Le bilan des six mois du RGPD a été fait par la CNIL. L'autorité de protection des données est notamment revenue sur les trois recours collectifs visant les géants du net.

Le Règlement général sur la protection des données (RGPD), un texte européen entré en application le 25 mai 2018, a donné de nouveaux moyens d’action aux particuliers pour faire valoir leurs droits. De toute évidence, nombre d’entre eux ne se privent pas pour exiger des entreprises qu’elles se montrent plus vertueuses dans la collecte et l’usage des données à caractère personnel.

C’est ce qui ressort d’un nouveau bilan publié le 23 novembre par la Commission nationale de l’informatique et des libertés, alors que le RGPD est désormais actif depuis six mois. La CNIL, qui a déjà eu l’occasion de faire des points d’étape sur son activité depuis l’arrivée de la nouvelle réglementation, notamment sur les infractions post-RGPD, a ainsi observé une activité significative sur le front des plaintes.

consentement rgpd
Notification d’Instagram à l’approche du RGPD. // Source : NOYB

Trois actions collectives

Ainsi, la grande majorité des actions intentées cette année a eu lieu après le 25 mai : cela concerne environ 6 000 plaintes sur les 9 700 comptabilisées depuis le début de l’année. La CNIL fait observer au passage que son compteur a fait un bond en 2018, avec 34 % de hausse des signalements à ses services, sur la même période. Mais trois initiatives en particulier suscitent une attention particulière.

En effet, les trois plaintes dont il est question ont été déposées sous la forme d’un recours collectif. À la manœuvre, on retrouve une association française, La Quadrature du Net, une ONG anglaise, Privacy International, et un organisme autrichien, NOYB, qui est piloté par le juriste et activiste Maximilian Schrems. Ces trois parties ont toutes saisi la CNIL avec les outils juridiques du RGPD.

Les cibles de ces plaintes se recoupent partiellement. NOYB vise Google et Facebook. C’est aussi le cas de la Quadrature du Net, qui ajoute dans son viseur Apple, Amazon et LinkedIn (qui est détenu par Microsoft). Mais Privacy International, lui, s’attaque à des spécialistes de la publicité (Criteo, Quantcast, Tapad), des courtiers en données (Acxiom, Oracle) et des experts en crédit (Equifax, Experian).

45 000 particuliers dans la boucle

D’après la CNIL, ces trois initiatives ont réuni autour d’elles 45 000 individus — pour sa part, l’action de la Quadrature du Net est soutenue par près de 12 000 personnes, selon un chiffre communiqué par l’association à l’issue de six semaines de campagne pour faire connaître son action. Les plaintes déposées en recours collectif sont en cours d’instruction par l’autorité nationale.

Enfin, la CNIL explique être concernée par 187 des 345 plaintes transfrontalières qui sont examinées par les autorités de protection européennes. Pour 15 cas spécifiques, portant entre autres sur les problèmes de consentement éclairé des internautes, la CNIL est l’autorité-chef de file. En clair, c’est à elle que revient la tâche de travailler le dossier et d’animer cette coopération avec ses homologues en Europe.

Les dispositions du RGPD prévoient des plafonds très élevés en cas de sanctions pour des violations sur les données personnelles, avec des amendes de 20 millions d’euros. Elles peuvent même atteindre 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, s’il est établi que la peine sera plus lourde. C’est le montant le plus élevé qui est retenu pour choisir entre ces deux approches.

Partager sur les réseaux sociaux