Les lois ou directives européennes prennent en général beaucoup de temps pour s’appliquer, même après une entrée en vigueur officielle. En effet, si une nouvelle directive européenne est adoptée après de longs débats par le parlement à Bruxelles et à Strasbourg, les 28 états membres se voient souvent accorder des périodes transitoires plus ou moins généreuses pour intégrer la loi dans la législation nationale. Ainsi, un temps parfois important peut s’écouler avant la mise en œuvre concrète.
Cependant en plus des directives, il existe un deuxième type de législation européenne : ce sont les règlements. Ces derniers n’offrent pratiquement aucune souplesse en termes de délai d’application. Ils sont juridiquement contraignants pour l’ensemble des pays membres, et touchent bien entendu les entreprises qui travaillent dans l’espace européen. C’est le cas du RGDP qui est un règlement et non une directive.
En avril 2016, le règlement européen sur la protection des données a été définitivement adopté par le Parlement européen, avec une période transitoire de deux ans, et est entré en action le 25 mai 2018. Depuis cette date, ce règlement fait office de loi officielle sur la protection des données pour tous les états membres de l’UE, surpassant toutes les législations nationales existantes. Ainsi, toutes les entreprises et autorités publiques qui travaillent avec des données à caractère personnel doivent mettre en œuvre désormais les nouvelles dispositions imposées par l’UE.
L’application du RGPD a commencé à produire ses premiers résultats. La CNIL, qui est en France chargée de collecter les manquements et les cas de violations du droit défini par le règlement européen a réalisé un second bilan chiffré (6 mois après son entrée en application). On y apprend que le RGPD n’est plus inconnu des français, puisqu’une courte majorité (54 %) estime comprendre ce que le RGPD a changé au niveau des droits des personnes et des obligations pour les professionnels. Plus de 1000 notifications de violations de données ont déjà été reçues par la CNIL mais dans le même temps 32 0000 organismes ont désigné un délégué à la protection des données (nous expliquons son rôle plus en avant dans notre article). Ce bilan plutôt positif sur la mise en application du RGPD révèle cependant qu’il reste encore du chemin à parcourir pour que l’ensemble des acteurs du Web (entreprises, organismes et administrations) adaptent leurs structures et systèmes informatiques aux exigences du RGPD.
En effet, concernant les professionnels, une étude de Cisco publiée en janvier 2019 indique que 59 % des entreprises en Europe et dans le monde répondent aux exigences du RGPD. 29 % des sociétés prévoient d’ici un an de le faire.
Mais l’ignorance n’est pas la raison principale des omissions. Il est vrai que les obstacles sont aussi l’incertitude juridique et le manque de clarté de la mise en œuvre du RGPD. D’où également la réaction du législateur français pour adapter et préciser la loi national avec le RGPD avec l’ordonnance du 12 décembre 2018. Son but est de simplifier la mise en œuvre et d’apporter des corrections pour être cohérent avec le règlement européen relatif à la protection des données à caractère personnel. Le texte procède donc à la réécriture de l’ensemble de la loi « Informatique et Libertés » de 1978. De plus, elle précise les missions de la CNIL.
Les modifications apportées par cette ordonnance accompagnent l’amélioration de l’articulation générale de la législation en matière de protection des données à caractère personnel mais aurait cependant pu permettre une plus grande cohérence ou clarification. Cette incertitude peut, il est vrai, toucher des pratiques assez courantes. Selon une interprétation juridique stricte, donner sa carte de visite peut ne pas être entièrement constitutif de consentement explicite à l’utilisation des données personnelles.