Pour les deux ans du RGPD, la Commission européenne a dressé, ce mercredi 24 juin, un bilan positif de ce qu’elle nomme une « législation moderne et horizontale ». C’est la première fois que l’exécutif européen se penche sur le règlement devenu, selon elle, un « point de référence mondial ». En substance, le message était clair : « le RGPD fonctionne ». Même si les commissaires ont admis que la « liste des choses à faire était encore longue ».
« Le RGPD illustre parfaitement comment l’Union européenne (UE), en adoptant une approche fondée sur les droits fondamentaux, donne à ses citoyens les moyens d’agir et offre aux entreprises des possibilités de tirer le meilleur parti de la révolution numérique », a résumé Věra Jourová, vice-présidente de la Commission, chargée des Valeurs et de la Transparence. « Mais nous devons tous continuer à œuvrer pour que le RGPD réalise son plein potentiel. »
Une majorité d’Européens au courant
Aujourd’hui, 69 % de la population européenne âgée de plus de 16 ans ont connaissance de l’existence du RGPD tandis qu’ils sont 71 % à avoir entendu parler de l’autorité de protection des données (APD) chargée de le faire respecter dans leur pays, selon l’Agence des droits fondamentaux de l’UE. Un chiffre montre que « les citoyens sont mieux armés et plus conscients de leurs droits », analyse la Commission.
« Nous devons nous assurer que [le RGPD] est appliqué de manière harmonieuse, ou du moins avec la même vigueur sur tout le territoire européen. Il peut y avoir des différences nuancées, mais il doit être appliqué avec la même vigueur », a complété le commissaire à la Justice, Didier Reynders. « Pour cela, les APD doivent être suffisamment équipées – elles doivent avoir le nombre d’employés et les budgets nécessaires, et il y a une volonté claire d’aller dans cette direction. »
Des écarts considérables
Sur le volet applicabilité, les autorités nationales chargées de la protection des données (homologues de la Cnil française) au sein de l’UE ont vu leurs effectifs augmenter de 42 % et leur budget de 49 % entre 2016 et 2019. Si les signes de progression sont notables, « des écarts considérables persistent entre les États membres », pointe le rapport.
Un constat qui se mesure aussi en chiffres. Comme le rapporte TechCrunch, le navigateur Brave a constaté que les hausses budgétaires ont, certes, atteint des sommets au lancement du RGPD, mais deux ans plus tard, les gouvernements freinent les investissements. L’étude montre aussi que 50 % des APD en Europe reçoivent 5 millions d’euros ou moins de budget annuel. À titre de comparaison, en France, la Cnil a un budget annuel de 17,6 millions euros – soit trois fois plus (Source : Cnil 2018).
Un guichet unique peu performant
Autre disparité : la charge de travail. Dans certains États membres, comme l’Irlande ou au Luxembourg, les APD traitent plus de plaintes en volume et leur degré de complexité est plus élevé puisque ces deux pays accueillent les sièges sociaux de grandes multinationales, dont le RGPD est la cible. Google a installé son siège européen à Dublin en 2004. Facebook en 2008.
Pour les soulager, le traitement des plaintes transfrontalières devient crucial. Un guichet unique a été mis en place pour simplifier le processus. L’APD du pays, dans lequel est basée l’entreprise mise en cause, regroupe toutes les plaintes venues de toute l’UE. Entre le 25 mai 2018 et le 31 décembre 2019, 141 projets de décision ont été soumis par l’intermédiaire de ce guichet unique, dont 79 ont abouti à une décision définitive, se félicite la Commission.
« Une indépendance totale »
Mais au cours de ce processus, les États membres des plaignants restent actifs -ce qui peut entraîner des frictions et une multiplicité des recours juridiques. L’APD irlandaise a ouvert plus de 20 enquêtes encore en cours. Certaines décisions transfrontalières (notamment impliquant Facebook et Twitter) devaient être rendues « au début » de l’année 2020. En juin, toujours rien.
« La Commission n’a pas d’outils pour les pousser à accélérer, mais les cas […] ont trait aux grandes technologies, sont toujours plus complexes », a regretté la vice-présidente Vera Jourová, soulignant leur « indépendance totale ».
Une sanction modèle ?
En France, la Cnil a réussi à sanctionner Google à hauteur de 50 millions d’euros. Après un recours par Google auprès du Conseil d’État, la plus haute juridiction du pays, l’amende a été confirmée. Google est condamné à payer et changer ses conditions de traitement des données de ses utilisateurs Android. Un succès qui souligne les échecs des autres.
Certains y voient aussi le révélateur de l’ambiguïté des relations entre l’Irlande et les géants du Net qui y ont élu domicile -l’argument principal étant le faible taux d’imposition. Même si la critique à propos des gendarmes de la protection des données au sein de l’UE va bien au-delà du seul cas irlandais.
Un poids sur la scène internationale
Plus tôt cette année, le navigateur Brave a déposé une plainte auprès de la Commission contre les 27 États membres de l’UE, les accusant de sous-financer leurs services nationaux de surveillance de la protection des données. Il y demande de lancer une procédure d’infraction à l’encontre des gouvernements nationaux et de les saisir, le cas échéant, devant la Cour de justice de l’UE. Malgré tout, la Commission présente explicitement le RGPD comme un grand succès géopolitique, se targuant d’être « la plus grande zone de libre circulation sécurisée de données au monde ».
« En général, le RGPD est devenu une véritable marque européenne », a affirmé la vice-présidente. « Il place les personnes et leurs droits au centre. Il ne laisse pas tout au marché comme aux États-Unis. Et il ne voit pas les données comme un moyen de surveillance de l’État, comme en Chine. »
Salué pendant la crise du Covid-19
Mais les pistes d’amélioration sont encore nombreuses, notamment dans la sensibilisation aux petites et moyennes entreprises (PME) afin que le fossé entre elles ne grandissent pas. Le RGPD peut se révéler être un casse-tête infernal pour plus petites, qui ne sont généralement pas armées.
Plus à l’aise sur l’aspect positif du bilan, les commissaires en ont profité pour saluer « un certain degré de flexibilité dans le RGPD » qui a pu entrer en jeu pendant la pandémie de Covid-19, en alimentant les discussions sur les applications de traçage de contacts. Avec plus ou moins de succès selon les pays – en France, on tend plus vers l’échec.
Source : TechCrunch & Commission européenne [PDF]