Ce jeudi 25 mai 2023, nous fêtons les 5 ans de l’entrée en vigueur du Règlement général sur la protection des données.
Le RGPD est devenu en peu de temps une norme incontournable.
Quels sont les 5 constats qui peuvent être faits après 5 ans d’application ?
Le rôle central du DPO et les défis rencontrés
Le DPO joue un rôle crucial dans la supervision de la conformité aux règles de protection des données.
Si son rôle est désormais ancré dans les pratiques des organisations, le défi actuel d’un DPO est d’arriver à mener de front toutes les tâches qui lui incombent. Il ne doit plus convaincre les équipes de l’intérêt de respecter le RGPD, mais sa charge de travail reste sous-estimée.
Suivre les nouveaux projets tout en accomplissant les tâches récurrentes de maintien de la conformité est souvent difficile. Et ce alors que l’APD a intégré l’exercice de la mission du DPO dans ses priorités stratégiques de 2023. Les DPO doivent donc bien documenter les actions posées, pour pouvoir prouver à l’APD qu’ils ont bien accompli leur mission.
L’importance des lignes directrices et recommandations
Le texte du RGPD a été complété au fil des années par un foisonnement de lignes directrices et de recommandations émises par l’APD ou le groupe des autorités de contrôle européennes European Data Protection Board.
Ces documents fournissent des orientations précieuses sur la façon d’interpréter certains articles du RGPD, sur les notifications de violations de données, les analyses d’impact sur la protection des données, et bien d’autres.
Les informations utiles pour la pratique d’un responsable du traitement déterminé sont cependant noyées dans le flot d’informations, qui est difficile à suivre par chaque DPO.
Saviez-vous que vous pouviez retrouver la liste complète de ces recommandations, dans leur dernière version sur notre site dédié ?
L’augmentation du nombre de cyberattaques
Les annonces de cyberattaques retentissantes sont malheureusement devenues monnaie courante.
Cela conscientise évidemment les organisations traitant des données sur les risques encourus et l’importance de respecter le RGPD pour limiter ces risques.
Ce ne sont plus seulement les amendes potentielles qui sont redoutées, mais également les conséquences économiques et réputationnelles d’une cyberattaque.
La montée en puissance de l’APD
En 2018-2019 : l’APD a été lentement constituée et a principalement assisté les organisations à se conformer aux nouvelles normes. Seules 39 décisions ont été prononcées en 2019.
En 2020 : Tout en continuant à fournir des documents pour aider à la mise en conformité, l’APD a commencé à sanctionner de plus en plus sévèrement en cas de non-respect du RGPD. 82 décisions ont été prises, concentrées sur les autorités publiques, ainsi que sur le marketing direct.
En 2021 : De nombreuses ressources été mises en œuvre concernant les traitements de données dans le cadre de la lutte contre la Covid-19, que ce soit par les employeurs ou par le Covid Safe Ticket. La société civile s’est aussi emparée du débat sur la nécessité de la collecte de telles données de santé. En parallèle, 143 décisions ont été prononcées.
En 2022 : l’APD a continué à augmenter le rythme des décisions (188) et les montants des amendes (pour un total d’environ 740.000 €).
Pour l’année 2023 : ses principales priorités de contrôle sont l’usage de cookies, la mission des DPO, les smart cities et les data brokers.
Après 5 ans d’existence, l’APD est de plus en plus active et proactive, lançant souvent des enquêtes spontanées.
Elle a cependant des difficultés à faire face à l’augmentation du nombre de plaintes qui lui sont adressées, compte tenu de ses ressources.
Des amendes croissantes
Le RGPD a donné à toutes les autorités de protection des données européennes le pouvoir d’infliger des amendes importantes en cas de non-conformité.
Le nombre de décisions et le montant des amendes prononcées augmentent d’année en année. Ceci démontre d’une part la sensibilisation de la population à la protection des données et l’augmentation consécutive du nombre de plaintes, et d’autre la détermination des autorités de contrôle à faire respecter les règles de protection des données.
En Belgique, la plus grosse amende infligée par l’APD s’est élevée à 600.000€. Cependant, en moyenne, les amendes infligées à des acteurs belges avoisinent 50.000€. Pour une analyse complète, revisionnez notre webinaire consacré aux sanctions prononcées par l’APD.
Dans la totalité de l’Union Européenne, ce ne sont pas moins de 3,7 milliards d’euros d’amendes qui ont été administrés en 5 ans par les autorités nationales, compte tenu de l’amende prononcée le lundi 22 mai par l’autorité irlandaise contre Meta.
Notre conseil :
Il y a 5 ans, peu de gens avaient conscience de la façon dont le RGPD modifierait la pratique quotidienne des autorités publiques et entreprises.
Les années à venir risquent d’être tout aussi impactées par la règlementation européenne en matière de numérique :
- Le futur règlement européen sur l’intelligence artificielle, grande consommatrice de données, est en grande partie calqué sur les principes et mécanismes prévus par le RGPD.
- D’autres règlements européens très récents que sont le DSA (règlement sur les services numériques) et le DMA (règlement sur les marchés numériques) n’ont pas encore démontré toutes leurs implications. Tout comme le RGPD, ils ont pourtant des conséquences importantes, notamment sur les campagnes marketing et les plateformes en ligne.
Rendez-vous ce 2 juin sur participer à notre webinaire sur le sujet. Nous vous aiderons à tirer parti au mieux de ces deux règlements.