Le RGPD, 6 mois après : une façon novatrice d’aborder le traitement des données personnelles

Paroles d’expert

18 décembre 2018

Plus de six mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), le 25 mai 2018, nous pouvons dresser un bilan de sa mise en application, aux aspects positifs, tant du point de vue pratique, organisationnel et dynamique, que des bilans chiffrés qui en ressortent.

Par Maître Anne-Marie PECORARO Avocat associé ATurquoise @Turquoise_Law

En six mois (décompte arrêté au 23 novembre 2018), la CNIL a enregistré 1000 signalements, soit environ sept par jour depuis le 25 mai 2018 [1].
Dans une interview[2], la Présidente de la Commission nationale de l’informatique et des libertés (CNIL), Madame Isabelle Falque-Pierrotin, évoque la "puissance"du RGPD comme un atout concurrentiel pour les opérateurs qui font leur évolution culturelle à cet égard.
Cette expression forte illustre parfaitement les effets que peut avoir le RGPD sur les entreprises et organisations, mais également sur les citoyens.

Un atout concurrentiel pour les organisations

Nous sommes tous conscients que notre société est en pleine mutation technologique.

Parmi ces nouveaux défis : le RGPD. Face à cette réglementation innovante, les organisations doivent se mettre en conformité avec les nouvelles règles en matière de données personnelles.
Mais, il faut garder en tête que la mise en conformité au RGPD n’est pas simplement envisagée dans le but d’éviter des sanctions financières, certes lourdes (pouvant aller jusqu’à 4 % du chiffre d’affaires mondial).
Elle va bien plus loin, et permet d’avoir un temps d’avance sur les concurrents. Elle se réfléchit en mode "projet".
Conscientes du fait que les données personnelles représentent une valeur, les entreprises peuvent en reprendre la maîtrise, en s’appuyant sur leur mise en conformité au RGPD. Celle-ci leur donne notamment un argument compétitif pour se démarquer des autres entreprises nationales et internationales.

Un outil de responsabilisation sociale des entreprises

Le RGPD est aussi un formidable outil de responsabilité sociale des entreprises vis-à-vis de ses parties prenantes (clients, prospects, fournisseurs, administrations).

Dès lors, elle permet d’améliorer la relation unissant l’entreprise à son client : une société soucieuse de l’utilisation des données personnelles est une société qui inspire confiance.
Aussi, la mise en place du RGPD peut offrir l’occasion pour les entreprises de bonifier leurs pratiques dans le processus de numérisation.
Elles sont désormais plus attentives à l’utilisation des données personnelles, et mesurent qu’il est nécessaire de mettre en place des systèmes permettant de les sécuriser, et de veiller à ce que ces systèmes soient adaptés aux progrès techniques. À titre d’illustration, selon la CNIL, 32 000 organismes ont désigné un délégué à la protection des données (DPO), ce qui représente 15.000 DPO, contre 5.000 correspondants informatique et libertés (CIL) avant l’entrée en vigueur du RGPD [3].

Une prise de conscience citoyenne inimaginée

Les organisations n’ont pas été les seules à être impactées par le RGPD. Les particuliers s’en sont également imprégnés.
En témoigne le nombre grandissant de plaintes effectuées auprès de la CNIL : au 23 novembre 2018, 9 700 plaintes ont été déposées, soit 34 % de plus qu’en 2017 sur la même période (qui constituait déjà une année record selon la CNIL)[1].
De plus, selon un sondage IFOP réalisé en octobre 2018 pour l’Autorité, 66% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. La CNIL explique que ce phénomène est notamment lié à la peur du piratage ou du vol de données, et les scandales de piratages sur les réseaux sociaux.
Il semblerait donc que, grâce au RGPD, les citoyens appréhendent mieux les risques liés à l’utilisation de leurs données personnelles, et la nécessité de les sécuriser. Pour ce faire, de plus en plus de moyens sont mis à leur disposition. Par exemple, le mécanisme d’action de groupe a été renforcé par la loi du 20 juin 2018 relative à la protection des données personnelles[3] : alors que cette action collective en constatation d’un manquement du responsable de traitement ou de son sous-
traitant ne prévoyait pas la possibilité de demander la réparation des préjudices subis, l’article 16 de cette loi récente l’a étendue à la réparation des préjudices matériels et moraux.
Au final, du point de vue des organisations, le RGPD constitue un point d’avancement dans la mise en œuvre des audits, et dans leur mise en conformité à la réglementation en matière de données personnelles.

Du côté des citoyens, ce règlement novateur a accompagné la prise de conscience commune de la nécessité d’être vigilant sur la protection de ses données personnelles.
S’emparer du RGPD c’est se montrer prêt à un changement de culture, et aborder le traitement des données personnelles avec une perspective nouvelle et dynamique.
Enfin, il ne faut pas perdre de vue la proposition de règlement E-Privacy, publiée par la Commission européenne le 10 janvier 2017, dont l’objectif est d’harmoniser la législation des États membres en matière de confidentialité des communications électroniques, et de compléter le RGPD.
Par ce règlement, la Commission souhaite ? "faire en sorte que les services numériques soient plus sûrs et suscitent davantage de confiance".

Anne-Marie PECORARO