Le RGPD, un an après
Redonner le contrôle sur le contrôle des données
Le 25 mai 2019 à 08h00
11 min
Droit
Droit
Les 176 considérants et 99 articles du règlement général sur la protection des données fêtent aujourd’hui leur premier anniversaire. Retour sur une année de mise en œuvre.
Le 25 mai 2018, le fameux RGPD entrait en vigueur, conformément à l’article 99 du texte. Véritable révolution juridique, ce texte allait théoriquement soumettre l’ensemble des États membres à une même norme pour encadrer l’usage des données personnelles dans l’Union chez les « responsables de traitements ».
Nous avions rédigé une analyse ligne par ligne des 99 articles dans un long papier découpé en trois volets, toujours d'actualité :
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Le RGPD expliqué ligne par ligne (articles 24 à 50)
- Le RGPD expliqué ligne par ligne (articles 51 à 99)
…Accompagné d’une série de questions/réponses pour expliquer concrètement les changements apportés par cette nouvelle législation européenne.
Ambitieux projet que de mettre l’ensemble des personnes physiques à la même enseigne, favoriser la concurrence entre les entités concernées, mais aussi lutter contre les stratégies d’optimisation. Sous le règne antérieur, il était fréquent qu’une entreprise décide de s’implanter ici plutôt que là, afin de bénéficier d’un climat juridique peu contraignant, voire bénéfique pour ses petites affaires.
L’unité promise par le règlement a toutefois été mise à mal en sortie de procédure parlementaire, ce en raison des dizaines de renvois aux législations nationales qu’a incrustées le législateur européen.
Un exemple, parmi tant d’autres, l’âge à partir duquel un mineur peut consentir valablement à voir ses données personnelles aspirées, traitées, exploitées par Facebook. Le texte fige cet âge de la maturité personnelle à 16 ans, tout en permettant à chaque législation de prévoir un âge plus précoce. Pas étonnant que l’Irlande ait choisi 13 ans, plancher partagé avec la loi américaine, qui permet de ne pas trop bouleverser les habitudes des géants du Net.
Ce renvoi aux législations nationales a conduit la France à prendre une loi spécifique qui a également eu pour objet d’adapter notre droit à ces nouvelles conditions climatiques. La France, fer de lance du débat européen, n’a publié ce texte que près d’un mois après le 25 mai, après validation presque intégrale du Conseil constitutionnel.
Comme décrit, le 21 juin, au Journal officiel, la loi française a donc programmé une série de mesures avec en tête la mise en œuvre des actions de groupe en matière de données personnelles, afin d’autoriser les victimes à obtenir réparation du préjudice subi.
Cette procédure n’est réservée qu’aux seules associations régulièrement déclarées depuis cinq ans au moins et « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ». Elle est également ouverte aux associations de défense des consommateurs représentative agréée au niveau national, si le problème « affecte des consommateurs ». Enfin, aux syndicats représentatifs de salariés ou de fonctionnaires, du moins quand leurs intérêts sont là encore affectés.
Cette loi a également fixé la majorité RGPD à 15 ans. En dessous de ce seuil, il est nécessaire d’obtenir l’accord des parents.
De plus, elle a prévu la possibilité pour le président d’une des deux chambres, celui d’une commission ou d’un président d’un groupe de saisir la CNIL pour avis en amont d’une proposition de loi.
Sur le terrain des procédures, les agents de la CNIL, qui avaient déjà la possibilité d’opérer des contrôles à distance, peuvent maintenant utiliser des identités d’emprunt, à condition de ne pas inciter un responsable à commettre une infraction. Une disposition classique en la matière.
La loi a également autorisé le gouvernement à prendre une ordonnance pour réécrire l’ensemble de la loi Informatique et libertés de 1978. L’ordonnance fut prise en décembre 2018, après avis de la CNIL, qui a avait regretté toutefois un texte parfois « très peu lisible ».
Un changement d'ampleur
L’un des principaux enseignements du RGPD réside dans un changement de stratégie. D’une logique déclarative afférente à tous les traitements, le texte opte pour une logique de responsabilité. Les responsables de traitement ont l’obligation, dès la conception de leurs systèmes, de pouvoir démontrer qu’ils ont assuré un haut niveau de protection des données transitant entre leurs mains.
Les droits reconnus aux personnes physiques ne sont toutefois pas tous révolutionnaires : sacro-saint consentement (en concurrence avec l’intérêt légitime du responsable), droit à l’information, droit d’accès et de rectification, mais aussi l’avènement d’un véritable droit à l’oubli qui fut préalablement consacré dans les moteurs par la Cour de Justice de l’Union européenne, via le droit à l’effacement…
L’autre pierre fondamentale est la portée géographique du règlement. Y sont astreints non seulement les acteurs privés et publics installés en Europe, mais également les responsables de ceux des pays tiers qui ciblent des personnes présentes en Europe. Par ce simple jeu territorial, voilà un corps de règles se propageant sur l’ensemble de la planète, avec dans ses valises les valeurs inscrites au fil de sa (presque) centaine d’articles.
Un texte n’est rien sans action en justice, levier nécessaire pour en assurer l’effectivité. Aux premières heures de la mise en œuvre du règlement, Maximilian Schrems, de l’initiative NOYB (nope of your business), s’attaquait à Google, Instagram, WhatsApp et Facebook, accusés de plusieurs légèretés règlementaires, en particulier ces politiques de tout ou rien qui, selon le règlement, ne permettent pas d’avoir un consentement libre et éclairé.
Au même moment la Quadrature du Net s’attaquait à Amazon, Apple, Facebook Google et LinkedIn devant la CNIL. Rien de moins. Elle a dénoncé à l’encontre de la firme de Mountain View, qu’en vertu des conditions générales d’utilisation, « toute personne utilisant ses services manifeste, du simple fait de son utilisation ordinaire des sites Internet en question (Google Search ou YouTube), sa volonté de donner son consentement à l'analyse de ses activités à des fins de ciblage publicitaire ».
Plusieurs références au RGPD dans les délibérations rendues en 2018
Au long de l’année 2018, la CNIL a rendu plusieurs délibérations qui se sont muées parfois en sanctions. Les faits remontaient toutefois dans la quasi-totalité des cas à la période antérieure au 25 mai, rendant impossible les nouvelles sanctions promises par le RGPD (jusqu’à 4 % du chiffre d’affaires mondial).
Néanmoins, les références aux règlements se sont démultipliées, au fur et à mesure que nous nous avancions dans l’année. Par exemple ces deux délibérations ou celle concernant un établissement scolaire, épinglé pour vidéosurveillance excessive. La première véritable mise en demeure publique, s’appuyant sur le règlement, date d’octobre 2018. Elle vise une solution de publicités ciblées sur mobile, dans les supermarchés.
Ces références ont concerné d’autres institutions. Le Conseil d’État a rendu une importante décision, toujours pour des faits antérieurs. Il a posé qu’un site – ici Challenges.fr – ne peut déposer des cookies, tout en proposant de paramétrer son navigateur pour espérer répondre au droit d’opposition de la loi de 1978. La solution vaudrait sans nul doute aujourd’hui.
Au sein de la CJUE, d’importantes décisions sont attendues, notamment celle qui pourrait consacrer une coreponsablité entre l’éditeur d’un site et Facebook, tout simplement parce que le premier a décidé d’implanter un bouton « Like », derrière lequel le second torpille en coulisse l’internaute de traitements.
Explosion du nombre de plaintes
Sur le terrain des statistiques, la CNIL a sans grande surprise constaté une explosion des plaintes au fil de ses bilans. À peine 100 jours après la mise en œuvre du règlement, elle enregistrait enregistré « 2 770 plaintes contre 1 780 sur la même période en 2017, qui était déjà une année record ». Soit une hausse de près de 56 %.
L’affaire DisinfoLab a évidemment joué dans la balance (voir notre interview de Me Oriana Labruyère, spécialisée sur les questions de données personnelles) En novembre, 6 mois après le jour J, le chiffre des plaintes est monté à 6 000. Pour l’ensemble de l’année 2018, 11 077 ont été enregistrées, soit nettement plus que les 8 000 constatées les années précédentes. Depuis, ce nombre est passé à 11 900. Une hausse de 30 % par rapport à la période mai 2017-mai 2018.
L’autorité avait promis que le 25 mai ne serait pas une date couperet. Les premiers mois allaient être consacrés à un accompagnement des entreprises et personnes morales de droit public dans la compréhension du règlement. Elle savait aussi qu’avec un tel véhicule, l’Europe jouerait sa crédibilité, comme l’a expliqué Isabelle Falque-Pierrotin en janvier 2018 et répété en avril 2018.
« On angle sur une stratégie d’accompagnement de ces acteurs pour faire en sorte qu’elles comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer » témoignait l’ex-présidente de la commission dans nos colonnes. Avec Bpifrance, la CNIL a ainsi publié au même moment un guide et des fiches réservées aux PME.
Elle a aussi diffusé sur son site des éléments fondamentaux pour les entités soumises à ces nouvelles obligations, comme en novembre 2018, la liste des opérations où l’analyse d’impact prévue par le règlement est toujours requise.
Une sanction de 50 millions contre Google
La logique d’accompagnement allait nécessairement trouver ses limites. En janvier 2019, elle décide d’infliger 50 millions d’euros de sanction à l’encontre de Google. Cette décision est le fruit de l’action lancée par Byod et LQDN respectivement les 25 et 28 mai 2018. L’autorité s’est estimée compétente pour sanctionner Google LLC, malgré les efforts trop tardifs de celle-ci pour s’abriter sous le ciel irlandais.
Elle a dégommé plusieurs contrariétés : manque « d’accessibilité, de clarté et de compréhension » dans les informations délivrées aux internautes, un manque de base légale, des cases précochées par défaut (une hérésie RGPDienne), la liste des reproches est longue.
D'autres foyers d'inquiétudes
Le pain est toujours sur la planche. De nombreuses procédures sont sur la rampe. De plus les foyers d’inquiétudes sont désormais multiples, pas seulement sur la question des trackers ou les répliques de fichiers contenant des injures multiples et autres noms d’oiseaux.
La smart city a le vent en poupe en France : reconnaissance faciale à Nice, contrôle d’accès dans des établissements scolaires testées dans le Sud de la France, sans oublier le Big Data de la tranquillité, ce Minority Report made in Marseille.
D’autres sujets vont susciter des attentions : les publicités ciblées à la télévision, qui attisent les convoitises des chaînes, agacées de la concurrence des sites Internet sur ce marché juteux. N’oublions pas dans l’inventaire, les fichiers de santé, avec le dernier exemple en date, ce croisement entre un fichier psychiatrique (Hopsyweb) avec celui relatif aux signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).
Au menu pour 2019...
La CNIL a déjà dévoilé son programme de contrôle pour l’année 2019. Respect des droits, traitements des données des mineurs et la responsabilité des sous-traitants. Un programme annuel qui représente qu’un quart des investigations, sachant que la commission ne s’interdira évidemment pas d’aborder d’autres sujets selon les plaintes, les réclamations qui lui sont adressées et l’actualité.
Elle promet encore de poursuivre sa logique d’accompagnement au profit des collectivités locales et des start-ups, et elle multiplie les références à ses nombreux outils d’accompagnement rendus disponibles ces derniers mois, comme ce MOOC sur le RGPD. « L’année 2019 sera décisive pour crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel » conclut-elle.
Le RGPD, un an après
-
Un changement d'ampleur
-
Plusieurs références au RGPD dans les délibérations rendues en 2018
-
Explosion du nombre de plaintes
-
Une sanction de 50 millions contre Google
-
D'autres foyers d'inquiétudes
-
Au menu pour 2019...
Commentaires (28)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/05/2019 à 18h55
Le 25/05/2019 à 18h55
Je ne les ai jamais contacté directement donc je ne sais pas comment ils ont récupéré mes données (probablement un jobboard quelconque). Ils m’avaient appelé en 2013, je n’avais pas donné suite. Depuis, plus rien, jusqu’à la semaine dernière (mon contact de l’époque ne bosse plus dans ce cabinet, c’est un nouveau recruteur qui “reprend la gestion de ma carrière”
" />)
Merci pour les précisions en tout cas. Je n’ai pas envie de pousser plus loin avec eux, c’est une perte de temps. Ils sont persuadés d’être dans le bon droit, “le RGPD fait partie de nos priorités” ah bon, vu d’ici ça ne se voit pas… Mais c’est toute la profession du recrutement qui mériterait de se faire taper sur les doigts…
Le 25/05/2019 à 19h07
Le 26/05/2019 à 07h11
Merci je suis dans un cas similaire. Je vais utiliser tes conseils
Le 26/05/2019 à 12h13
Pareil que toi, Consort NT m’a contacté alors que ils ne m’ont jamais demandé de garder mon cv et donc mes données y figurant.
J’ai renvoyé un mail au commercial lui expliquant que je souhaitais la suppression de ces données mais pas de réponse en 1 mois. Résultat, j’ai saisi la CNIL et ils procèdent aux vérifications.
Le 27/05/2019 à 08h00
Personnellement, les sites n’ont pas la possibilité d’écrire des cookies de base chez moi, sauf si j’autorise (uniquement sur certains sites où il faut le cookie de session pour se connecter) et ça se vide de toute façon 10 secondes après la fermeture de l’onglet.
J’ai un Pi-Hole qui fait déjà bien le ménage et :
C’est maintenant ancré dans mes habitudes, mais je ne trouve pas ça normal d’arriver à de tel extrémité. Ce sera bien d’avoir un petit tuto sur quoi faire et comment dénoncer un site (tel que Yahoo) dans ces cas plutôt que subir et devoir alourdir Firefox pour ce protéger.
Le 27/05/2019 à 08h50
C’est anormal en effet.
" />
Mais rien n’empêche de porter plainte pour vol d’électricité puisque c’est in fine de cela qu’il s’agit. Réfléchissez…
… et ne pas oublier no-script.
Le 27/05/2019 à 11h22
No-script fait redondance avec uMatrix.
Le 27/05/2019 à 13h41
J’ai préféré ajouter cette liste à uBlock Origin, plutôt que d’utiliser cette extension :https://www.i-dont-care-about-cookies.eu/abp/
Le 27/05/2019 à 16h35
ça refuse tout?
Le 25/05/2019 à 08h45
Très bon article qui montre bien qu’on est à croisée des chemins et que le RGPD a permis une prise de conscience mais que l’essentiel reste à faire.
Peut être un petit mot sur la problématique du chef de file et en particulier lorsque c’est l’autorité irlandaise qui est désignée et sa conséquence éventuelle ? Tu l’évoques en creu s’agissant de la décision contre Google, mais peut être qu’une explication pour le lecteur non averti serait utile :)
Le 25/05/2019 à 09h45
Yahoo ne respect pas le RGPD, il y’a un message ahurissant avec comme seule option OK accepter de tout envoyer, mais pas de non :
“Yahoo fait partie d’Oath. Oath et ses partenaires ont besoin de votre consentement pour accéder à votre appareil et utiliser vos données, notamment votre position géographique, afin de comprendre vos centres d’intérêt, de diffuser des publicités personnalisées et de mesurer leur efficacité.”
“Pour continuer à utiliser Yahoo et d’autres sites et applications d’Oath, vous devez nous autoriser à utiliser des cookies pour collecter vos données”
Strictement illégal ! Depuis quand il faut connaitre ma position ou les données de mon appareil pour afficher des pubs sur un site web !
L’accès du site est conditionné à l’acceptation de tous les cookies.
Y’a un moyen simple de dénoncer de genre d’abus ?
Le 25/05/2019 à 10h15
C’est terrible, pour tous les sites yahoo et le sous sites qui leur appartiennent …
Je crois que pour refuser la collecte, il faut déselectionner tous leur partenaires ou alors accepter, tellement c’est chiant.
Le 25/05/2019 à 10h23
Le jour où on pourra accéder à Yahoo actu sans devoir accepter l’utilisation de nos données personnelles pour l’ensemble des partenaires d’OATH, on aura déjà fait un grand pas. Pour le moment impossible d’accéder au site si on accepte pas le partage des données, et même après cela il n’est pas possible de retirer le partage…Il est indiqué d’aller dans le tableau de bord, mais une fois dedans nul bouton pour refuser le partage des données.
Ciculez il y a rien à voir.
Comme dirait Marc : la @cnil en PLS !!!
Le 25/05/2019 à 10h26
Ah bah je vois qu’on a les mêmes problèmes !!!!!
je tourne en rond sur yahoo qui me revoit sur une page d’Oath qui me revoit lui-même via le tableau de bord sur Yahoo qui me dit qu’ils récupèrent pleins de belles données personnelles, localisation toussa toussa, mais ne me laisse pas la possibilité de refuser l’utilisation de ces données !
Argh !!!!!
Le 25/05/2019 à 10h27
C’est justement là le côté illégal : quand tu vas sur yahoo on n’a pas à te demander d’accepter les conditions de Oath qui s’appliqueront sur une liste longue comme le bras de site partenaire (dont Yahoo) !
Deuxième problème les données perso récoltées doivent être clairement explicité (nom, ip, email, position…) et pas être démesuré par rapport à l’usage. ici c’est juste n’importe quoi !
Le 25/05/2019 à 10h31
Essaye l’extension “ I don’t care about cookies”.
" />
Perso la page où ils demandent mon accord apparait, et 1sec plus tard, elle vire.
Après, qui a envie d’aller sur Yahoo en 2019 ?
Le 25/05/2019 à 10h40
Le 25/05/2019 à 10h51
Je me demande:
en cas d’utilisation de ghostery qui bloque les trackers, si j’indique que je suis pour l’utilisation des cookies de traçage, est ce que ghostery bloque les cookies et donc ça reviens à les “refuser” plus rapidement?
Le 25/05/2019 à 10h54
C’est gentil de prévenir, mais je ne pense pas être sensible aux cookies pub, j’ai un fichier HOST modifié, Disconnect, uBlock Origin, Decentraleyes, Privacy Badger, Facebook Container, j’ai activé toutes les options de vie privée sur Firefox.
Le souci est que je supprime tous les cookies (sauf sur les sites auxquels il y a une connexion, typiquement Facebook ou Youtube), donc je n’ai pas envie de désactiver toutes les options de traçages à chaque fois que je vais sur un site.
Cela étant dit, je vais quand même la supprimer. :)
Le 25/05/2019 à 11h57
Je me suis récemment pris la tête avec un cabinet de recrutement, qui m’a envoyé par e-mail des propositions, ce qui signifie qu’ils ont conservé toutes mes données.
" />
Ma dernière relation avec ce cabinet date de 2013. Pour moi, le cabinet aurait du supprimer (ou anonymiser) mes données en 2016, soit 3 ans sans répondre à une sollicitation, comme indiqué sur le site de la CNIL. J’ai donc gueulé qu’ils ne respectait pas mon droit à l’oubli.
On m’a répondu que si, si, le RGPD était au coeur de leurs réflexions, et qu’ils avaient le droit de conserver mes données 3 ans après l’entrée en vigueur du RGPD, soit jusqu’en 2021. Et donc, qu’ils étaient en droit de me relancer, puisqu’il ne s’était écoulé qu’un an sans réponse à une sollicitation.
J’ai du mal à admettre que le RGPD puisse remettre à zéro les délais en cours. Mais je ne sais pas si cette recommandation vient de la CNIL, et était en vigueur avant l’adoption du RGPD (auquel cas, 2016 était bien la date butoir de suppression), ou si ce délai vient du RGPD, et qu’il a été transposé dans le droit français lors de l’adoption du RGPD, en 2018 (et dans ce cas le cabinet a bien le droit de conserver mes données).
Je ne trouve pas la réponse à cette question (même dans le détail par article de Marc). Si quelqu’un a une idée (et l’article qui va bien…)
Le 25/05/2019 à 12h19
Cliquer sur OK sur un site ne valide pas que les cookies mais toutes les méthodes de traçage.
Les cookies c’est la face émergée de l’iceberg parmi toutes les méthodes d’authentification (@ip, empreinte numérique, image, webstorage…) accepter tout ce foutoir et supprimer les cookies est inutile voir contre productif (le nouveau cookie sera immédiatement lié à un autre moyen d’auth reconnaissant ton PC)
L’intérêt justement de RGPD est que les sites doivent demander avant de te traquer (opt-in vs opt-out où tu étais traqué par défaut et peut choisir de refuser): Soit tu ignores le bandeau, soit tu fais options avancées et refuser tout sauf le nécessaire : tu as un cookie pour mémoriser ton refus mais n’est normalement pas tracé.
À noter que l’auteur de cette extension est dev web, y’a a priori conflit d’intérêts :-/
Le 25/05/2019 à 12h39
A l’origine, cette extension était faite pour cliquer sur Ok,
effectivement. Sauf qu’à cette époque (avant le RGPD), tu cliquais
manuellement, puisque le bandeau était là pour t’informer du pistage,
sans te donner le choix de l’accepter ou le refuser. Cela évitait juste
de devoir cliquer à la main.
Maintenant les bandeaux ont changé, donc
il vaut mieux voir le bandeau et décider ce qu’on en fait, maintenant
qu’on a le choix (mince, mais toujours plus qu’avant.)
Le 25/05/2019 à 12h40
Le 25/05/2019 à 12h40
Toute façon, les extensions me protègent, et le fochier HOST empêche les régies pub d’accéder à ma machine.
Le 25/05/2019 à 13h47
Le 25/05/2019 à 13h54
Et j’ajoute que dans sa recommandation de 2005 (remplacée par celle citée de 2016) s’agissant toujours de la prospection:
“La commission recommande que les données collectées auprès de prospects soient supprimées au maximum un an après le dernier contact de leur part ou lorsqu’ils n’ont pas répondu à deux sollicitations successives”.
Bref ils te prennent vraiment pour un imbécile.
Le 25/05/2019 à 15h42
Cette extension semble accepter les cookies en automatique, c’est de l’arnaque.
" />, c’est yahoo actualité qui regroupe les news de différents sites, j’y accède via iactu.fr > sciences > autres sites 
" /> .
je ne vais pas spécialement sur Yahoo