Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférentsFlock pour Next

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

01/12/2023
6

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférentsFlock pour Next

Le Conseil de l’UE considère le règlement général sur la protection des données comme un « succès », et préconise une « évaluation globale et exhaustive » plutôt qu’à une « réforme » du RGPD.

Le RGPD « continue d’être un succès »

« Le RGPD continue d’être un succès. Le règlement a permis des améliorations concernant l’harmonisation du droit de l’UE et un renforcement d’une culture de la protection des données au niveau de l’UE et au niveau mondial », précise le Conseil dans un bilan adopté par le Comité des représentants permanents (Coreper) consulté par Euractiv.

Il reconnaît que le RGPD a « contribué au renforcement de la confiance et la sécurité juridique » et que « les nombreuses plaintes » déposées au cours des cinq dernières années au titre du RGPD « montrent que le règlement a effectivement permis aux citoyens d’exercer leurs droits » en matière de protection des données. Le RGPD est pour rappel entré en application en mai 2018.

Les États membres reconnaissent de leur côté que les « décisions d’adéquation des données » ont « contribué à faire du RGPD la référence mondiale en matière de protection des données », relève Euractiv.

Des amendes pour plusieurs milliards d’euros

Au début de l’année, la Commission nationale de l’informatique et des libertés faisait le bilan des sanctions prononcées depuis que le règlement est en vigueur : « Au niveau européen, […] les amendes prononcées par les autorités de protection des données sur la base de ce texte dépassent le montant total de 2,5 milliards d’euros ».

La CNIL à elle seule avait « prononcé des sanctions pour un montant cumulé d’un peu plus d’un demi-milliard d’euros pour des manquements commis tant au RGPD qu’à la directive ePrivacy (cookies) ». Google arrive en tête avec plus de 300 millions d’euros.

Une charge de travail supplémentaire significative

Pour autant, le Conseil souligne plusieurs « défis pratiques de mise en œuvre » pour les organisations publiques et privées, et appelle à des « clarifications supplémentaires », ainsi qu’à une « stratégie pour les prochaines décisions sur l’adéquation des données ».

Il estime en effet que le RGPD a « entraîné une charge supplémentaire significative pour les PME », en particulier pour ce qui est du traitement des données comportant « un faible niveau de risque », précise Euractiv.

Les États veulent plus d’outils pratiques

Les États membres demandent dès lors des « outils pratiques tels que des modèles types » pour « faciliter la mise en conformité » des petites structures (le terme de « conformité » désignant le fait de parvenir à respecter – et donc de se « conformer » à – la loi, NDLR), entre autres « autres outils de conformité » en matière de certification et de codes de conduite.

Le Conseil estime aussi que le RGPD a « engendré des processus complexes » et des « difficultés d’interprétation », notamment « lorsque des organismes publics s’échangent des données », expliquent nos confrères.

Les États membres soulignent en effet que le processus de mise en conformité « est particulièrement lourd pour les autorités locales », qui peinent en outre à désigner des délégués à la protection des données. Et ce, alors que le droit d’accès aux données à caractère personnel prévu par le RGPD et la base juridique pour les activités de traitement des données ont « entraîné une incertitude juridique ».

Les pays de l’UE souhaitent au surplus que les traitements de données personnelles « à des fins de recherche et d’archivage » soient « précisées, de même que les concepts d’anonymisation et de pseudonymisation », relève Euractiv.

Des effets contrastés dans certains cas

En juin, suite Privacy Research Day de la CNIL, nous pointions des effets contrastés du RGPD. Plusieurs points étaient soulevés, notamment le fait d’augmenter l’effet dissuasif des sanctions. « Il faut que se conformer à la loi vaille quelque chose », expliquait un juriste.

Autre point mis en avant : le flou autour de la notion d’« intérêt légitime ». S’agit-il de celui de l’utilisateur et/ou de celui de l’entreprise ? Il y avait également la question de l’adaptation aux règlements, « souvent, faites au dernier moment ».

On l’a vu avec la période de grâce de deux ans (2016 à 2018), alors que le pic d’activité est arrivé au moment de l’entrée en vigueur du texte. Période de grâce ensuite des autorités de régulation qui ont parfois mis du temps (des années) avant de prononcer des sanctions. Pour les cookies par exemple, la CNIL a attendu… mai 2021.

Le Conseil demande une évaluation du cadre actuel

Le Conseil réclame également une évaluation du cadre juridique actuel pour déterminer s’il est efficace ou si des orientations supplémentaires seraient nécessaires « pour limiter clairement les activités de profilage et de notation ».

Il demande enfin à la Commission de clarifier les interactions entre le RGPD et les autres législations de l’UE adoptées depuis lors, et notamment le Digital Markets Act (DMA), le Digital Services Act (DSA), le Data Governance Act, le Data Act et l’AI Act en devenir.

6

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le RGPD « continue d’être un succès »

Des amendes pour plusieurs milliards d’euros

Une charge de travail supplémentaire significative

Les États veulent plus d’outils pratiques

Des effets contrastés dans certains cas

Le Conseil demande une évaluation du cadre actuel

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (6)


tinc Abonné
Le 01/12/2023 à 10h 16
Au quotidien, un peu déçu du rgpd.
En ce qui concerne par exemple les newsletters envoyées sans consentement, ça reste très fréquent (voire systématique).

La procédure est lourdingue : trouver le dpo ou le mail de contact, attendre un mois la non-réponse (ou la réponse positive mais inefficace), adresser une plainte à la cnil, attendre son traitement, renouveler l'application si nécessaire.

Au final, le coupable se voir adresser un simple rappel au règlement. Le coût pour lui est très faible et rien ne l'incite à respecter le rgpd.

Alors certes au bout que quelques mois on est débarrassé, mais ça oblige à pas mal de démarches et un suivi un peu chronophage, tout ça pour quelques conn*rds qui se foutent de simplement respecter leurs (anciens) clients.

Je prie pour la mise en place d'une amende forfaitaire systématique. Envoi de pub non sollicité ? 50€. Récidive ? 100€
Cela remplirait un peu les caisses de la CNIL qui pourrait embaucher du monde pour écluser son retard.
Letter Abonné
Le 01/12/2023 à 10h 56
Je suis tout à fait d'accord.

Mais d'un autre côté, à implémenter dans une multinationale, c'est juste infernal et quasi impossible à implémenter jusqu'au bout tellement il y a d'historique.

Il faut sanctionner à fond la mauvaise foi manifeste, et être compréhensif sur les implémentations qui dans les détails prennent du temps et du coût.
fofo9012 Abonné
Le 04/12/2023 à 06h 54

Letter

Je suis tout à fait d'accord.

Mais d'un autre côté, à implémenter dans une multinationale, c'est juste infernal et quasi impossible à implémenter jusqu'au bout tellement il y a d'historique.

Il faut sanctionner à fond la mauvaise foi manifeste, et être compréhensif sur les implémentations qui dans les détails prennent du temps et du coût.
Ça fait 7ans et 8mois que le RGPD existe, l'enfreindre est de facto une mauvaise foi manifeste !
fdorin Abonné
Le 04/12/2023 à 08h 47

fofo9012

Ça fait 7ans et 8mois que le RGPD existe, l'enfreindre est de facto une mauvaise foi manifeste !
Je dirais 5 ans. Je ne prendrais pas en compte la date d'adoption mais sa date d'application.

En effet, même au 25 mai 2018, il reste encore de très nombreuses zones de floues qui ont été plus ou moins comblées ultérieurement.

Et aujourd'hui encore, on voit certaines zones de floues. Les discussions entre DPO sont parfois très intéressantes et des avis très partagés sur certains concepts, comme l'intérêt légitime, la notion "de grande échelle", etc...

Les clarifications faites aujourd'hui par les différentes CNILs ne répondent pas encore à tous les cas !
Le 01/12/2023 à 21h 05
j'ai eu plusieurs cas en traitant pour des grosses boites ,tu traites par mail ( mail nom prenom ) pour du support tu te retrouves avec des newsletter .. super
Modifié le 01/12/2023 à 21h06
HerrFrance Abonné
Le 02/12/2023 à 09h 33
Je suis assez d'accord avec toi. Au final, les plus gros foutages de gueule (gafam et wanabe gafam) nous emmerdent toujours autant malgré un peu d'eau dans leur vin et on se tape toujours les fameux bandeaux cookies avec dark pattern, ainsi que la version "paie ou prostitue toi" autorisée par la cjue.

Même si ça a peut être permit de faire bouger les mentalités, à mon niveau personnel j'ai limite l'impression que ma situation est pire qu'avant même si tout le monde dit que "[ma] vie privée est importante"