Le RGPD fête son premier anniversaire. La CNIL en profite pour établir un bilan sur l'activité générée par ce texte, qui prévoit une meilleure protection des données des Européens.

La date du 25 mai 2019 marque le premier anniversaire de l’entrée en application du Règlement général sur la protection des données (RGPD). Peut-être est-il encore un peu trop tôt pour déterminer les effets bénéfiques et négatifs du texte, notamment sur le web — bien que Politico suggère que les géants du net ont quand même su se jouer des nouvelles règles européennes sur la vie privée.

Que les plus petites entreprises aient plus de mal à s’adapter à ce nouveau cadre que les grosses structures n’a en réalité rien de surprenant : certes, les grandes entreprises sont susceptibles de s’exposer à des sanctions financières bien plus lourdes que les sociétés de taille modestes, si elles sont prises en train de fauter. Mais elles ont aussi des bataillons de juristes et d’avocats pour s’adapter et se défendre.

En attendant une évaluation du RGPD, la Commission nationale de l’informatique et des libertés (CNIL) profite de ce premier anniversaire pour tirer le bilan de l’année écoulée. Ce n’est certes pas la première fois qu’elle fait le point sur le RGPD. Quatre mois après sa mise en place, l’autorité de contrôle avait proposé un point d’étape sur les plaintes en cours, la prise de conscience du public et les actions à venir.

Une année « exceptionnelle »

Rebelote, donc, huit mois après. Sans surprise, tous les indicateurs ou presque sont en hausse. La fréquentation du site a dépassé les 8,1 millions d’internautes (contre 3 millions en septembre), les notifications de violations de données sont au nombre de 2 044 (contre 600 auparavant) et les plaintes sont passées de 3 797 sur les 4 premiers mois à plus de 11 900 au bout d’un an.

Évidemment, ces marqueurs de l’effervescence autour du RGPD ne peuvent, par nature, que progresser. Cependant, la CNIL insiste sur la vitesse avec laquelle ils ont grimpé. Au point que cette première année est déjà qualifiée « d’exceptionnelle », avec un « nombre record de plaintes ». Et encore, ces statistiques n’intègrent même pas l’activité autour du RGPD au niveau européen.

Les sanctions ont commencé à tomber

En regardant dans le rétroviseur, la CNIL omet toutefois de parler de l’un des points d’orgue de l’année écoulée : la condamnation de Google à une sanction financière record de 50 millions d’euros pour une série d’infractions au RGPD. Il s’agit pourtant du record actuel au sein de l’Union européenne, les autres peines recensées dans les autres États membres étant bien plus modestes.

Aujourd’hui, des sanctions ont été prononcées dans onze douze pays européens : la France, l’Allemagne, l’Italie, la Pologne, l’Autriche, le Danemark, le Portugal, la Norvège, la Lituanie, la Bulgarie, la Hongrie et Chypre. Les montants vont de 9 700 euros (en Autriche) à 400 000 euros (au Portugal). Ces sanctions peuvent faire l’objet d’un recours, ce que fait d’ailleurs Google dans l’Hexagone.

Au niveau européen, la CNIL est impliquée dans plus de 800 procédures sur les 1 013 en cours d’instruction. Il s’agit du fruit de la coopération engagée entre les organismes de contrôle du Vieux Continent. Du fait de l’imbrication toujours plus forte des pays membres, ces échanges sont capitaux Sur le continent, on dénombre actuellement plus de 144 000 plaintes et plus de 89 000 notifications de violation de données.

Changement de ton

La CNIL ne détaille pas la nature des dossiers qu’elle a sur la table. On sait que certains ont trait aux géants du net, à l’image des actions entamées par le juriste autrichien Maxilimilian Schrems, la Quadrature du Net ou, dans un registre moins judiciaire, l’UFC-Que Choisir. Les sociétés habituelles (Google, Amazon, Facebook, Microsoft, Apple) sont ciblées, ainsi que les astuces de design pour orienter l’usager.

La cheffe de la CNIL irlandaise a toutefois fait savoir ce printemps qu’il y a 51 instructions d’ampleur qui sont instruits, dont 17 ont un rapport avec une entreprise du numérique ou de la tech. Sont concernés Apple, Facebook, Instagram (filale de Facebook), LinkedIn (filiale de Microsoft), Twitter et WhatsApp (filiale de Facebook). Et sur ces 17 dossiers, 11 concernent Facebook ou ses filiales.

Le premier anniversaire du RGPD coïncide avec un changement de ton progressif de la CNIL.

Une bascule que l’instance a rappelé dans ce bilan, en expliquant que « l’année 2019 marque l’achèvement de la transition vers le RGPD. Il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte ». En clair, la relative souplesse et tolérance dont faisait preuve l’instance va prendre fin, bien qu’elle promette de garder du « discernement » dans son action répressive.