Juridique

Cinq ans après l'entrée en vigueur du RGPD, des résultats encourageants

Cinq ans après l'entrée en vigueur du RGPD, des résultats encourageants
Le RGPD a mis fin à la fragmentation qui existait auparavant et facilite les échanges de données au sein de l'UE.

Depuis son entrée en vigueur, le 25 mai 2018, le règlement général sur la protection des données (RGPD) a plutôt réussi à remplir l'un de ses principaux objectifs, contribuant à augmenter le niveau de confiance des citoyens sur la gestion de leurs données personnelles. Mais d'autres batailles se profilent, liées aux évolutions technologiques rapides - en particulier les IA génératives. Et les législateurs européens peinent également à s'imposer face aux Gafam.

PublicitéLe règlement européen sur la protection des données personnelles est entré en application le 25 mai 2018. Ce 25 mai 2023 marque donc le cinquième anniversaire de l'entrée en vigueur du Règlement général sur la protection des données (RGPD). Considérée comme un tournant majeur dans l'histoire de la protection des droits fondamentaux des citoyens européens, cette réglementation est ambitieuse. Cet anniversaire est l'occasion idéale pour faire un bilan et revenir sur les réalisations accomplies ainsi que les défis qui subsistent. Pour mémoire, il s'agit d'un texte réglementaire européen qui encadre, de fait, le traitement des données de manière égalitaire sur tout le territoire de l'Union européenne (UE). Cette harmonisation des règles en Europe a mis fin à la fragmentation qui existait auparavant et facilite les échanges de données au sein de l'UE.

Le RGPD s'inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978, modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles, établissant des règles sur la collecte et l'utilisation des données sur le territoire français. Il a été conçu autour de trois objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Des règles et des amendes

Avec ce texte, une multitude de règles sont apparues sur la manière dont les entreprises collectent, traitent, stockent, protègent et suppriment les données. Ces règles s'appliquent à toute entreprise qui traite les données de ressortissants de l'Union européenne, et le non-respect de ces règles expose l'entreprise à des amendes pouvant atteindre jusqu'à 4 % de son chiffre d'affaires annuel mondial. En France, la Cnil, administration publique indépendante et notamment chargée de faire appliquer le règlement à l'échelle nationale, a ainsi prononcé plus d'un demi-milliard d'euros d'amendes entre 2018 et 2022, dont 100 millions d'euros (101 277 900 M€ précisément) rien que sur l'année écoulée. « 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la Cnil ne recoure à la sanction », précise la commission dans son dernier rapport.

La dernière entreprise à avoir subi les foudres de la Commission n'est autre que Clearview AI, le spécialiste américain des technologies de reconnaissance faciale. L'entreprise a vu son amende augmenter de 5,2 millions d'euros pour ne pas avoir réglé sa sanction initiale de 20 millions d'euros, ni répondu à sa mise en conformité au RGPD. Dans l'ensemble, ce règlement « a instauré un cadre réglementaire solide et cohérent, garantissant des droits et des obligations clairs pour les individus et les entreprises afin que chacun préserve la maîtrise de ses données personnelles » considère Alexandre Lazarègue, avocat spécialisé en droit du numérique. « Le RGPD a considérablement renforcé la confiance des citoyens dans la gestion de leurs données personnelles, en offrant des mécanismes de contrôle accrus et en plaçant la responsabilité sur les organisations qui les collectent et les traitent. Les résultats obtenus au cours de ces cinq années sont encourageants » admet-il.

PublicitéMultiplier les textes européens face aux évolutions technologiques

Malgré ces succès, il reste encore des défis à relever comme l'indique Alexandre Lazarègue. « Les entreprises doivent continuer à investir dans des programmes de conformité solides et à sensibiliser leurs employés à l'importance de la protection des données. De plus, l'évolution rapide des technologies, telles que l'intelligence artificielle, l'Internet des objets, les mégadonnées et les abus de position dominante par la maîtrise des données, pose de nouveaux défis en matière de protection des données. Il est essentiel de garantir que le RGPD reste adapté aux évolutions technologiques et aux besoins changeants des citoyens européens » poursuit-il.

L'UE l'a bien compris puisque plusieurs textes européens sont venus compléter le droit des données personnelles, à l'exemple du DSA, du DMA et du Data Act. Un travail qui a été complété par des décisions de justice. Ainsi, la Cour de justice de l'Union européenne, en charge d'interpréter les textes européens, est également venue invalider l'accord de transfert des données entre les États-Unis et l'Europe, rendant caduc le partage des données outre-Atlantique. Plus récemment, un autre texte a fait parler de lui. Baptisé IA Act, ce texte législatif doit encadrer la technologie qui connaît depuis plusieurs mois un succès considérable.

Les IA génératives, un défi de taille

Vue par certains comme un véritable tsunami et par d'autres comme une aide précieuse, l'IA fait beaucoup parler d'elle ces derniers temps. Dans l'Hexagone, la Cnil a décidé de prendre les devants et a récemment dévoilé un plan d'action sur la régulation de ces technologies. Celui-ci se décline en 4 objectifs pour adapter la protection des données personnelles à ChatGPT et consorts. C'est le deuxième point qui nous intéresse particulièrement ici qui consiste à fixer un cadre pour expliciter notamment le RGPD face au développement des IA génératives. Les récentes annonces de Google lors de sa conférence développeur I/O le montrent bien.

Les améliorations du chatbot Bard ne sont pas disponibles en Europe, car la firme américaine a des doutes sur sa compatibilité avec le RGPD et s'interroge aussi sur la réglementation européenne sur l'IA en cours de discussion. Résultat : la Cnil prévoit plusieurs publications d'ici l'été autour de la conception de systèmes d'IA et la constitution de bases de données pour l'apprentissage automatique. En complément, le régulateur a ouvert cette année le programme « d'accompagnement renforcé » pour assister des entreprises innovantes dans leur conformité au RGPD. Par ailleurs, une consultation doit être lancée par la Cnil sur un guide relatif aux règles applicables au partage et à la réutilisation des données.

Contraindre les Gafam à se plier aux règles coûte que coûte

Autre défi de taille, la difficulté des autorités compétentes à se mesurer aux Gafam. « Force est également de constater que les Gafa, en dépit de nombreuses décisions de condamnation sévère en matière d'amendes, peinent à se discipliner et à respecter scrupuleusement le RGPD. Que vaut en effet une amende de 1 milliard d'euros pour Facebook lorsqu'elles génèrent 117,9 milliards de dollars de revenus publicitaires ? » souligne Alexandre Lazarègue. « Il revient aux régulateurs de leur faire admettre, coûte que coûte, que l'accès au marché européen d'environ 500 millions de consommateurs éduqués disposant d'un bon pouvoir d'achat, friands de ces nouveaux usages, constituant ainsi une cible de choix, requiert un ticket d'entrée qui consiste à respecter les lois, témoins et garants indispensables d'un art de vivre à l'européenne ».

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis