Un premier changement assez radical et visible est le fait que certaines entreprises américaines coupent désormais l’accès aux internautes européens. En effet, au lieu de modifier leurs propres directives et règles sur la protection des données pour se conformer au RGPD, de nombreuses entreprises américaines et des sites d’information dont de nombreux journaux comme le New York Daily ou encore le Chicago Tribune, bloquent purement et simplement les internautes avec des adresses IP européennes. D’autres sites réduisent l’information offerte ou bien ne l’active que moyennant des frais supplémentaires. De nombreux détracteurs du RGPD avaient déjà alarmé sur ce scénario.
L’introduction du RGPD a aussi eu un inconvénient pour les clients, consommateurs et internautes. En effet, pendant des semaines, ces derniers ont reçu d’innombrables emails des boutiques en ligne et d’entreprises présentant leurs nouvelles lignes directrices en matière de protection des données et demandant une déclaration de consentement. Beaucoup des destinataires étaient peu réceptifs et finalement peu intéressés par la lecture complète de textes juridiques extrêmement longs. La solution fut pour beaucoup de simplement cliquer sur le bouton « confirmer ».
Enfin, les premières plaintes viennent d’être déposées partout en Europe. En France, c’est la Quadrature du Net, association de défense des internautes, qui a déposé cinq plaintes contre les géants du Web : Google, Apple, Facebook, Amazon et LinkedIn. L’association accuse ces sociétés d’exploiter de manière illégale les données à caractère personnel des usagers. Il faut noter que ce sont des plaintes collectives qui rassemblement plus de 12 000 personnes.
Suite à ces plaintes, la CNIL a procédé à plusieurs contrôles afin de vérifier la conformité à la loi et au RGPD notamment pour Google. Elle a constaté particulièrement deux séries de manquement au règlement comme l’explique de manière détaillée l’article du magazine le nouvel OBS.
La première concerne l’obligation de transparence et d’information, la CNIL estime en effet que les informations fournies par Google ne sont pas suffisamment accessibles pour les utilisateurs. La seconde touche au recueillement du consentement et estime l’information trop restreinte et ne permet donc pas à l’utilisateur de prendre conscience de l’ampleur du consentement. De plus, il n’est pas « spécifique » et « univoque ». Ainsi la Commission informatique et libertés a infligé à Google une sanction de 50 millions d’euros en janvier 2019, et laCNIL une amende de 150 millions d’euros en janvier 2022. Amazon, quant à elle, a été condamnée à payer une amende de 35 millions d’euros en décembre 2020 pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs sans consentement préalable.
Le RGPD va déjà fêter ses quatre ans en mai 2022. On commence donc à pouvoir mieux quantifier les sanctions et changements et ainsi faire un bilan plus complet. Le cabinet d’avocats international DLA Piper a récemment réalisé une enquête sur le nombre de notifications recensés depuis le RGPD. On compte ainsi plus de 120 000 notifications en Europe en 2020, dont 5389 en France. Les sanctions ont atteint au total 158,5 millions d’euros en Europe.