Le règlement européen sur la protection des données est entré en vigueur le 25 mai 2018. Le texte a depuis inspiré bien au-delà des frontières de l’Europe. Après une phase d’ajustement, son application pourrait se durcir dans les prochains mois.
Un an après son entrée en vigueur, le RGPD n’a sans doute pas encore montré tous ses effets. Jusqu’à maintenant, son application ne s’est pas traduite par une pluie de sanctions à l’encontre des entreprises. La CNIL, chargée de l’application du texte en France, a même infligé moins d’amendes et de mises en demeure en 2018 qu’en 2017. Le régulateur souhaitait en effet, dans un premier temps, accompagner les entreprises et interpréter concrètement le règlement.
Rappelons que le RGPD encadre la récolte, l’exploitation et la protection des données des internautes, avec en particulier une obligation de “consentement éclairé” pour le recueil des données. Les amendes peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial des entreprises.
Sanction exemplaire contre Google
Or, la situation pourrait évoluer dans les prochains mois. Déjà, la médiatisation autour du RGPD, a entraîné une hausse de 32% des plaintes auprès de la CNIL en 2018. Au niveau européen, on dénombre plus de 100.000 plaintes au titre du règlement de protection des données. L’étau pourrait donc se resserrer autour des entreprises : la CNIL a prévenu que la période de tolérance était terminée et que les sanctions seraient désormais plus systématiques, en cas de non conformité.
D’ores et déjà, la CNIL a prononcé, en janvier, une première amende au titre du RGPD de 50 millions d’euros contre Google, pour manquement à son obligation de transparence et d’information en matière de collecte de données. Les investigations se multiplient également en Irlande contre Facebook, Twitter, LinkedIn ou Apple.
Au delà de la situation des entreprises, le RGPD a eu comme effet positif de faire de l’Europe un modèle international en terme de protection des données. Des textes similaires au règlement européen ont été adoptés au Brésil, au Japon ou en Californie (avec une entrée en vigueur prévue en 2020).
Cible ratée ?
Plus surprenant, plusieurs géants de la tech américaine ont aussi, ces derniers mois, soutenu ce principe : Mark Zuckerberg (Facebook), Tim Cook (Apple), Sundar Pichai (Google) ont notamment demandé l’application aux Etats-Unis d’un texte inspiré du RGPD. Pourtant parmi les premiers visés par la régulation, les Gafa cherchent ainsi à répondre à la défiance de leurs utilisateurs, mais aussi à garder la main pour éviter un encadrement trop stricte.
L’approche de ces grands groupes n’aurait d’ailleurs rien d’altruiste. Plusieurs études suggèrent que Google et Facebook ont profité du RGPD pour renforcer leur hégémonie sur le marché publicitaire. Les petits acteurs de l’écosystème sont en effet contraints à la prudence : ils n’ont pas autant de moyen pour se mettre en conformité et ne peuvent risquer une amende. Google et Facebook, en raison de leur popularité, obtiendraient par ailleurs plus facilement le consentement des internautes que des start-up inconnues du grand public.
Ces craintes ont d’ailleurs été relayées récemment par Evan Spiegel, le PDG de Snapchat : « Je pense que certains règlements comme le RGPD, par exemple, pourraient finalement conforter dans leurs positions de très gros acteurs », a-t-il expliqué. « Si vous êtes un petit éditeur et que vous souhaitez faire de la publicité sur votre site web, c’est très difficile de le faire car vous n’avez pas la carrure (suffisante), vous ne disposez pas d’une plateforme de publicité géante, donc vous risquez de vouloir passer par Google, par exemple, ou Facebook ».
De ce point de vue là, les bonnes intentions européennes pourraient finalement s’avérer contre-productive.