RGPD.
5. ❌ Le soutien et les informations disponibles sur la façon dont les entreprises et les particuliers peuvent se conformer au RGPD sont insuffisants.Les autorités de protection des données locales ne prennent pas les mesures nécessaires pour informer les entreprises et les particuliers des exigences de la réglementation.
✅ Suite à un nombre record de plaintes en France, la CNIL a pris des mesures concrètes pour soutenir les opérateurs et garantir la mise en œuvre réussie du RGPD. Il s’agit notamment de sensibiliser les autorités locales à l’aide d’un guide pratique, de documents thématiques (téléservices, sécurité, délégué à la protection des données et autorités locales, etc.) et d’un module dédié dans sa formation en ligne accessible à tous. L’assistance est fourni via le site Web de la CNIL où une ressource et un kit de développement ont déjà été publiés. La CNIL dialogue aussi étroitement avec les professionnels et les « leaders du marché » en vue de promouvoir le développement des compétences dans tous les secteurs et de soutenir les délégués à la protection des données. En termes pratiques, le site Web de la CNIL offre des outils accessibles à tous tels que :
- Un moyen de vérifier si une organisation a nommé un délégué à la protection des données pour que les personnes puissent exercer leurs droits ou poser une question à une organisation qui gère leurs données, notamment les coordonnées disponibles publiquement via un moteur de recherche dédié
- Un cours de formation au RGPD en ligne ouvert à tous depuis mars 2019, déjà suivi par plus de 35 100 personnes, dont 6 900 ont obtenu un certificat de réussite
- Un modèle de registre des activités de traitement, qui permet d’identifier toutes les opérations de traitement des données et d’avoir une vue d’ensemble des actions liées aux données à caractère personnel
- Un logiciel open source pour exécuter une évaluation de l’impact de la protection des données (DIA), qui est obligatoire pour certaines opérations de traitement
Avec 2 044 avis de violation des données en France et 89 271 au niveau européen, plus de 19 000 délégués à la protection des données (entités morales ou physiques) ont été nommés par plus de 53 000 organisations. Il y a également eu un afflux de demandes d’informations de la part de professionnels souhaitant appliquer le cadre RGPD et une mobilisation croissante des professionnels et des particuliers envers la protection des données. Plus de 8,1 millions de visites ont été enregistrées sur le site Web du CNIL l’année dernière.
6. ❌ Une nouvelle bureaucratie liée au délégué à la protection des données a été créée dans les organisations et les coûts associés sont énormes.Le RGPD impose à toutes les entreprises exerçant des activités dans l’UE de désigner un délégué à la protection des données si leur activité principale consiste au traitement des données. Si les entreprises traitent des catégories spécifiques de données (données sensibles, comme les données biométriques, ethniques, de santé, etc.), elles doivent nommer un délégué à la protection des données quelle que soit l’ampleur du traitement. Les institutions publiques ont également cette obligation. Le défaut de nomination d’un délégué à la protection des données peut entraîner des amendes allant jusqu’à 10 millions d’euros (€) ou 2 % du chiffre d’affaires global d’une entreprise, le montant le plus élevé étant retenu. Par conséquent, jusqu’à 28 000 délégués à la protection des données devraient être nécessaires dans l’UE et aux États-Unis et 75 000 dans le monde.
✅ Bien que les rapports initiaux aient signalé que le RGPD créerait le besoin d’un grand nombre de délégués à la protection des données, beaucoup d’entreprises vont sous-traiter et le chiffre probable est beaucoup plus faible. Les plus petites entreprises sont aussi autorisées à se partager un délégué à la protection des données et celui-ci peut être un employé existant ou une nouvelle recrue.
✅ Le RGPD peut sembler draconien en exigeant que chaque organisation ait son propre délégué à la protection des données, mais la réglementation des données avait grand besoin de modernisation pour s’aligner sur un écosystème en ligne en évolution rapide et pour adapter la loi à son objectif.
✅ En favorisant une culture de protection des données au sein de l’organisation, le délégué à la protection des données permettra d’économiser de l’argent en évitant les amendes potentielles.
✅ Les entreprises réalisent qu’hormis le fait de se concentrer sur les amendes qu’elles pourraient recevoir, la conformité au RGPD peut être considérée comme une opportunité de communiquer avec les clients et de les fidéliser, comme un moteur de confiance accrue et de croissance globale de l’entreprise. C’est l’une des raisons pour lesquelles les services bancaires en ligne, les services de diffusion et les entreprises technologiques, ont fait preuve d’une grande agilité concernant la conformité au RGPD. Les délégués à la protection des données doivent pouvoir agir indépendamment et ne pas recevoir d’ordres de la direction, ce qui crée un climat de confiance envers les pratiques de confidentialité des données d’une entreprise.
7. ❌ Les autorités européennes en charge des données ne disposent pas du personnel et ne sont pas coordonnées pour traiter les demandes. Les organismes de réglementation européens ont déclaré avoir des ressources insuffisantes ou un financement inadéquat pour faire face à la nouvelle charge de travail du RGPD et qu’ils avaient besoin d’une « augmentation substantielle de leurs ressources et de leur personnel ».
✅ 2018 était une année de transition et les divers organismes ont eu besoin de temps pour augmenter leurs effectifs. Les autorités européennes en charge des données ont déclaré que « bien que les ressources de coopération soient robustes et efficaces, elles exigent beaucoup de temps et de ressources. Les autorités de contrôle doivent mener des enquêtes, respecter les règles de procédure, coordonner et partager les informations avec d’autres autorités de contrôle ».
✅ L’autorité irlandaise de protection des données a augmenté ses effectifs de 27 à plus de 130 personnes pour faire face au nombre croissant de plaintes et ce chiffre devrait passer à plus de 200 au cours de l’année prochaine.
✅ Le cadre des amendes liées au RGPD est toujours en cours de création. L’une des raisons probables de l’inégalité des amendes liées au RGPD entre les pays, ainsi que la procédure lente associée, est que les personnes en charge de prendre les décisions juridiques ne disposent pas d’antécédents juridiques pour guider leurs actions.
✅ En 2019, les personnes doivent s’attendre à ce que les organismes de réglementation soient plus concis dans leur interprétation de la loi.
8. ❌ La coordination internationale est presque inexistante. Les autorités de protection des données de plusieurs pays européens doivent également harmoniser la grande variété d’amendes infligées.
✅ Pour fournir plus d’indications sur la façon dont une agence de protection des données doit calculer le montant d’une amende, l’agence néerlandaise de protection des données ou Autoriteit Persoonsgegevens a publié un cadre permettant de déterminer la sévérité d’une amende. Le cadre néerlandais (disponible en néerlandais) compte quatre catégories d’infractions et chaque catégorie dispose d’une amende « par défaut », ainsi qu’un ensemble d’amendes possibles selon la gravité de l’infraction.
✅ L’ICO (Information Commissioner’s Office) au Royaume-Uni collabore avec les agences néerlandaise et norvégienne de protection des données pour créer un cadre harmonisé ou un « kit d’outils » type pour divers organismes de surveillance afin de leur donner une base pour calculer les amendes à l’avenir.
✅ Les autorités de protection des données au sein de l’UE publieront bientôt des rapports annuels, qui devraient nous donner une meilleure idée du niveau de conformité au RGPD un an après sa mise en œuvre.
9. ❌ La menace d’amendes élevées ne s’est jamais concrétisée, à l’exception de la tape sur les doigts infligée par la France à Google. 91 amendes seulement ont été imposées durant les huit premiers mois d’existence du RGPD et (sans compter l’amende de 50 millions d’euros à Google) la moyenne des amendes liées au RGPD était d’environ 66 000 €. Même l’amende de Google n’était qu’une goutte d’eau par rapport au chiffre d’affaires de 136,2 milliards de dollars ($) réalisé par l’entreprise en 2018, c’est-à-dire environ 0,04 %, ce qui est loin des 4 % potentiels.
✅ Les amendes infligées étaient extrêmement mesurées et prouvent que les autorités de protection des données n’essayent pas de piéger les entreprises et qu’elles progressent intelligemment.
✅ L’amende « symbolique » liée au RGPD infligée à Google par la CNIL en France pour « manque de transparence, informations inappropriées et absence de consentement valide concernant la personnalisation des publicités » peut être considérée comme un coup de semonce pour le géant informatique. Cela a aussi démontré que les autorités de protection des données ont la volonté et le pouvoir d’infliger des amendes à de grandes entreprises et que celles-ci ne sont pas intouchables.
✅ La première amende liée au RGPD a été infligée au réseau social allemand, Knuddels. Bien que la violation des données fût importante, compromettant les adresses e-mail et les mots de passe de 330 000 utilisateurs, l’approche proactive de l’entreprise pour résoudre le problème lui a permis de recevoir une amende de 20 000 euros (€) seulement. Non seulement l’entreprise a réagi rapidement en avertissant les clients et les autorités allemandes de protection des données, mais elle a aussi travaillé rapidement pour mettre en place les procédures de sécurité recommandées.
Stefan Brink, commissaire d’état à la protection des données pour Baden-Wurttemberg, a déclaré concernant cette amende de 20 000 euros (€) contre Knuddels : “Le LfDI ne souhaite pas participer au concours de l’amende la plus élevée. La finalité est d’améliorer la confidentialité et la sécurité des données pour les utilisateurs. » Bien qu’il reste à voir si d’autres autorités de protection des données adopteront une approche similaire, ce cas crée un précédent précieux.
✅ En mars 2019, l’autorité polonaise de protection des données a réagi de manière très mesurée en infligeant une amende de 219 000 euros (€) seulement à une entreprise n’ayant pas informé six millions de personnes que leurs données à caractère personnel étaient en cours de traitement. De son côté, l’autorité danoise de protection des données a infligé une amende de 161 000 euros (€) seulement à une entreprise ayant conservé des données à caractère personnel pendant une durée supérieure à celle autorisée par le RGPD.
✅ En juin 2019, la CNIL a infligé une deuxième amende de 400 000 euros (€) à la société immobilière française Sergic. L’infraction était importante (manque de diligence raisonnable dans le traitement de la vulnérabilité et le fait que des documents accessibles révélaient des aspects très intimes de la vie des personnes) mais la CNIL a pris en compte la taille de l’entreprise et sa robustesse financière pour infliger une amende mesurée.
10. ❌ Il s’agit de débuts laborieux pour la réglementation, étant donné que les autorités de protection des données ont déjà traité environ 100 000 infractions et plaintes signalées par des utilisateurs.
✅ Les plaintes sont toujours en cours de traitement et l’impact n’a pas encore été ressenti, car nous n’avons pas encore été témoins d’une application significative et systématique de la loi, en termes de volume et de montant.
Le comité européen de protection des données a publié un rapport indiquant que sur les 206 326 cas signalés dans le cadre du RGPD dans les 31 pays de l’Espace économique européen (EEE), les agences nationales de protection des données n’en ont résolu que 52 %. À mesure que les organismes de réglementation traitent ces arriérés, les entreprises peuvent s’attendre à davantage d’amendes plus élevées dans les mois à venir.
✅De nombreux cas sont également en cours au niveau international et national. Il existe 446 cas transfrontaliers qui sont en général plus complexes à résoudre et prennent plus de temps. Sur le nombre important de cas signalés aux autorités de contrôle de l’EEE, plus de 144 000 demandes et plaintes et plus de 89 000 violations de données ont été enregistrées. 63 % ont été clôturés et 37 % sont en cours.
11. ❌ Le RGPD est inefficace contre les géants technologiques qui ont, au mieux, interprété la réglementation de manière libérale. Il existe aussi un grand manque de transparence. Facebook a fait les gros titres pour sa réintroduction d’un logiciel de reconnaissance faciale et pour avoir partagé des données avec sa filiale récemment acquise, WhatsApp. Paul-Olivier Dehaye (un expert en confidentialité qui a aidé à mettre au jour le scandale Cambridge Analytica de Facebook) a déclaré que « les grandes entreprises comme Facebook ont 10 longueurs d’avance sur les autres et 100 longueurs d’avance sur les organismes de réglementation ; les questionnements sur leurs activités sont légion. »
✅ L’amende de la CNIL envers Google était une première étape importante et a créé un précédent pour évaluer l’impact et la portée du RGPD. D’autres amendes sont à prévoir en 2019 et au-delà.
12. ❌ Google continue de fermer les yeux sur son incapacité à obtenir le consentement des utilisateurs « avant de partager les données entre ses réseaux et produits à évolution rapide, de YouTube à Google Photos, Gmail, etc. » Nicolas Vinocur chez Poltico fait référence à une brèche significative exploitée par les géants technologiques. Johnny Ryan, directeur de la stratégie chez Brave, a qualifié le traitement par Google des données utilisateur dans les transactions publicitaires de « violation des données de masse et continue » où des données utilisateurs intimes sont communiquées à « des milliers d’entreprises chaque jour ». Selon Brave, le système publicitaire de Google diffuse des informations personnelles sur les utilisateurs à « des milliers ou des centaines » de publicitaires potentiels à chaque fois que les utilisateurs consultent un site Web, sans aucune limite sur la façon dont les données sont utilisées, ce qui en fait « la fuite la plus importante de données à caractère personnel jusqu’à maintenant ».
✅ L’autorité irlandaise de protection des données a récemment lancé une enquête sur d’éventuelles violations de la part de le système publicitaire (Ad Exchange) en ligne de Google. Elle est devenue la principale autorité chargée de surveiller que Google respecte la confidentialité après qu’Alphabet ait établi en janvier sa principale base européenne en Irlande.
✅ La commissaire irlandaise à la protection des données, Helen Dixon, a dit que des amendes substantielles étaient prévues dans les prochains mois ». L’autorité irlandaise de protection des données, qui est devenue le principal organisme de réglementation sur le RGPD pour la plupart des grandes entreprises technologiques basées en Irlande, a actuellement 18 enquêtes en cours.
✅ Les affaires dont est saisie la commissaire irlandaise à la protection des données en Irlande sont parmi les plus importantes présentées sur le RGPD. En tant que précédents susceptibles de « redéfinir les modèles métiers », les actions doivent être coordonnées avec d’autres pays et la décision doit être irréprochable pour résister aux contestations judiciaires. Les progrès du délégué irlandais à la protection des données seront essentiels pour renforcer le RGPD à l’avenir, car d’autres leaders technologiques américains comme Facebook, Twitter, WhatsApp, Airbnb, Microsoft et Oath ont également basé leur siège social européen en Irlande pour profiter du système de « guichet unique » qui simplifie le traitement des données transfrontalier pour les entreprises non européennes dans le cadre du RGPD.
La deuxième partie se concentre sur ce que l’avenir réserve en termes de confidentialité des données. Consultez sur notre blog pour suivre l’évolution du RGPD.
Pour un digital analytics conforme au RGPD !
L’Analytics Suite d’AT Internet est à 100 % conforme au RGPD. La protection des données et le respect de la confidentialité des utilisateurs constituent le cœur de notre approche analytics depuis plus de 20 ans.
Fournisseur européen indépendant depuis le tout début, AT Internet a toujours adhéré à des directives européennes strictes sur la confidentialité et la protection des données, qui ont contribué à façonner l’entreprise. Notre solution a été développée selon une approche de type Privacy by design.
Nos relations de longue date avec la CNIL, l’autorité française de protection des données, et la TÜV en Allemagne valident la conformité de l’Analytics Suite. Ces organismes de confiance nous décernent, année après année, leur certificat de conformité.
Les règles de protection des données évoluent ! Lisez notre dernier guide GRATUIT : Le Digital Analytics et le RGPD – un an après, êtes-vous conforme ?
Comments are closed.