Temps de lecture estimé : 3 minutes
Publiée par The Conversation, l’analyse RGPD d‘Odette Simoes, IAE Paris – Sorbonne Business School.
Le lundi 22 mai, Meta, la maison-mère de Facebook, Instagram ou encore WhatsApp, a écopé d’une amende de 1,2 milliard d’euros pour avoir enfreint le règlement général sur la protection des données (RGPD). Le régulateur irlandais, en charge d’appliquer le texte européen, a estimé que le géant américain avait « continué de transférer des données personnelles » d’utilisateurs du siège européen à Dublin vers les États-Unis en violation des règles des vingt-sept.
Cette amende, que Meta conteste, constitue la troisième infligée à la maison-mère de Facebook depuis le début de l’année dans l’UE. Il s’agit également d’un montant record qui dépasse les 746 millions d’euros réclamés à Amazon en juin 2021 au Luxembourg.
Cette nouvelle amende contre Facebook illustre bien la montée en puissance réglementaire du RGPD, qui a été adopté par l’Union européenne (UE) il y a presque cinq ans, le 25 mai 2018. L’idée de ce nouveau cadre normatif était de trouver un compromis entre défendre les droits des individus et permettre l’innovation des agents économiques. En effet, pour de nombreuses entreprises, les données à caractère personnel sont devenues une véritable manne, dont la protection suscite des craintes chez les citoyens comme chez leurs représentants.
Encore peu de DPD
Le texte, du fait de sa nature juridique, s’est appliqué immédiatement à tous les États membres. En France, c’est la Commission nationale informatique et libertés (CNIL) qui est garante de son respect. En 2022, l’autorité a prononcé 21 sanctions pour un montant total de 101 277 900 euros. En outre, avec 147 décisions prononcées, la CNIL a également annoncé un nombre record de mises en demeure (ordonnant à un organisme de se mettre en conformité dans un délai fixé).
Pourtant, les entreprises n’avaient pas nécessairement attendu la Commission européenne pour être sensibilisées à cette problématique. Dans l’Hexagone, la loi dite « Informatique et liberté » de 1978 était déjà maîtrisée par les organisations. Beaucoup avaient déjà en leur sein un « correspondant informatique et libertés », ancêtre du délégué à la protection des données personnelles (DPD), fonction instituée par le RGPD pour les organismes publics et les organisations amenées à traiter à grande échelle des données dites « sensibles », avec des missions de veille, d’information, de conseil, de contrôle et d’alerte si besoin.
Malgré cela, cinq ans après l’entrée en vigueur du RGPD, de nombreux chantiers restent en cours. D’abord, des progrès restent à accomplir en matière d’amélioration de la sécurité des données informationnelles et de suppressions des données (purges) dans tout le système d’information. Autre difficulté : les organismes tardent à se doter d’un délégué à la protection des données qui, selon le guide publié par la CNIL, ne doit pas recevoir d’instructions ni ne peut être sanctionné ou licencié en raison des conclusions qu’il tire dans le cadre de ses missions.
Si le rapport publié par la CNIL en 2022 faisait état de 89 841 organismes ayant désigné un DPD, ces responsables restent encore peu présents dans un certain nombre de structures. C’est particulièrement le cas au sein des collectivités territoriales, au point que des communes ont pu être mises en demeure d’en désigner un par les autorités.
Un rôle très (trop ?) vaste
Au sein des organisations qui ont nommé un DPD, les missions qui ont présenté la plus lourde charge de travail lors du déploiement du RGPD ont porté sur la mise en place et le suivi d’un registre des activités de traitements des données. Constituer ce document a souvent nécessité de longs échanges en interne pour recenser toutes les activités susceptibles de collecter des données, puis d’identifier la nature et la durée de leur conservation.
Or, ce temps nécessaire apparaît inadapté à la rapidité des développements informatiques et des projets : les documents de conformité sont ainsi souvent en décalage avec les exigences. Par exemple, les analyses d’impacts sur la vie privée (AIVP) sollicitent énormément de temps car impliquent de nombreux échanges avec l’ensemble des métiers impactés. Ce document, obligatoire pour les traitements susceptibles d’engendrer des risques élevés, peut donc parfois être obsolète une fois publié.
Odette Simoes, Maître de conférences associé en Management des Systèmes d’information et conformité, IAE Paris – Sorbonne Business School
La suite de cet article est consultable sur The Conversation sous licence Creative Commons. Lire l’article original.
