Le RGPD : Un regard rétrospectif sur la protection des données en Europe

Le RGPD est né pour renforcer la protection des données face à l'évolution technologique en Europe. L'augmentation des signalements et amendes reflète la difficulté des entreprises à rester conformes.

Le RGPD, ou Règlement général sur la protection des données, a été adopté en 2016 pour renforcer les réglementations existantes sur la protection des données en réponse à l'évolution technologique des dernières décennies. Ce règlement vise à protéger la vie privée des individus en régulant la collecte, le traitement et la conservation des données personnelles.

Depuis son entrée en vigueur, le RGPD a eu un impact significatif sur la manière dont les entreprises et les institutions gèrent les données personnelles. Il a imposé des obligations strictes en matière de transparence, de consentement, de sécurité et de droits des individus sur leurs données.

Les amendes infligées aux entreprises pour non-conformité au RGPD sont devenues une préoccupation majeure. Depuis 2018, de nombreuses entreprises ont été sanctionnées pour violation du RGPD. Le montant total des amendes infligées en Europe a atteint environ 5 milliards d’euros et il continue d'augmenter. Cette tendance souligne l'importance croissante accordée à la protection des données et l'engagement des autorités européennes à faire respecter les dispositions du RGPD. Les entreprises doivent rester vigilantes et continuer à investir dans la conformité aux réglementations sur la protection des données pour éviter de lourdes sanctions financières.

Les conséquences de la non-conformité en quelques chiffres

En 2022, seulement 42% des entreprises européennes étaient entièrement conformes au RGPD. Cela signifie que plus de la moitié des entreprises ne respectent pas les exigences du règlement. La plus grande amende jamais infligée est celle de 1,2 milliard d'euros prononcée contre Meta (anciennement Facebook) en mai 2023 pour avoir collecté illégalement des données personnelles d'utilisateurs européens. Nick Clegg, responsable des affaires publiques de Meta, a jugé que cette sanction, « injustifiée et inutile », « établissait un dangereux précédent pour les nombreuses entreprises qui transfèrent des données entre les Etats-Unis et l’UE ». Il a aussi annoncé faire appel de la décision.

Les autres grandes amendes concernent :

  • Google, 60 millions d'euros en 2020 pour avoir enfreint les règles de transparence sur la collecte de données personnelles
  • Mailchimp, 220 millions d'euros en 2021 pour avoir collecté et utilisé illégalement des données personnelles d'utilisateurs européens
  • Amazon, 746 millions d'euros en 2022 pour avoir collecté et utilisé illégalement des données personnelles d'utilisateurs européens

Parmi les infractions les plus fréquemment sanctionnées par les autorités de protection des données figurent le non-respect des droits des personnes concernées, notamment le droit d'accès, de rectification, de suppression, de portabilité et d'opposition au traitement de leurs données personnelles, ainsi que le manque de transparence dans la collecte et l'utilisation des données personnelles, et les lacunes en matière de sécurité des données.

Dans le dernier rapport annuel de la CNIL présenté le mardi 23 mai 2023 on apprend que « 345 contrôles ont été réalisés, 147 mises en demeure notifiées et 21 sanctions adoptées […] Les organismes concernés par ces mesures sont de toutes tailles, y compris des géants du numérique, et relèvent d’une grande diversité de secteurs. Depuis l’entrée en application du RGPD, la politique répressive de la CNIL n’a pas varié. L’objectif poursuivi est en priorité la mise en conformité des organismes. À cet égard, 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la CNIL ne recoure à la sanction. Pour autant, entre 2018 et 2022, la somme des sanctions prononcées par la CNIL s’élève à plus d’un demi-milliard d’euros, ce montant reflétant le poids de l’exploitation des données dans les modèles d’affaires actuels. »

Comment se prémunir et comment se conformer à la réglementation ?

L'un des principaux objectifs du RGPD est de pouvoir suivre avec précision les flux de données et la manière dont ils circulent d'une installation à l'autre. La difficulté réside donc dans le fait que le sous-traitement des données par des entreprises tierces est particulièrement fréquent.

Le Cloud est une option plus pratique pour le partage d'informations sensibles. Les collaborateurs peuvent télécharger des pièces jointes dans le Cloud et envoyer aux destinataires le lien pour y accéder. Cependant le Cloud n’est pas une forteresse impénétrable protégeant toutes les informations qu'il contient, il s'agit en fait d'un serveur géré par un tiers qui se charge d'en assurer la sécurité.

Le premier point important, est de choisir des prestataires dont la localisation des serveurs est bien en Europe.  Pour les collectivités qui doivent garder leurs données sur le territoire douanier français doivent choisir un serveur situé en France, de même que les entreprises qui travaillent avec les collectivités.

Suite à la montée des cyberattaques et par conséquent d’utilisation d’offres Cloud, l’ANSSI décide de créer un référentiel qui permettrait aux entreprises et administrations de choisir des solutions fiables lors de l’externalisation de leurs données. Le label SecNumCloud vise à fixer un niveau élevé de sécurité que doivent atteindre les fournisseurs de services Cloud. Le label a une durée de 3 ans et doivent être soumis à des audits de surveillance tous les 18 mois par des prestataires qualifiés PASSI.

SecNumCloud repose sur des bases solides, son élaboration a été inspirées de la norme ISO 27001. Il couvre plus de 360 points d’exigences autour de 14 thématiques de sécurité comme le contrôle d’accès et gestion des identités, la sécurité des ressources humaines ou encore la gestion des incidents liés à la sécurité de l’information.