Une responsabilisation certaine des acteurs traitant les données
Le coût élevé du défaut de conformité a suscité chez les organisations une réelle course vers la conformité. En effet, une série d’obligations légales et un régime de sanction sévère ont été mis en place pour garantir la responsabilité des acteurs traitant les données personnelles sur le territoire européen ou de personnes résidant en Europe.
D’ailleurs, en l’espace de cinq ans, la CNIL a prononcé des sanctions pour un total d’un demi-milliard d’euros. Au niveau européen, 2,5 milliards d’euros d’amendes ont été prononcées par les 27 instances nationales responsables de la protection des données personnelles. Parmi les entreprises sanctionnées pour des manquements figurent Google (150 millions d’euros en 2021), Microsoft (60 millions d’euros en 2022) ou encore Amazon (35 millions d’euros en 2020). Bien que les sanctions appliquées restent modestes par rapport au standard fixé par le RGPD, elles demeurent tout de même assez dissuasives.
En tout état de cause, le chemin vers la conformité est long, les organisations doivent se donner les moyens d’atteindre cet idéal qui renforcera leur crédibilité auprès de leurs clients et partenaires.
Une réelle prise de conscience de la part des citoyens
Comme le précisait Paul Hébert, directeur adjoint à la direction de l’accompagnement
juridique de la CNIL « Les citoyens se sont vraiment saisis des droits octroyés par le règlement ». Ceci se traduit par le nombre de plaintes sans cesse croissant déposé auprès la CNIL. En2022, près de 12 000 plaintes ont été déposées auprès de la CNIL. Celles-ci ont débouché sur 350 contrôles, 147 mises en demeure et 21 sanctions pour un montant de 101 millions d’euros.
Malgré les multiples éloges formulés à l’égard du RGPD, des zones d’ombres subsistent.
Une coopération européenne à parfaire
La coopération européenne demeure le principal frein à la mise en œuvre du RGPD. Pour le Irish Council for Civil Liberties (ICCL), une ONG de défense des libertés publiques, la Commission Irlandaise est un goulot d’étranglement pour les procédures. En effet, la mise en place de la procédure du « guichet unique » a fait du régulateur irlandais l’unique interlocuteur des entreprises traitant des données transfrontalières, localisées sur son territoire.
Malheureusement, son manque de fermeté plombe l’action globale des différentes commissions des États membres et de l’UE. Pour 54 dossiers instruits depuis 2018, elle a opté pour un accord à l’amiable dans 46 cas. Consciente de l’existence de ces lacunes, la commission européenne a annoncé le 20 février dernier qu’elle préparait une initiative pour apporter des précisions sur les procédures relatives à l’application du RGPD. Il sera question d’« harmoniser certains aspects de la procédure administrative et favoriser le bon fonctionnement des mécanismes de coopération et de règlement des litiges liés au RGPD ».
Au regard de la densification progressive de l’arsenal juridique numérique (marchés numériques, services numériques, intelligence artificielle, etc.), l’articulation entre ces nouveaux textes et le RGDP pourra très vite devenir un point d’attention majeur, car l’enchevêtrement de problématiques et d’enjeux pourra parfois conduire à des contradictions.
