Jason Hart, CTO data protection chez Gemalto / Thales
Voici un état des lieux de la réglementation un an après son entrée en vigueur :
Les Pays-Bas ont enregistré le plus grand nombre de cas de failles de données
A l’heure actuelle, le Comité européen de la protection des données (CEPD), l'organe de l'UE chargé de l'application du RGPD, n'a toujours pas élaboré de normes officielles pour préciser comment les autorités de protection des données indépendantes de l'UE doivent communiquer publiquement leurs statistiques spécifiques sur le RGPD. Cela rend, par conséquent, la collecte et l'analyse des données sur le respect de la législation difficiles. Au cours de ces derniers mois, un certain nombre d'autorités de protection des données européennes ont confirmé que le nouveau règlement a entraîné une augmentation significative des failles de données signalées, ce qui confirme clairement que le RGPD a sensibilisé le grand public et les entreprises concernant leurs droits et obligations.
Les autorités de protection des données de l'UE ont reçu au total plus de 95 000 plaintes de citoyens depuis mai 2018 avec près de 65 000 de ces dernières qui concernaient des failles de données. Le cabinet d'avocats DLA Piper a analysé ces failles en question, déposées par 23 des 28 États membres de l'UE : les Pays-Bas, l'Allemagne et le Royaume-Uni arrivent en tête du classement avec le plus grand nombre d'atteintes à la protection des données notifiées aux autorités, soit respectivement 15 400, 12 600 et 10 600. DLA Piper indique dans son rapport que ce sont les Pays-Bas qui ont enregistré le plus grand nombre de cas de failles de données par habitant, suivis de l'Irlande et du Danemark. Le Royaume-Uni, l'Allemagne et la France occupent respectivement les dixième, onzième et vingt et unième place, tandis que la Grèce, l'Italie et la Roumanie sont les pays qui ont signalé le moins d'infractions par habitant, indique le rapport.
Quoi qu'il en soit, nous sommes encore dans une période transitoire : la plupart des autorités de protection des données de l'UE disposent d'un délai médian de 12 à 15 mois (voire plus) pour enquêter sur des failles de données, les nombreux cas étant actuellement liés à des incidents qui se sont produits en vertu des anciennes lois de protection des données.
Sanctions et amendes : l’Allemagne en haut du classement
L'Allemagne est le pays qui a infligé le plus d’amendes : 64 pour non-respect du RGPD sur un total de 91 amendes selon DLA Piper. Mais il est important de préciser que toutes les amendes ne sont pas liées à des atteintes à la protection des données personnelles. L'amende la plus élevée à ce jour s’élève à 50 millions d'euros et a été infligée à Google par la Cnil, mais cette dernière ne concernait pas une violation de données, mais le traitement des données personnelles par Google sans l’autorisation préalable des utilisateurs. Les autres amendes infligées par des pays comme l'Autriche et Chypre s’élèvent, elles, à un montant relativement faible.
La nécessité de la transparence
Alors que le RGPD a fêté son premier anniversaire il y a quelques jours, il est clair que la réglementation est encore jeune et que les entreprises essaient toujours d'en comprendre l'impact et l'importance. Les autorités chargées de la protection des données dans toute l'UE publieront bientôt des rapports annuels, qui devraient donner une meilleure idée du niveau de conformité.
La transparence concernant les statistiques aidera l'UE à mieux faire connaître le RGPD. Il faut ici garder à l’esprit que le reste du monde, en particulier les pays qui sont des partenaires très proches de l'UE comme les États-Unis, observent attentivement la réglementation afin de mieux en jauger les effets mais aussi les forces et les faiblesses.
Les Pays-Bas ont enregistré le plus grand nombre de cas de failles de données
A l’heure actuelle, le Comité européen de la protection des données (CEPD), l'organe de l'UE chargé de l'application du RGPD, n'a toujours pas élaboré de normes officielles pour préciser comment les autorités de protection des données indépendantes de l'UE doivent communiquer publiquement leurs statistiques spécifiques sur le RGPD. Cela rend, par conséquent, la collecte et l'analyse des données sur le respect de la législation difficiles. Au cours de ces derniers mois, un certain nombre d'autorités de protection des données européennes ont confirmé que le nouveau règlement a entraîné une augmentation significative des failles de données signalées, ce qui confirme clairement que le RGPD a sensibilisé le grand public et les entreprises concernant leurs droits et obligations.
Les autorités de protection des données de l'UE ont reçu au total plus de 95 000 plaintes de citoyens depuis mai 2018 avec près de 65 000 de ces dernières qui concernaient des failles de données. Le cabinet d'avocats DLA Piper a analysé ces failles en question, déposées par 23 des 28 États membres de l'UE : les Pays-Bas, l'Allemagne et le Royaume-Uni arrivent en tête du classement avec le plus grand nombre d'atteintes à la protection des données notifiées aux autorités, soit respectivement 15 400, 12 600 et 10 600. DLA Piper indique dans son rapport que ce sont les Pays-Bas qui ont enregistré le plus grand nombre de cas de failles de données par habitant, suivis de l'Irlande et du Danemark. Le Royaume-Uni, l'Allemagne et la France occupent respectivement les dixième, onzième et vingt et unième place, tandis que la Grèce, l'Italie et la Roumanie sont les pays qui ont signalé le moins d'infractions par habitant, indique le rapport.
Quoi qu'il en soit, nous sommes encore dans une période transitoire : la plupart des autorités de protection des données de l'UE disposent d'un délai médian de 12 à 15 mois (voire plus) pour enquêter sur des failles de données, les nombreux cas étant actuellement liés à des incidents qui se sont produits en vertu des anciennes lois de protection des données.
Sanctions et amendes : l’Allemagne en haut du classement
L'Allemagne est le pays qui a infligé le plus d’amendes : 64 pour non-respect du RGPD sur un total de 91 amendes selon DLA Piper. Mais il est important de préciser que toutes les amendes ne sont pas liées à des atteintes à la protection des données personnelles. L'amende la plus élevée à ce jour s’élève à 50 millions d'euros et a été infligée à Google par la Cnil, mais cette dernière ne concernait pas une violation de données, mais le traitement des données personnelles par Google sans l’autorisation préalable des utilisateurs. Les autres amendes infligées par des pays comme l'Autriche et Chypre s’élèvent, elles, à un montant relativement faible.
La nécessité de la transparence
Alors que le RGPD a fêté son premier anniversaire il y a quelques jours, il est clair que la réglementation est encore jeune et que les entreprises essaient toujours d'en comprendre l'impact et l'importance. Les autorités chargées de la protection des données dans toute l'UE publieront bientôt des rapports annuels, qui devraient donner une meilleure idée du niveau de conformité.
La transparence concernant les statistiques aidera l'UE à mieux faire connaître le RGPD. Il faut ici garder à l’esprit que le reste du monde, en particulier les pays qui sont des partenaires très proches de l'UE comme les États-Unis, observent attentivement la réglementation afin de mieux en jauger les effets mais aussi les forces et les faiblesses.
