Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Le RGPD, un an après

Redonner le contrôle sur le contrôle des données
Droit 9 min
Le RGPD, un an après
Crédits : 3D_generator/iStock

Les 176 considérants et 99 articles du règlement général sur la protection des données fêtent aujourd’hui leur premier anniversaire. Retour sur une année de mise en œuvre.

Le 25 mai 2018, le fameux RGPD entrait en vigueur, conformément à l’article 99 du texte. Véritable révolution juridique, ce texte allait théoriquement soumettre l’ensemble des États membres à une même norme pour encadrer l’usage des données personnelles dans l’Union chez les « responsables de traitements ».

Nous avions rédigé une analyse ligne par ligne des 99 articles dans un long papier découpé en trois volets, toujours d'actualité :

…Accompagné d’une série de questions/réponses pour expliquer concrètement les changements apportés par cette nouvelle législation européenne. 

Ambitieux projet que de mettre l’ensemble des personnes physiques à la même enseigne, favoriser la concurrence entre les entités concernées, mais aussi lutter contre les stratégies d’optimisation. Sous le règne antérieur, il était fréquent qu’une entreprise décide de s’implanter ici plutôt que là, afin de bénéficier d’un climat juridique peu contraignant, voire bénéfique pour ses petites affaires.

L’unité promise par le règlement a toutefois été mise à mal en sortie de procédure parlementaire, ce en raison des dizaines de renvois aux législations nationales qu’a incrustées le législateur européen.

Un exemple, parmi tant d’autres, l’âge à partir duquel un mineur peut consentir valablement à voir ses données personnelles aspirées, traitées, exploitées par Facebook. Le texte fige cet âge de la maturité personnelle à 16 ans, tout en permettant à chaque législation de prévoir un âge plus précoce. Pas étonnant que l’Irlande ait choisi 13 ans, plancher partagé avec la loi américaine, qui permet de ne pas trop bouleverser les habitudes des géants du Net.

Ce renvoi aux législations nationales a conduit la France à prendre une loi spécifique qui a également eu pour objet d’adapter notre droit à ces nouvelles conditions climatiques. La France, fer de lance du débat européen, n’a publié ce texte que près d’un mois après le 25 mai, après validation presque intégrale du Conseil constitutionnel.

Comme décrit, le 21 juin, au Journal officiel, la loi française a donc programmé une série de mesures avec en tête la mise en œuvre des actions de groupe en matière de données personnelles, afin d’autoriser les victimes à obtenir réparation du préjudice subi.

Cette procédure n’est réservée qu’aux seules associations régulièrement déclarées depuis cinq ans au moins et « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ». Elle est également ouverte aux associations de défense des consommateurs représentative agréée au niveau national, si le problème « affecte des consommateurs ». Enfin, aux syndicats représentatifs de salariés ou de fonctionnaires, du moins quand leurs intérêts sont là encore affectés.

Cette loi a également fixé la majorité RGPD à 15 ans. En dessous de ce seuil, il est nécessaire d’obtenir l’accord des parents.

De plus, elle a prévu la possibilité pour le président d’une des deux chambres, celui d’une commission ou d’un président d’un groupe de saisir la CNIL pour avis en amont d’une proposition de loi.

Sur le terrain des procédures, les agents de la CNIL,  qui avaient déjà la possibilité d’opérer des contrôles à distance, peuvent maintenant utiliser des identités d’emprunt, à condition de ne pas inciter un responsable à commettre une infraction. Une disposition classique en la matière.

La loi a également autorisé le gouvernement à prendre une ordonnance pour réécrire l’ensemble de la loi Informatique et libertés de 1978. L’ordonnance fut prise en décembre 2018, après avis de la CNIL, qui a avait regretté toutefois un texte parfois « très peu lisible ».

Un changement d'ampleur

L’un des principaux enseignements du RGPD réside dans un changement de stratégie. D’une logique déclarative afférente à tous les traitements, le texte opte pour une logique de responsabilité. Les responsables de traitement ont l’obligation, dès la conception de leurs systèmes, de pouvoir démontrer qu’ils ont assuré un haut niveau de protection des données transitant entre leurs mains.

Les droits reconnus aux personnes physiques ne sont toutefois pas tous révolutionnaires : sacro-saint consentement (en concurrence avec l’intérêt légitime du responsable), droit à l’information, droit d’accès et de rectification, mais aussi l’avènement d’un véritable droit à l’oubli qui fut préalablement consacré dans les moteurs par la Cour de Justice de l’Union européenne, via le droit à l’effacement…

L’autre pierre fondamentale est la portée géographique du règlement. Y sont astreints non seulement les acteurs privés et publics installés en Europe, mais également les responsables de ceux des pays tiers qui ciblent des personnes présentes en Europe. Par ce simple jeu territorial, voilà un corps de règles se propageant sur l’ensemble de la planète, avec dans ses valises les valeurs inscrites au fil de sa (presque) centaine d’articles.

Un texte n’est rien sans action en justice, levier nécessaire pour en assurer l’effectivité. Aux premières heures de la mise en œuvre du règlement, Maximilian Schrems, de l’initiative NOYB (nope of your business), s’attaquait à Google, Instagram, WhatsApp et Facebook, accusés de plusieurs légèretés règlementaires, en particulier ces politiques de tout ou rien qui, selon le règlement, ne permettent pas d’avoir un consentement libre et éclairé.

Au même moment la Quadrature du Net s’attaquait à Amazon, Apple, Facebook Google et LinkedIn devant la CNIL. Rien de moins. Elle a dénoncé à l’encontre de la firme de Mountain View, qu’en vertu des conditions générales d’utilisation, « toute personne utilisant ses services manifeste, du simple fait de son utilisation ordinaire des sites Internet en question (Google Search ou YouTube), sa volonté de donner son consentement à l'analyse de ses activités à des fins de ciblage publicitaire ».

Plusieurs références au RGPD dans les délibérations rendues en 2018 

Au long de l’année 2018, la CNIL a rendu plusieurs délibérations qui se sont muées parfois en sanctions. Les faits remontaient toutefois dans la quasi-totalité des cas à la période antérieure au 25 mai, rendant impossible les nouvelles sanctions promises par le RGPD (jusqu’à 4 % du chiffre d’affaires mondial).

Néanmoins, les références aux règlements se sont démultipliées, au fur et à mesure que nous nous avancions dans l’année. Par exemple ces deux délibérations ou celle concernant un établissement scolaire, épinglé pour vidéosurveillance excessive. La première véritable mise en demeure publique, s’appuyant sur le règlement, date d’octobre 2018. Elle vise une solution de publicités ciblées sur mobile, dans les supermarchés.

Ces références ont concerné d’autres institutions. Le Conseil d’État a rendu une importante décision, toujours pour des faits antérieurs. Il a posé qu’un site – ici Challenges.fr – ne peut déposer des cookies, tout en proposant de paramétrer son navigateur pour espérer répondre au droit d’opposition de la loi de 1978. La solution vaudrait sans nul doute aujourd’hui.

Au sein de la CJUE, d’importantes décisions sont attendues, notamment celle qui pourrait consacrer une coreponsablité entre l’éditeur d’un site et Facebook, tout simplement parce que le premier a décidé d’implanter un bouton « Like », derrière lequel le second torpille en coulisse l’internaute de traitements. 

Explosion du nombre de plaintes

Sur le terrain des statistiques, la CNIL a sans grande surprise constaté une explosion des plaintes au fil de ses bilans. À peine 100 jours après la mise en œuvre du règlement, elle enregistrait enregistré « 2 770 plaintes contre 1 780 sur la même période en 2017, qui était déjà une année record ». Soit une hausse de près de 56 %.

L’affaire DisinfoLab a évidemment joué dans la balance (voir notre interview de Me Oriana Labruyère, spécialisée sur les questions de données personnelles) En novembre, 6 mois après le jour J, le chiffre des plaintes est monté à 6 000. Pour l’ensemble de l’année 2018, 11 077 ont été enregistrées, soit nettement plus que les 8 000 constatées les années précédentes. Depuis, ce nombre est passé à 11 900. Une hausse de 30 % par rapport à la période mai 2017-mai 2018.

L’autorité avait promis que le 25 mai ne serait pas une date couperet. Les premiers mois allaient être consacrés à un accompagnement des entreprises et personnes morales de droit public dans la compréhension du règlement. Elle savait aussi qu’avec un tel véhicule, l’Europe jouerait sa crédibilité, comme l’a expliqué Isabelle Falque-Pierrotin en janvier 2018 et répété en avril 2018.

« On angle sur une stratégie d’accompagnement de ces acteurs pour faire en sorte qu’elles comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer » témoignait l’ex-présidente de la commission dans nos colonnes. Avec Bpifrance, la CNIL a ainsi publié au même moment un guide et des fiches réservées aux PME.

Elle a aussi diffusé sur son site des éléments fondamentaux pour les entités soumises à ces nouvelles obligations, comme en novembre 2018, la liste des opérations où l’analyse d’impact prévue par le règlement est toujours requise. 

Une sanction de 50 millions contre Google

La logique d’accompagnement allait nécessairement trouver ses limites. En janvier 2019, elle décide d’infliger 50 millions d’euros de sanction à l’encontre de Google. Cette décision est le fruit de l’action lancée par Byod et LQDN respectivement les 25 et 28 mai 2018. L’autorité s’est estimée compétente pour sanctionner Google LLC, malgré les efforts trop tardifs de celle-ci pour s’abriter sous le ciel irlandais.

Elle a dégommé plusieurs contrariétés : manque « d’accessibilité, de clarté et de compréhension » dans les informations délivrées aux internautes, un manque de base légale, des cases précochées par défaut (une hérésie RGPDienne), la liste des reproches est longue. 

D'autres foyers d'inquiétudes

Le pain est toujours sur la planche. De nombreuses procédures sont sur la rampe. De plus les foyers d’inquiétudes sont désormais multiples, pas seulement sur la question des trackers ou les répliques de fichiers contenant des injures multiples et autres noms d’oiseaux

La smart city a le vent en poupe en France : reconnaissance faciale à Nice, contrôle d’accès dans des établissements scolaires testées dans le Sud de la France, sans oublier le Big Data de la tranquillité, ce Minority Report made in Marseille.

D’autres sujets vont susciter des attentions : les publicités ciblées à la télévision, qui attisent les convoitises des chaînes, agacées de la concurrence des sites Internet sur ce marché juteux. N’oublions pas dans l’inventaire, les fichiers de santé, avec le dernier exemple en date, ce croisement entre un fichier psychiatrique (Hopsyweb) avec celui relatif aux signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).

Au menu pour 2019...

La CNIL a déjà dévoilé son programme de contrôle pour l’année 2019. Respect des droits, traitements des données des mineurs et la responsabilité des sous-traitants. Un programme annuel qui représente qu’un quart des investigations, sachant que la commission ne s’interdira évidemment pas d’aborder d’autres sujets selon les plaintes, les réclamations qui lui sont adressées et l’actualité.

Elle promet encore de poursuivre sa logique d’accompagnement au profit des collectivités locales et des start-ups, et elle multiplie les références à ses nombreux outils d’accompagnement rendus disponibles ces derniers mois, comme ce MOOC sur le RGPD. « L’année 2019 sera décisive pour crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel » conclut-elle.

28 commentaires
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 25/05/19 à 08:45:23

Très bon article qui montre bien qu'on est à croisée des chemins et que le RGPD a permis une prise de conscience mais que l'essentiel reste à faire.

Peut être un petit mot sur la problématique du chef de file et en particulier lorsque c'est l'autorité irlandaise qui est désignée et sa conséquence éventuelle ? Tu l'évoques en creu s'agissant de la décision contre Google, mais peut être qu'une explication pour le lecteur non averti serait utile :)

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 25/05/19 à 09:45:47

Yahoo ne respect pas le RGPD, il y'a un message ahurissant avec comme seule option OK accepter de tout envoyer, mais pas de non :
"Yahoo fait partie d’Oath. Oath et ses partenaires ont besoin de votre consentement pour accéder à votre appareil et utiliser vos données, notamment votre position géographique, afin de comprendre vos centres d’intérêt, de diffuser des publicités personnalisées et de mesurer leur efficacité."

"Pour continuer à utiliser Yahoo et d'autres sites et applications d’Oath, vous devez nous autoriser à utiliser des cookies pour collecter vos données"
Strictement illégal ! Depuis quand il faut connaitre ma position ou les données de mon appareil pour afficher des pubs sur un site web !
L'accès du site est conditionné à l'acceptation de tous les cookies.

Y'a un moyen simple de dénoncer de genre d'abus ?

Avatar de coco74 Abonné
Avatar de coco74coco74- 25/05/19 à 10:15:18

C'est terrible, pour tous les sites yahoo et le sous sites qui leur appartiennent ...

Je crois que pour refuser la collecte, il faut déselectionner tous leur partenaires ou alors accepter, tellement c'est chiant.

Avatar de ricozed Abonné
Avatar de ricozedricozed- 25/05/19 à 10:23:29

Le jour où on pourra accéder à Yahoo actu sans devoir accepter l'utilisation de nos données personnelles pour l'ensemble des partenaires d'OATH, on aura déjà fait un grand pas. Pour le moment impossible d'accéder au site si on accepte pas le partage des données, et même après cela il n'est pas possible de retirer le partage...Il est indiqué d'aller dans le tableau de bord, mais une fois dedans nul bouton pour refuser le partage des données.
Ciculez il y a rien à  voir.
Comme dirait Marc : la @cnil en PLS !!!
 

Avatar de ricozed Abonné
Avatar de ricozedricozed- 25/05/19 à 10:26:32

Ah bah je vois qu'on a les mêmes problèmes !!!!!
je tourne en rond sur yahoo qui me revoit sur une page d'Oath qui me revoit lui-même via le tableau de bord sur Yahoo qui me dit qu'ils récupèrent pleins de belles données personnelles, localisation toussa toussa, mais ne me laisse pas la possibilité de refuser l'utilisation de ces données !
Argh !!!!!

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 25/05/19 à 10:27:17

C'est justement là le côté illégal : quand tu vas sur yahoo on n'a pas à te demander d'accepter les conditions de Oath qui s'appliqueront sur une liste longue comme le bras de site partenaire (dont Yahoo) !
Deuxième problème les données perso récoltées doivent être clairement explicité (nom, ip, email, position...) et pas être démesuré par rapport à l'usage. ici c'est juste n'importe quoi !

Édité par fofo9012 le 25/05/2019 à 10:30
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 25/05/19 à 10:31:06

Essaye l'extension " I don't care about cookies".
Perso la page où ils demandent mon accord apparait, et 1sec plus tard, elle vire. :D

Après, qui a envie d'aller sur Yahoo en 2019 ?

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 25/05/19 à 10:40:08

dylem29 a écrit :

Essaye l'extension " I don't care about cookies".
Perso la page où ils demandent mon accord apparait, et 1sec plus tard, elle vire. :D

Après, qui a envie d'aller sur Yahoo en 2019 ?

Fausse bonne idée !
Ton appli est franchement merdique et à désinstaller d'urgence : elle clique sur OK toute seule, acceptant cookies ET autre moyen de traçage (stockage IP, mise en cache d'image signature détectée de site en site...).

J'ai pas besoin d'une appli pour accepter d'être traqué le bouton OK est assez gros pour que j'arrive a cliquer dessus tout seul... Je veux simplement utiliser pouvoir surfer normalement sans avoir à laisser mon ADN dans chaque pub à la con ou bouton like parfaiment inutile.

Avatar de coco74 Abonné
Avatar de coco74coco74- 25/05/19 à 10:51:49

Je me demande:

en cas d'utilisation de ghostery qui bloque les trackers, si j'indique que je suis pour l'utilisation des cookies de traçage, est ce que ghostery bloque les cookies et donc ça reviens à les "refuser" plus rapidement?

Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 25/05/19 à 10:54:43

C'est gentil de prévenir, mais je ne pense pas être sensible aux cookies pub, j'ai un fichier HOST modifié, Disconnect, uBlock Origin, Decentraleyes, Privacy Badger, Facebook Container, j'ai activé toutes les options de vie privée sur Firefox.

Le souci est que je supprime tous les cookies (sauf sur les sites auxquels il y a une connexion, typiquement Facebook ou Youtube), donc je n'ai pas envie de désactiver toutes les options de traçages à chaque fois que je vais sur un site.

Cela étant dit, je vais quand même la supprimer. :)

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Un changement d'ampleur
  • Plusieurs références au RGPD dans les délibérations rendues en 2018 
  • Explosion du nombre de plaintes
  • Une sanction de 50 millions contre Google
  • D'autres foyers d'inquiétudes
  • Au menu pour 2019...
S'abonner à partir de 3,75 €