Règlement général sur la pro­tec­tion des données (RGPD) : ex­pli­ca­tions et résumé des nou­veau­tés

Le règlement général sur la pro­tec­tion des données (RGPD) de l’UE vise à ré­gle­men­ter le trai­te­ment des données per­son­nelles et à établir ainsi une lé­gis­la­tion uniforme en matière de pro­tec­tion des données. Le RGPD s’applique aux 27 États membres de l’UE, mais près de quatre ans après l’entrée en vigueur du dernier amen­de­ment, on ne peut toujours pas vraiment parler d’une réforme de la pro­tec­tion des données valable à l’échelle eu­ro­péenne. Les experts et les as­so­cia­tions de pro­tec­tion des con­som­ma­teurs cri­ti­quent l’inertie des lé­gis­la­teurs européens et nationaux, les en­tre­prises s’agacent surtout de la bu­reau­cra­tie sup­plé­men­taire et de la situation juridique parfois opaque. Nous vous proposons ci-dessous un résumé de la situation juridique actuelle et pré­sen­tons dans une check-list les mesures que vous devriez prendre dans votre en­tre­prise.

Les lois ou di­rec­tives eu­ro­péennes prennent en général beaucoup de temps pour s’appliquer, même après une entrée en vigueur of­fi­cielle. En effet, si une nouvelle directive eu­ro­péenne est adoptée après de longs débats par le parlement à Bruxelles et à Stras­bourg, les 27 états membres se voient souvent accorder des périodes tran­si­toires plus ou moins gé­né­reuses pour intégrer la loi dans la lé­gis­la­tion nationale. Ainsi, un temps parfois important peut s’écouler avant la mise en œuvre concrète.

Cependant, en plus des di­rec­tives, il existe un deuxième type de lé­gis­la­tion eu­ro­péenne : ce sont les rè­gle­ments. Ces derniers n’offrent pra­ti­que­ment aucune souplesse en termes de délai d’ap­pli­ca­tion. Ils sont ju­ri­di­que­ment con­traig­nants pour l’ensemble des pays membres et touchent bien entendu les en­tre­prises qui tra­vail­lent dans l’espace européen. C’est le cas du RGPD qui est un règlement et non une directive.

En mai 2016, le règlement européen sur la pro­tec­tion des données a été dé­fi­ni­ti­ve­ment adopté par le Parlement européen, avec une période tran­si­toire de deux ans, et est entré en action le 25 mai 2018. Depuis cette date, ce règlement fait office de loi of­fi­cielle sur la pro­tec­tion des données pour tous les états membres de l’UE, sur­pas­sant toutes les lé­gis­la­tions na­tio­nales exis­tantes. Ainsi, toutes les en­tre­prises et autorités publiques qui tra­vail­lent avec des données à caractère personnel doivent mettre en œuvre désormais les nouvelles dis­po­si­tions imposées par l’UE.

L’ap­pli­ca­tion du RGPD a commencé à produire ses premiers résultats. La CNIL, qui est en France chargée de collecter les man­que­ments et les cas de vio­la­tions du droit défini par le règlement européen a réalisé un bilan chiffré en 2021. On y apprend que 69 % des Français se disent plus sensibles à la question de la pro­tec­tion de leurs données per­son­nelles. Plus de 13 500 no­ti­fi­ca­tions de vio­la­tions de données ont été reçues par la CNIL, soit 2/3 d’aug­men­ta­tion depuis la mise en place du RGPD. Dans le même temps, 80 000 or­ga­nismes ont désigné un délégué à la pro­tec­tion des données (DPO : nous ex­pli­quons son rôle plus en avant dans notre article). Ce bilan plutôt positif sur la mise en ap­pli­ca­tion du RGPD révèle cependant qu’il reste encore du chemin à parcourir pour que l’ensemble des acteurs du Web (en­tre­prises, or­ga­nismes et ad­mi­nis­tra­tions) adaptent leurs struc­tures et systèmes in­for­ma­tiques aux exigences du RGPD.

Mais qu’en est-il dans la pratique ? Pour cela, il vaut la peine de jeter un coup d’œil aux sta­tis­tiques. Le service juridique Data Legal Drive réalise chaque année une étude re­pré­sen­ta­tive dans le cadre de laquelle plus de 300 en­tre­prises fran­çaises sont in­ter­ro­gées sur le thème de la pro­tec­tion des données et sur leurs efforts en matière de RGPD. Si l’on compare l’enquête de 2020 avec l’enquête de 2021, il apparaît clai­re­ment que la majorité des en­tre­prises (47 %) ont désormais mis en œuvre l’in­té­gra­lité ou du moins la majeure partie des dis­po­si­tions du RGPD. Un site Web sur deux est désormais en con­for­mité avec le RGPD, contre un sur trois en 2019 et 2020.

Il est vrai que les obstacles sont aussi l’in­cer­ti­tude juridique et le manque de clarté de la mise en œuvre du RGPD. D’où également la réaction du lé­gis­la­teur français pour adapter et préciser la loi national avec le RGPD avec l’or­don­nance du 12 décembre 2018. Son but est de sim­pli­fier la mise en œuvre et d’apporter des cor­rec­tions pour être cohérent avec le règlement européen relatif à la pro­tec­tion des données à caractère personnel. Le texte procède donc à la réé­cri­ture de l’ensemble de la loi « In­for­ma­tique et Libertés » de 1978. De plus, elle précise les missions de la CNIL.

De nom­breuses personnes con­cer­nées estiment que l’obli­ga­tion de demander d’abord un accord concret à l’uti­li­sa­teur pour chaque échange de données et de l’informer de l’uti­li­sa­tion des données est inac­cep­table. En outre, les 37 % des en­tre­prises qui n’ont pas encore mis en œuvre le RGPD estiment qu’il est né­ces­saire d’améliorer et de sim­pli­fier le processus de con­for­mité avec des étapes claires. En fin de compte, même après trois ans de RGPD, de nom­breuses en­tre­prises ne savent toujours pas comment intégrer les nouvelles règles de pro­tec­tion des données dans leur propre réseau in­for­ma­tique, malgré les efforts d’in­for­ma­tions de la CNIL.

Résultat : pour les nombreux en­tre­pre­neurs, la situation juridique com­pli­quée se traduit par des de nom­breuses sanctions ! En cas d’in­frac­tion, les en­tre­prises con­cer­nées par le RGPD sont menacées de lourdes amendes pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une en­tre­prise, jusqu’à 4 % du chiffre d’affaires annuel mondial. Des en­tre­prises pres­ti­gieuses telles que Google ou Meta (an­cien­ne­ment Facebook) ont déjà dû payer pour leurs né­gli­gences en matière de pro­tec­tion des données. Selon le cabinet d'avocats DLA Piper, la France à elle seule a infligé près de 55 millions d'euros d’amendes depuis l'entrée en vigueur du règlement, avec plus de 5 300 in­frac­tions signalées.

Les rè­gle­ments de l’UE l’emportent sur les lois na­tio­nales ou sur le droit des États membres, c’est ce que l’on nomme le principe de primauté. Toutefois, le règlement général sur la pro­tec­tion des données comporte certaines clauses d’ouverture qui per­met­tent aux États membres d’amoindrir ou de renforcer certaines règles ou dis­po­si­tions sur la pro­tec­tion des données. C’est le cas par exemple de l’article 8 du règlement qui fixe à 16 ans le seuil d’âge à partir duquel un mineur pourra donner son con­sen­te­ment à ce que ses données per­son­nelles puissent être col­lec­tées par des en­tre­prises (Snapchat, Facebook etc.), mais laisse cependant aux par­le­ments nationaux la pos­si­bi­lité de descendre jusqu’à 13 ans ; chaque pays est ainsi libre de renforcer cette dis­po­si­tion.

En France, pour l’instant, la majorité numérique a été fixée à 15 ans. Ainsi à partir de cet âge, un mineur peut consentir seul à un trai­te­ment de données à caractère personnel. Par contre, en dessous de 15 ans, l’accès aux données per­son­nelles du mineur est soumis au double con­sen­te­ment de ce dernier et du titulaire de l’autorité parentale.

Le règlement général sur la pro­tec­tion des données a pour objectif principal d’har­mo­ni­ser au niveau européen le cadre juridique relatif à la pro­tec­tion des données. Alors que la directive de 1995 en vigueur dans l’espace européen offrait une certaine souplesse, le nouveau règlement donne lui beaucoup moins de pos­si­bi­li­tés d’actions uni­la­té­rales au niveau national.

Un deuxième domaine essentiel abordé par le RGPD concerne les chan­ge­ments tech­no­lo­giques in­ter­ve­nus au cours des 25 dernières années et les évo­lu­tions tech­niques futures. En effet, de nombreux défis en matière de pro­tec­tion des données sont encore à relever, par exemple au niveau de la collecte des données bio­mé­triques auprès des employés qui peut être obli­ga­toire pour certains travaux sur des machines in­tel­li­gentes. Il existe bien évi­dem­ment la tentation d’utiliser ces données à d’autres fins comme notamment pour calculer ou sur­veil­ler le rendement. Le nouveau règlement européen devrait également répondre à de tels dé­ve­lop­pe­ments ou de possibles dérives.

Un résumé du règlement général sur la pro­tec­tion des données doit en premier lieu aborder les chan­ge­ments liés aux données à caractère personnel. C’est notamment là que se pro­dui­sent les chan­ge­ments les plus im­por­tants, et même si ce n’est pas le but originel du règlement européen général sur la pro­tec­tion des données, le RGPD renforce nettement la pro­tec­tion des données des par­ti­cu­liers. Tout un ensemble de pa­ra­graphes permet de ré­gle­men­ter et encadrer la collecte de données per­son­nelles d’une manière com­pré­hen­sible et ap­pro­priée.

Par exemple, la res­pon­sa­bi­li­sa­tion des en­tre­prises, le processus de mise en con­for­mité d’une en­tre­prise (ac­coun­ta­bi­lity) a été étendu : depuis la mise en place du règlement, des obli­ga­tions plus con­traig­nantes pour do­cu­men­ter et prouver quelles données une en­tre­prise collecte sont obli­ga­toires, et surtout à quelles fins une en­tre­prise utilise ces données et enfin comment elle les traite. Le règlement général sur la pro­tec­tion des données ordonne avant tout un travail de do­cu­men­ta­tion.

Les principes les plus im­por­tants en bref :

1. In­ter­dic­tion de principe avec réserve d’au­to­ri­sa­tion : cela signifie que tout trai­te­ment de données à caractère personnel et « sensible » est interdit, à moins qu’il ne soit ex­pres­sé­ment autorisé à la fois par les personnes et par une autorité : en France, il s’agit de la CNIL. Ceci a provoqué au­pa­ra­vant de nom­breuses con­tro­verses et des conflits ju­ri­diques. Mais toutes les données n’ont pas la même im­por­tance et il existe des données jugées « sensibles » comme la santé, les opinions, les origines ethniques, etc. Cependant, selon le RGPD, ce principe d’in­ter­dic­tion s’applique in­dif­fé­rem­ment à toutes les données per­son­nelles. Il réaffirme donc le principe de la maîtrise par l’individu de ses données, et toute personne dispose ainsi du droit de décider et de contrôler les usages des données à caractère personnel la con­cer­nant.
    
2. La finalité : les en­tre­prises ne peuvent collecter et traiter les données qu’à des fins spé­ci­fiques. Pour ce faire, les objectifs doivent être formulés avant la collecte, et l’uti­li­sa­tion future des données doit être do­cu­men­tée. Par exemple, dans le monde du travail, les données collectés par une en­tre­prise pour rédiger un contrat sont stockées à ce titre et ne peuvent être utilisées à des fins pu­bli­ci­taires. Il s’agit là d’un autre objectif qui nécessite une jus­ti­fi­ca­tion par­ti­cu­lière. Les chan­ge­ments d’objectifs ul­té­rieurs ne sont autorisés que dans certaines cir­cons­tances.
    
3. Mi­ni­mi­sa­tion de la collecte : le principe de li­mi­ta­tion ou de mi­ni­mi­sa­tion de données oblige les en­tre­prises à collecter le moins de données possible. Seules les données stric­te­ment né­ces­saires à la réa­li­sa­tion de l’objectif peuvent être col­lec­tées, le fait de re­cueil­lir des données non per­ti­nentes à la finalité énoncée est donc interdit. Ainsi, ce principe interdit la collecte de données « en aveugle » pour cons­ti­tuer des réserves.
    
4. Trans­pa­rence : le trai­te­ment des données doit être clai­re­ment énoncé et com­pré­hen­sible pour les personnes con­cer­nées. Ceci nécessite d’une part des dé­cla­ra­tions de pro­tec­tion de données com­pré­hen­sibles (des mentions d’in­for­ma­tion) et d’autre part, les uti­li­sa­teurs bé­né­fi­cient de droits étendus grâce aux progrès apportés par le RGPD : comme au­pa­ra­vant, les en­tre­prises doivent fournir des in­for­ma­tions sur les données dont elles disposent et sur l’uti­li­sa­tion de ces dernières.
    
5. Con­fi­den­tia­lité : les en­tre­prises doivent s’assurer qu’elles protègent les données per­son­nelles de leurs clients sur le plan technique et or­ga­ni­sa­tion­nel, qu’il s’agisse d’une pro­tec­tion contre un trai­te­ment non autorisé, d’al­té­ra­tions des données, de vols ou encore de la des­truc­tion des données. L’obli­ga­tion explicite de prendre des mesures tech­niques pour sécuriser les données est nouvelle. Cependant, ces mesures ne sont pas pré­ci­sé­ment formulées dans le règlement européen de pro­tec­tion des données ; il existe donc plusieurs in­ter­pré­ta­tions possibles. Dans le cas d’un vol de données, ceci va dépendre de l’adé­qua­tion des mesures de pro­tec­tion tech­niques et d’or­ga­ni­sa­tion en fonction du risque et du type de données col­lec­tées.

Tout d’abord, le règlement général sur la pro­tec­tion des données est une bonne base et une avancée pour tous les con­som­ma­teurs, in­ter­nautes et uti­li­sa­teurs de systèmes in­for­ma­tiques. En effet, le RGPD assure une pro­tec­tion accrue. De plus, ce règlement européen affecte également les droits des employés.

Ces règles s’ap­pli­quent à toutes les en­tre­prises qui emploient des salariés. Par ailleurs, de nom­breuses en­tre­prises sont con­cer­nées à plusieurs titres : la pro­tec­tion de la vie privée des employés (pro­tec­tion des données du travail) mais aussi des données clients, four­nis­seurs ou les uti­li­sa­teurs des sites Web.

Désormais, toutes les autorités publiques et toutes les en­tre­prises dont l’activité prin­ci­pale est liée au trai­te­ment de données à grande échelle doivent désigner un délégué à la pro­tec­tion des données, qui sera res­pon­sable, à l’échelle de l’ins­ti­tu­tion ou de l’en­tre­prise, de tous les sujets en rapport à la pro­tec­tion des données et de la mise en ap­pli­ca­tion du RGPD. Selon le règlement européen sur la pro­tec­tion des données, la dé­sig­na­tion d’un tel délégué est obli­ga­toire pour les autorités ou or­ga­nismes publics et pour les en­tre­prises dont les activités de base les amènent à réaliser un suivi régulier et sys­té­ma­tique des personnes à grande échelle, et/ou dont les activités de base amènent à traiter à grande échelle des données dites « sensibles ». Ainsi, de nom­breuses en­tre­prises sont con­cer­nées par la dé­sig­na­tion d’un délégué, et il peut même être judicieux pour d’autres en­tre­prises de le faire également, afin d’aider et de garantir la sécurité juridique du processus de con­for­mité au règlement général sur la pro­tec­tion des données.

Le RGPD modifie et encadre fon­da­men­ta­le­ment le rôle déjà existant au niveau national du Cor­res­pon­dant In­for­ma­tique et Libertés (CIL). Son champ d’activité est élargi et sa res­pon­sa­bi­lité augmente. Cette tâche implique beaucoup de travail et le délégué doit se fa­mi­lia­ri­ser avec la nouvelle situation juridique. Pour cela, la Cnil offre un aperçu des obli­ga­tions du délégué à la pro­tec­tion des données, qui est utile pour bien com­prendre le rôle de ce dernier. Enfin, il est possible de retrouver sur ce sujet les lignes di­rec­trices de l’article 29 sur la pro­tec­tion des données sur les délégués à la pro­tec­tion des données (DPD).

Vous trouverez ci-après un résumé du règlement général sur la pro­tec­tion des données, qui tient compte en par­ti­cu­lier des in­no­va­tions et chan­ge­ments pour les ex­ploi­tants de sites Web et pour les en­tre­prises.

• Do­cu­men­ter la con­for­mité : le RGPD met l’accent sur la res­pon­sa­bi­lité des en­tre­prises, plus connue sous le terme d‘ac­coun­ta­bi­lity. En effet, les en­tre­prises sont obligées de do­cu­men­ter leur bonne con­for­mité en matière de pro­tec­tion des données via une do­cu­men­ta­tion interne. Les en­tre­prises doivent être en mesure d’informer à tout moment les autorités com­pé­tentes, par le biais d’une liste cor­res­pon­dante, des données stockées, de la finalité et du trai­te­ment des données ainsi que la date à laquelle l’en­tre­prise compte supprimer ces données.
   
• Privacy by Design : la notion de Privacy by Design signifie que les en­tre­prises doivent dès la con­cep­tion de la structure technique des processus tenir compte du respect de la pro­tec­tion des données. Il n’est plus autorisé de mettre en œuvre des mesures de pro­tec­tion de données de manière ré­tros­pec­tive : il faut les intégrer dès la con­cep­tion d’un processus, service ou produit. De plus, ces derniers doivent donc être conçus de manière à ce qu’ils re­quiè­rent le moins de données per­son­nelles possible (principe dit de « mi­ni­mi­sa­tion »).
   
• Privacy by Default : ou pro­tec­tion de la vie privée par défaut, cette dis­po­si­tion du règlement européen sur la pro­tec­tion des données stipule qu’en principe, la variante la plus res­pec­tueuse de la pro­tec­tion des données doit être tech­ni­que­ment pré­dé­fi­nie et doit garantir le plus haut niveau de sécurité. Cela afin d’éviter aux con­som­ma­teurs de devoir faire face à des réglages tech­niques com­pli­qués pour obtenir des res­tric­tions sur le trai­te­ment des données.
   
• Trans­pa­rence et con­sen­te­ment : dans la majorité des cas, les individus doivent accepter ex­pli­ci­te­ment l’uti­li­sa­tion de leurs données per­son­nelles. En outre, le con­sen­te­ment de l’employé ou du con­som­ma­teur n’est valable que pour les objectifs énoncés. De plus, la dé­cla­ra­tion de con­sen­te­ment doit être formulée de manière claire et com­pré­hen­sible et doit en principe être révocable. La ré­vo­ca­tion doit être aussi facile pour la personne que de donner son accord (con­sen­te­ment). Les exigences au niveau du con­sen­te­ment effectif ont été ren­for­cées dans le cadre du RGPD. Un dé­sé­qui­libre grave entre les parties peut exclure le caractère vo­lon­taire, tout comme le fait de lier l’octroi à la con­clu­sion du contrat.
   
• Sup­pres­sion des données : les données per­son­nelles ne peuvent être con­ser­vées que pour la durée né­ces­saire à l’objectif poursuivi. Si l’au­to­ri­sa­tion de trai­te­ment expire (par exemple si le con­sen­te­ment est révoqué), les données doivent être sup­pri­mées.
   
• Droit d’in­for­ma­tion et au dé­ré­fé­ren­ce­ment : les citoyens de l’Union eu­ro­péenne ont le droit de savoir, sur demande, quelles données sont détenues par une en­tre­prise et comment elles sont utilisées. De plus, un con­som­ma­teur peut aussi demander aux en­tre­prises de supprimer les données. C’est notamment le droit au ré­fé­ren­ce­ment qui est ainsi stipulé dans le RGPD.

Le règlement général sur la pro­tec­tion des données ne contient pra­ti­que­ment pas de règles ex­pli­cites pour l’e-commerce, mais énonce plutôt des principes généraux de la pro­tec­tion des données, dont les sous-domaines sont régis par d’autres lois et or­don­nances. Néanmoins, les règles du RGPD apportent aussi quelques in­no­va­tions pour le commerce en ligne. A ce sujet, pour plus d’in­for­ma­tions, vous pouvez consulter les deux sections suivantes.

Outre les ré­gle­men­ta­tions sus­men­tion­nées pour les en­tre­prises, le RGPD implique fi­na­le­ment peu de chan­ge­ments pour le commerce en ligne. Les thèmes centraux pour les ex­ploi­tants de sites Web comme les cookies, le suivi des uti­li­sa­teurs, le spam et le marketing direct ne figurent pas ex­pli­ci­te­ment dans ce règlement.

Mais le RGPD a en effet été complété par un autre règlement du Parlement européen sur la pro­tec­tion de la vie privée en ligne : c’est l’ePrivacy. Le 23 octobre 2017, le Parlement européen a voté la pro­po­si­tion de règlement, qui vise à modifier la directive du même nom qui date de 2002. Toutefois, il n’est pas encore possible de prévoir quand ce règlement sup­plé­men­taire entrera en vigueur, car les États membres de l’UE ne se sont pas encore mis d’accord sur une ligne commune. En effet, le projet en cours de dis­cus­sion prévoit une exigence de con­sen­te­ment très stricte pour les cookies. Et si le texte est dé­fi­ni­ti­ve­ment adopté dans son état actuel, il aura de sérieuses ré­per­cus­sions sur l’uti­li­sa­tion des cookies, le ciblage et la publicité per­son­na­li­sée. Il faut donc encore attendre de voir comment ce texte va être modifié.

Néanmoins, les ex­ploi­tants de sites Web et les acteurs en e-commerce doivent ab­so­lu­ment sur­veil­ler l’évolution du règlement ePrivacy dit aussi « vie privée et com­mu­ni­ca­tions élec­tro­niques » puisqu’il vise à renforcer la pro­tec­tion de la vie privée des citoyens européens dans le domaine du numérique.

Qu’est-ce qui a changé pour les ex­ploi­tants de sites Web avec le règlement général de l’UE sur la pro­tec­tion des données ? Voici les prin­ci­paux chan­ge­ments pour les ges­tion­naires de sites Web :

1. L’obli­ga­tion de do­cu­men­ter la con­for­mité avec le règlement général sur la pro­tec­tion des données
2. Des con­sen­te­ments et au­to­ri­sa­tions plus complexes
3. Les principes de Privacy by Design et Privacy by Default
4. L‘extension des droits à l’in­for­ma­tion et au dé­ré­fé­ren­ce­ment (sup­pres­sion des données).
5. Le droit à la trans­fé­ra­bi­lité des données
6. Des exigences d’in­for­ma­tion beaucoup plus étendues (par exemple pour la dé­cla­ra­tion de pro­tec­tion des données d’un site Internet)
7. In­ter­dic­tion de su­bor­don­ner le con­sen­te­ment à l’exécution d’un contrat
8. Amendes très élevées

La prin­ci­pale nouveauté du RGPD pour les ex­ploi­tants de sites Internet est le con­sen­te­ment au trai­te­ment des données. En effet, le con­sen­te­ment doit désormais relever d’un « acte positif clair » de la personne avec une liberté de choix. Cela signifie notamment que dans le for­mu­laire une case pré-cochée au con­sen­te­ment va désormais être interdite. Il faut que la personne coche elle-même la case sig­ni­fiant qu’elle donne son con­sen­te­ment. Il est désormais également prévu que la personne puisse retirer son con­sen­te­ment aussi fa­ci­le­ment qu’elle l’a donné. Ce dernier point est une avancée au niveau du droit des données per­son­nelles.

Enfin, les experts con­si­dè­rent que le fait que l’exécution d’un contrat ne doive pas être su­bor­don­née au con­sen­te­ment est la plus grande res­tric­tion imposée par le règlement général sur la pro­tec­tion des données. Ainsi, si vous demandez l’abon­ne­ment à une news­let­ter en même temps que la con­clu­sion d’un contrat (réa­li­sa­tion d’un achat), vous êtes en violation avec le cadre du droit com­mu­nau­taire de l’Union eu­ro­péenne.

Au final, il ne faut pas oublier aussi les mo­di­fi­ca­tions apportées au niveau de la do­cu­men­ta­tion, des au­to­ri­sa­tions, du stockage des données, des droits d’in­for­ma­tions et enfin du droit de sup­pres­sion.

Si vous désirez appliquer le règlement européen de base sur la pro­tec­tion des données, la première règle est déjà de savoir que les mesures requises varient d’une en­tre­prise à une autre. Cependant, il y a certaines mesures et pré­cau­tions que toute en­tre­prise doit obli­ga­toi­re­ment prendre en compte. Nous les listons ci-dessous :

• Établir une do­cu­men­ta­tion de con­for­mité pour le trai­te­ment des données per­son­nelles.
• Définir une liste des activités de trai­te­ment.
• Établir des moyens de com­mu­ni­ca­tions pour les requêtes et demandes des clients et des uti­li­sa­teurs au sujet de la pro­tec­tion des données.
• Vérifier si vous devez désigner un délégué à la pro­tec­tion des données.
• Adapter la politique de con­fi­den­tia­lité de votre site Internet à la nouvelle ré­gle­men­ta­tion.
• Consulter le res­pon­sable de votre dé­par­te­ment technique et le délégué à la pro­tec­tion des données pour dé­ter­mi­ner si les mesures tech­niques actuelles de pro­tec­tion des données sont suf­fi­santes. Dans certains cas, des mesures com­plé­men­taires peuvent être prises ou alors il peut suffire de mieux intégrer vos mesures exis­tantes dans l’in­fras­truc­ture in­for­ma­tique.
• Toutes les données per­son­nelles col­lec­tées qui violent l’in­ter­dic­tion de la su­bor­di­na­tion d’un contrat au con­sen­te­ment doivent être col­lec­tées dif­fé­rem­ment et en tant que données fournies de manière vo­lon­taire.
• Si vous avez chargé des pres­ta­taires de services externes (sous-traitance) d’ad­mi­nis­trer et de gérer les données per­son­nelles de votre en­tre­prise, vous devez préciser avec eux si les accords conclus cor­res­pon­dent à la réforme de la pro­tec­tion des données, et si né­ces­saire modifier vos accords pour être en con­for­mité avec les nouvelles spé­ci­fi­ca­tions.
• Vérifiez comment vous obtenez l’accord, le con­sen­te­ment de vos clients dans votre boutique en ligne et adaptez la procédure en fonction du RGPD.
• Restez attentif à l’ap­pli­ca­tion du règlement ePrivacy et notamment à sa date d’ap­pli­ca­tion car il va ré­gle­men­ter la façon dont les boutiques en ligne peuvent utiliser les cookies et les outils d’analyse.
• Si vous n’êtes pas sûr, n’hésitez pas à faire appel aux conseils d’un pro­fes­sion­nel.

La majorité des po­li­tiques avaient un avis assez positif lorsque le règlement général sur la pro­tec­tion des données a été adopté. En effet, ce dernier apporte une sécurité juridique pour les citoyens, con­som­ma­teurs et cela garantit pour les en­tre­prises des con­di­tions de con­cur­rence équi­tables entre les dif­fé­rents acteurs du marché européen. En France, la CNIL a donné son avis, et salue cette nouvelle étape. Elle souligne que le projet de loi joue plei­ne­ment le jeu du Règlement et de l’har­mo­ni­sa­tion, et note que ce cadre « renforce en effet les droits des personnes, res­pon­sa­bi­lise davantage l’ensemble des acteurs qui traitent des données per­son­nelles ». En revanche, la Com­mis­sion a émis quelques critiques et « regrette que d’autres pro­po­si­tions n’aient pas été retenues, tendant notamment à l’ajout de garanties sup­plé­men­taires lors de l’uti­li­sa­tion de trai­te­ments al­go­rith­miques ».

Un premier chan­ge­ment assez radical et visible est le fait que certaines en­tre­prises amé­ri­caines coupent désormais l’accès aux in­ter­nautes européens. En effet, au lieu de modifier leurs propres di­rec­tives et règles sur la pro­tec­tion des données pour se conformer au RGPD, de nom­breuses en­tre­prises amé­ri­caines et des sites d’in­for­ma­tion dont de nombreux journaux comme le New York Daily ou encore le Chicago Tribune, bloquent purement et sim­ple­ment les in­ter­nautes avec des adresses IP eu­ro­péennes. D’autres sites réduisent l’in­for­ma­tion offerte ou bien ne l’active que moyennant des frais sup­plé­men­taires. De nombreux dé­trac­teurs du RGPD avaient déjà alarmé sur ce scénario.

L’in­tro­duc­tion du RGPD a aussi eu un in­con­vé­nient pour les clients, con­som­ma­teurs et in­ter­nautes. En effet, pendant des semaines, ces derniers ont reçu d’in­nom­brables emails des boutiques en ligne et d’en­tre­prises pré­sen­tant leurs nouvelles lignes di­rec­trices en matière de pro­tec­tion des données et demandant une dé­cla­ra­tion de con­sen­te­ment. Beaucoup des des­ti­na­taires étaient peu réceptifs et fi­na­le­ment peu in­té­res­sés par la lecture complète de textes ju­ri­diques ex­trê­me­ment longs. La solution fut pour beaucoup de sim­ple­ment cliquer sur le bouton « confirmer ».

Enfin, les premières plaintes viennent d’être déposées partout en Europe. En France, c’est la Qua­dra­ture du Net, as­so­cia­tion de défense des in­ter­nautes, qui a déposé cinq plaintes contre les géants du Web : Google, Apple, Facebook, Amazon et LinkedIn. L’as­so­cia­tion accuse ces sociétés d’exploiter de manière illégale les données à caractère personnel des usagers. Il faut noter que ce sont des plaintes col­lec­tives qui ras­sem­ble­ment plus de 12 000 personnes.

Suite à ces plaintes, la CNIL a procédé à plusieurs contrôles afin de vérifier la con­for­mité à la loi et au RGPD notamment pour Google. Elle a constaté par­ti­cu­liè­re­ment deux séries de man­que­ment au règlement comme l’explique de manière détaillée l’article du magazine le nouvel OBS.

La première concerne l’obli­ga­tion de trans­pa­rence et d’in­for­ma­tion, la CNIL estime en effet que les in­for­ma­tions fournies par Google ne sont pas suf­fi­sam­ment ac­ces­sibles pour les uti­li­sa­teurs. La seconde touche au re­cueil­le­ment du con­sen­te­ment et estime l’in­for­ma­tion trop res­treinte et ne permet donc pas à l’uti­li­sa­teur de prendre cons­cience de l’ampleur du con­sen­te­ment. De plus, il n’est pas « spé­ci­fique » et « univoque ». Ainsi la Com­mis­sion in­for­ma­tique et libertés a infligé à Google une sanction de 50 millions d’euros en janvier 2019, et la CNIL une amende de 150 millions d’euros en janvier 2022. Amazon, quant à elle, a été condamnée à payer une amende de 35 millions d’euros en décembre 2020 pour avoir déposé des cookies pu­bli­ci­taires sur les or­di­na­teurs d’uti­li­sa­teurs sans con­sen­te­ment préalable.

Le RGPD va déjà fêter ses quatre ans en mai 2022. On commence donc à pouvoir mieux quan­ti­fier les sanctions et chan­ge­ments et ainsi faire un bilan plus complet. Le cabinet d’avocats in­ter­na­tio­nal DLA Piper a récemment réalisé une enquête sur le nombre de no­ti­fi­ca­tions recensés depuis le RGPD. On compte ainsi plus de 120 000 no­ti­fi­ca­tions en Europe en 2020, dont 5389 en France. Les sanctions ont atteint au total 158,5 millions d’euros en Europe.