Alors que le RGPD (Règlement européen sur la protection des données) est entré en vigueur le 25 mai 2018, la CNIL chargé d’en vérifier la bonne application a déjà reçu une avalanche de plaintes (près de 2 fois le nombre de plaintes reçues pour la même époque l’année dernière).
Environ 1000 plaintes (principalement relatives à Internet et au e-commerce) ont été enregistrées le premier mois, de par la "sensibilisation du public au RGPD", selon le porte-parole de la CNIL dans un entretien accordé à l’Agence France Presse.
On relève aussi 5 plaintes collectives contre les Gafam ou plus précisément Google, Apple, Facebook, Amazon, Microsoft et LinkedIn, plaintes déposées par l’association La Quadrature du Net qui prévoit ultérieurement de déposer des plaintes contre Whatsapp, Instagram, Android, Outlook et Skype une fois qu'elle aura un aperçu de la manière dont sont traitées ses premières attaques judiciaires.
SOMMAIRE :
Les obligations du RGPD
Le RGPD donne le droit aux internautes de demander à une entreprise les données qu'elle possède les concernant, de les effacer ou de leur transmettre ces dernières dans un format standard (portabilité des données) .
Les sociétés doivent quant à elles respecter un cadre strict pour récupérer des données (uniquement celles qui leur sont nécessaires), en avertissant les personnes individuelles des traitements et partages qui seront faits de ces données à condition d'avoir le consentement des gens concernés.
Une fois les données recueillies, celles-ci doivent être sécurisées (anonymat, pseudonymisation).
Par ailleurs, les sociétés doivent maîtriser les sous-traitants qui auraient accès à ces données et si ces dernières sont importantes pour leurs activités, les sociétés doivent tenir un registre des traitements de données personnelles et nommer un DPD/DPO (délégué à la protection des données / data protection officer).
Un nombre de plaintes élevées ou pas ?
Si le nombre de plaintes à la CNIL peut sembler élevé un après la mise en place officielle du RGPD, il peut paraître également relativement faible au regard du nombre d’abus que tout un chacun peut encore constater sur Internet ou dans la vie courante.
Une majorité d’entreprises ne connait pas encore les obligations du RGPD ou attend une potentielle adaptation de cette loi, qui peut paraitre très contraignante.
En effet, si lister les données et leurs traitement est relativement facile, s’assurer que les sous-traitants sécurisent les données et respectent le RGPD (notamment avec leurs propres sous-traitants), est compliqué.
De plus, la sécurité technique des données recueillies et conservées est actuellement très coûteuse si l’on respecte exactement ce que veut la nouvelle norme.
Enfin, mettre en place un système permettant de répondre aux demandes "RGPD" des personnes et être capable éventuellement de leur fournir leur historique sous un format « standard » mais non encore défini très précisément, peut s’avérer très difficile.
De manière générale, la loi a un périmètre très large et les autorités ont prévenu que la première année d’application serait une année d’ « éducation » des entreprises.
A qui servira vraiment le RGPD ?
Paradoxalement, alors que le RGPD semblait avoir été créé au niveau européen pour calmer le commerce des données personnelles des multinationales américaines du net, ce sont celles-ci qui se sont mises à la nouvelle norme le plus rapidement possible, à la limite de la loi.
En revanche, l’immense majorité des PME et un grand nombre de grandes entreprises françaises et européennes sont très en retard ou ignorent complètement le sujet. On peut donc aussi s’attendre à ce que les entreprises qui ont fait des efforts aillent demander à la CNIL de sanctionner ou au moins de vérifier les efforts de leurs concurrents, détournant ainsi le but initial du RGPD en arme commerciale pour asseoir encore leur domination.