Deuxième anniversaire, ce 25 lundi mai 2020, de l’implémentation du GDPR en Europe. Bilan mitigé. Et de nouvelles questions depuis la pandémie…

Sans aucun doute la législation la plus importante sur les données personnelles de ces dernières années, le GDPR est encore un projet en devenir. Deux ans plus tard, force est de constater son utilité, analyse ESET. Les menaces contre la vie privée n’ont jamais été aussi importantes. Les efforts continus des cybercriminels soulignent la valeur des données en tant que monnaie. Et, par conséquent, l’importance de ne pas manquer l’occasion de sécuriser les informations personnelles.

En même temps, il est devenu clair que le GDPR n’est pas un remède magique pour tous les problèmes de confidentialité des données. L’application du Règlement montre aussi l’impuissance des Etats. Ou leur manque de volonté.

Selon un rapport publié par le cabinet d’avocats DLA Piper, les régulateurs de la protection des données ont infligé 114 millions EUR d’amendes sous le régime du GDPR. Les Pays-Bas, l’Allemagne et le Royaume-Uni arrivent en tête du nombre de violations de données notifiées aux régulateurs avec 40 647, 37 636 et 22 181 notifications chacune. Mais combien dans les autres pays ? Fort peu, finalement. Ainsi, en Belgique, seulement 1.331 violations constatées. Et 39.000 EUR d’amendes…

Trop peu d’amendes

Aujourd’hui encore, 90 % des sites ne respectent pas le GDPR. C’est énorme. Et c’est peut-être là une explication à l’augmentation de 12 % des plaintes en 2019. On imagine que les plaintes pourraient encore augmenter en 2020, tout comme le montant total des amendes distribuées, cela dans la mesure où les montants de ces amendes sont encore, bien souvent, jugés trop faibles.

Le retard de certains Etats est manifeste. A la mi-2019, la Grèce, le Portugal et la Slovénie n’avaient toujours pas mis leurs lois nationales en conformité. D’autres embauchent et forment encore du personnel pour ces nouveaux organismes de réglementation. Ce décalage signifie que le Règlement n’a pas été pleinement appliqué dans toute l’Union européenne. Parce qu’un pays a besoin de lois nationales en place avant de pouvoir avoir une agence de protection des données, cela retarde le nombre de personnes dans l’Union européenne qui peuvent déposer une plainte ou même simplement comprendre leurs droits.

Et maintenant, la pandémie…

Principe de minimalisation, base de licéité, politique des cookies, caméra de surveillance, traçabilité… Le chantier reste ouvert, rappelle fort justement le cabinet Alta Law.

La pandémie impacte bien évidemment le règlement. Des données qui étaient auparavant privées, telles que des informations médicales, ont été partagées de manière fort peu idéale. Des applis pour aider à surveiller la propagation de COVID-19 ont été conçues pour tracer les individus et fournissent des avertissements si les utilisateurs auraient été en contact avec des personnes infectées par le virus. Comment la réglementation sur la protection des données prévoit-elle un suivi accru, questionne fort justement ESET.

Au nom de la santé publique

Alors qu’au premier trimestre 2020 des mesures de confinement commençaient à être mises en place, le Conseil Européen de la Protection des Données (EDPB) a publié une a publié une déclaration précisant qu’afin de protéger la santé publique, le GDPR autorise les autorités de santé publique à traiter les informations personnelles sans le consentement individuel. En ce qui concerne l’utilisation des données de localisation, la déclaration précise que les autorités publiques doivent adhérer à la directive ePrivacy. L’article 15 de cette directive donne aux états membres de l’Union la possibilité d’introduire des mesures législatives permettant l’utilisation des données de localisation. Ces données doivent, autant que possible, être traitées de manière anonyme. Autant que possible…

Un des effets les plus importants du GDPR est qu’il a déclenché une conversation mondiale sur la protection des données. En mettant la confidentialité de nos données sur le devant de la scène, le Règlement a souligné combien il est important de contrôler la façon dont les informations personnelles sont stockées et partagées. Qui peut savoir ce que les deux ou dix prochaines années réserveront à la législation sur la protection des données ? Ou comment la technologie continuera de changer le monde ?