C'est l'anniversaire du RGPD ce lundi.
Le RGPD, pour "Règlement Général sur la Protection des Données". C'est un double anniversaire: il a été adopté il y a quatre ans par l'Union européenne, le 25 mai 2016, et est entré en vigueur deux ans plus tard en Belgique, le 25 mai 2018.
Souvenez-vous, ce règlement avait été adopté suite à plusieurs scandales, dont le scandale "Cambridge analytica", du nom de cette société qui avait siphonné de grandes quantités de données personnelles depuis une application liée à Facebook pour les utiliser ensuite à des fins politiques, pour peser sur des élections.
Souvenez-vous encore, quand ce règlement européen sur le protection des données avait été adopté, c'était le branle-bas de combat. Le respecter imposait une série d'adaptations aux collectivités et entreprises de toutes tailles.
Avec quel résultat aujourd'hui?
Des plaintes pour des images ou pour des pubs ciblées
En Belgique, comme dans les autres Etats de l'Union européenne, une "Autorité de Protection des Données" (APD) a été mise sur pied pour contrôler l'application de ce nouveau règlement européen, l'amélioration de la protection de nos données personnelles.
La mise en route de cette structure a été assez lente. L'année 2019 était la première année de pleine activité après ce temps de rodage.
En 2019, l'APD a reçu 4438 demandes d'informations. Et 351 plaintes lui sont parvenues.
"La plupart du temps, ces plaintes concernent l’utilisation des données personnelles, les images de caméras ou des photos par exemple" constate la porte-parole de l'Autorité de Protection des Données, Aurélie Waeterinckx.
Pour exemple, elle pointe le cas "d'une personne qui se fait filmer dans la rue par une caméra, contre son gré. Elle pense que les règles n’étaient pas respectées et porte plainte chez nous."
Autre cas fréquent, les plaintes après certaines pubs, relève-t-elle: "Le marketing direct, donc tout ce qui est 'publicité', c’est un thème qui revient énormément dans les plaintes qu’on reçoit."
En Belgique, 59 sanctions l’an dernier
Une fois une plainte reçue, une enquête est menée pour voir si le Règlement général sur la protection des données est respecté. Des inspections peuvent alors être menées. Et deux types de sanctions peuvent être prises.
"Il y a des sanctions de type non-financier", explique Aurélie Waeterinckx, "par exemple ordonner d’arrêter un traitement de données ou encore de modifier la manière dont le traitement est fait. Et il y peut y avoir aussi des sanctions financières. Elles peuvent monter jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global d’une organisation."
L'an dernier, l'Autorité de protection des données a ainsi mené 100 inspections qui ont abouti à 59 sanctions dont 9 amendes, pour un montant cumulé de 189.000 euros. La sanction n'est pas vue un but en soi, souligne l'APD, mais plutôt comme un outil pour pousser à plus de protection des données personnelles.
Plus d'enquêtes spontanées
De plus en plus, cette instance changée de contrôler l'application du règlement européen entame des enquêtes de façon proactive.
"Jusqu’ici, nous faisions des enquêtes plutôt de façon réactive", explique la porte-parole. "Nous réagissions à des plaintes. Mais de plus en plus, nous essayons de tendre vers des enquêtes plus globales pour protéger mieux l’entièreté des droits des Belges. Nous commençons des enquêtes sectorielles, thématiques. Par exemple, là, nous finalisons une enquête sur la gestion des cookies par une série de sites internet que les Belges consultent énormément."
Cette autorité mène aussi a un travail d’information et de sensibilisation. Elle aide, par exemple, les entreprises à se conformer au RGPD. Elle apporte aussi des précisions dans les écoles sur la protection des données personnelles. Il s’agit d’une de ses priorités pour les cinq années à venir.
Le grand chantier du Covid-19
Le coronavirus a ouvert un vaste chantier aux autorités de protection des données des différents Etats européens. Pour examiner notamment les propositions de systèmes de "tracing" (ou traçage) des personnes positives au virus.
En Belgique, l'APD s'est prononcée et un mode de traçage a été trouvé, version "call center" plutôt qu'application, qui respecte la protection des données personnelles. Il s'agissait de s'assurer que ces données soient stockées temporairement, de façon sécurisée et ne soient pas utilisées à d'autres fins.
En France, la CNIL, l’autorité de protection des données française, avait attiré l’attention sur le danger pour le droit à la vie privée de l’usage de drones pour filmer ceux qui ne respectaient pas le confinement. L’usage de drones a été suspendu, sur avis du conseil d’état français.
