2ème bougie du RGPD : Perspectives et bilan

Anniversaire

Le règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel est applicable depuis le 25 mai 2018. Le deuxième anniversaire du RGPD est l’occasion d’examiner l’apport de la CNIL et la prise de conscience des citoyens et des entreprises. Cependant, certains aspects se révèlent encore être des freins importants au niveau des entreprises.

 

Brève présentation du RGPD

L’objectif du règlement était de créer un équilibre entre une circulation des données, la protection de la vie privée et des exigences légales ou d’intérêt public.

Le présent règlement s’applique, selon l’article 2 du RGPD, au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. Ils doivent obligatoirement tenir un registre des activités de traitement.

Ce registre regroupera les traitements concernant les données personnelles qui se définissent selon l’article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne pourra être identifiée directement par son nom, prénom, indirectement par un identifiant ou par regroupement d’informations.

 

L’accompagnement des professionnels par la CNIL

La CNIL (Commission nationale de l’informatique et des libertés) est une autorité administrative indépendante (AAI) instituée par l’Etat en vertu du RGPD. Elle effectue des missions d’alerte, de conseil et d’information vers le public. Ainsi, elle a publié de nombreux articles, guides pédagogiques, modèles, méthodes dans l’objectif de faciliter la compréhension de la réglementation sur la protection des données à caractère personnel. Également, un MOOC « Atelier RGPD », comptant déjà 62 000 comptes, est accessible à tous gratuitement.

 

Prise de conscience des citoyens et les entreprises

La CNIL avait déjà relevé l’efficacité du RGPD par un rapport d’activité de 2018 portant sur les enjeux de 2019. 68% des Français se disent plus sensibles à la question de la protection de leurs données personnelles selon un rapport d’activité de l’autorité de 2020. Cette sensibilisation s’est traduite par une augmentation de la consultation du site de la CNIL (8 millions), une augmentation des plaintes de 27% auprès de l’autorité de régulation par rapport à 2018.  Les entreprises ont pris conscience de l’importance de se mettre en conformité. Cela favorise la confiance des consommateurs.

 

Les freins au sein des entreprises

Les acteurs du marché ne possédant pas de service juridique ou ne faisant pas partie du secteur des nouvelles technologies sont perdues. Elles ont des difficultés à cerner concrètement l’étendue des données personnelles, les lieux d’hébergement des données, la chaîne des sous-traitants, la durée de conservation etc. Ces éléments sont essentiels dans la responsabilité des acteurs et leur mise en conformité. A ces difficultés s’ajoutent le coût et le temps colossal à y consacrer.

 

Les aspects à améliorer

L’institut Montaigne a publié une étude en décembre 2019, exposant la prouesse du RGPD qui a permis d’apporter un cadre juridique au traitement des données personnelles. Des propositions d’amélioration ont aussi été mises en perspective. Dans un premier temps, les politiques de confidentialité ne sont pas lisibles, ni ergonomique.

Dans un deuxième temps, le respect de la vie privée devrait être effectif dès la conception, c’est-à-dire que la protection des données à caractère personnel devrait être déjà pensée dès la conception d’un logiciel ou d’une application. Pour conclure, les personnes sujettes à une prise de décision automatisée prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus, devrait pouvoir obtenir une explication.


Publié le 14 juin 2020 par Laure Duchatelet

Pour voir d’autres articles réalisés par la promotion MSI 2020 : cliquez ici

Sources

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

CNIL, rapport d’activité 2018 et des enjeux 2019, 15 avril 2019

CNIL, rapport d’activité 2019, 9 juin 2020

Institut Montaigne, Données personnelles : comment gagner la bataille, décembre 2019