Protection des données: le RGPD a deux ans, à quoi a-t-il servi ?

C'est l'anniversaire du RGPD ce lundi. 

Le RGPD, pour "Règlement Général sur la Protection des Données". C'est un double anniversaire: il a été adopté il y a quatre ans par l'Union européenne, le 25 mai 2016, et est entré en vigueur deux ans plus tard en Belgique, le 25 mai 2018.  

Souvenez-vous, ce règlement avait été adopté suite à plusieurs scandales, dont le scandale "Cambridge analytica", du nom de cette société qui avait siphonné de grandes quantités de données personnelles depuis une application liée à Facebook pour les utiliser ensuite à des fins politiques, pour peser sur des élections.  

Souvenez-vous encore, quand ce règlement européen sur le protection des données avait été adopté, c'était le branle-bas de combat. Le respecter imposait une série d'adaptations aux collectivités et entreprises de toutes tailles.

Avec quel résultat aujourd'hui?

Des plaintes pour des images ou pour des pubs ciblées

En Belgique, comme dans les autres Etats de l'Union européenne, une "Autorité de Protection des Données" (APD) a été mise sur pied pour contrôler l'application de ce nouveau règlement européen, l'amélioration de la protection de nos données personnelles. 

La mise en route de cette structure a été assez lente. L'année 2019 était la première année de pleine activité après ce temps de rodage. 

En 2019, l'APD a reçu 4438 demandes d'informations. Et 351 plaintes lui sont parvenues. 

"La plupart du temps, ces plaintes concernent l’utilisation des données personnelles, les images de caméras ou des photos par exemple" constate la porte-parole de l'Autorité de Protection des Données, Aurélie Waeterinckx.

Pour exemple, elle pointe le cas "d'une personne qui se fait filmer dans la rue par une caméra, contre son gré. Elle pense que les règles n’étaient pas respectées et porte plainte chez nous."

Autre cas fréquent, les plaintes après certaines pubs, relève-t-elle: "Le marketing direct, donc tout ce qui est 'publicité', c’est un thème qui revient énormément dans les plaintes qu’on reçoit."

En Belgique, 59 sanctions l’an dernier

Une fois une plainte reçue, une enquête est menée pour voir si le Règlement général sur la protection des données est respecté. Des inspections peuvent alors être menées. Et deux types de sanctions peuvent être prises.

"Il y a des sanctions de type non-financier", explique Aurélie Waeterinckx, "par exemple ordonner d’arrêter un traitement de données ou encore de modifier la manière dont le traitement est fait. Et il y peut y avoir aussi des sanctions financières. Elles peuvent monter jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global d’une organisation."

L'an dernier, l'Autorité de protection des données a ainsi mené 100 inspections qui ont abouti à 59 sanctions dont 9 amendes, pour un montant cumulé de 189.000 euros. La sanction n'est pas vue un but en soi, souligne l'APD, mais plutôt comme un outil pour pousser à plus de protection des données personnelles. 

Plus d'enquêtes spontanées

De plus en plus, cette instance changée de contrôler l'application du règlement européen entame des enquêtes de façon proactive. 

"Jusqu’ici, nous faisions des enquêtes plutôt de façon réactive", explique la porte-parole. "Nous réagissions à des plaintes. Mais de plus en plus, nous essayons de tendre vers des enquêtes plus globales pour protéger mieux l’entièreté des droits des Belges. Nous commençons des enquêtes sectorielles, thématiques. Par exemple, là, nous finalisons une enquête sur la gestion des cookies par une série de sites internet que les Belges consultent énormément."

Cette autorité mène aussi a un travail d’information et de sensibilisation. Elle aide, par exemple, les entreprises à se conformer au RGPD. Elle apporte aussi des précisions dans les écoles sur la protection des données personnelles. Il s’agit d’une de ses priorités pour les cinq années à venir. 

Le grand chantier du Covid-19

Le coronavirus a ouvert un vaste chantier aux autorités de protection des données des différents Etats européens. Pour examiner notamment les propositions de systèmes de "tracing" (ou traçage) des personnes positives au virus.

En Belgique, l'APD s'est prononcée et un mode de traçage a été trouvé, version "call center" plutôt qu'application, qui respecte la protection des données personnelles. Il s'agissait de s'assurer que ces données soient stockées temporairement, de façon sécurisée et ne soient pas utilisées à d'autres fins.

En France, la CNIL, l’autorité de protection des données française, avait attiré l’attention sur le danger pour le droit à la vie privée de l’usage de drones pour filmer ceux qui ne respectaient pas le confinement. L’usage de drones a été suspendu, sur avis du conseil d’état français.

 

2 images
Trois policiers français faisant une démonstration de l'usage de drones pour contrôler le confinement, à Metz, le 24 avril. Cet usage a été suspendu. © JEAN-CHRISTOPHE VERHAEGEN - AFP

En Espagne, l'autorité de protection des données espagnole (l'AEPD) dénonce la prise de température imposées par des commerces ou employeurs à l'entrée de leurs locaux, sans garanties sur l'usage de ces résultats.

Son équivalent Italien déplore la réalisation de tests sérologiques sur les lieux de travail, imposés et organisés par certains employeurs, en Italie. 

Le coronavirus a généralisé aussi le télétravail: les vies privées et professionnelles se sont davantage enchevêtrées et certaines données personnelles ont été rendues accessibles aux employeurs, et réciproquement. Jusqu'où un employeur peut-il regarder ces données et en faire usage? 

Autre écueil: ces objets connectés et applications qui nous facilitent la vie, liés à la pandémie ou à la santé en général, qui intègrent une série de données personnelles sensibles, de la géolocalisation au rythme cardiaque, du cycle mensuel au taux de sucre. En janvier, l'association de consommateurs Test Achats épinglait plusieurs applications de santé et d'alimentation surprises à transmettre des données personnelles sensibles à des tiers. 

Des exemples parmi bien d'autres. 

D'ici le prochain anniversaire du RGPD, les autorités de protection des données en Belgique et partout dans l'Union européenne devront s'assurer que la présence du virus ne relativise pas l'importance de préserver nos données personnelles  et que la pandémie ne rouvre pas des brèches que le règlement européen est censé avoir refermées. 

Archive: reportage du journal télévisé du 25 mai 2018


Suivez toute l’actualité européenne avec Euranet Plus, le premier réseau d’information européenne.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK