Deux ans aujourd’hui ! Le deuxième anniversaire du RGPD
Benoit Grunemwald, Expert en Cyber sécurité, ESET France
Le 25 mai 2020 marque le deuxième anniversaire de l’entrée en vigueur du Règlement général sur la protection des données (RGDP) en Europe. Sans doute le plus important texte législatif sur les données personnelles de ces dernières années, le RGPD a été conçu pour assurer le droit à la confidentialité des personnes vivant dans l’UE. Deux ans plus tard, nous avons constaté une augmentation substantielle de la sensibilisation à la confidentialité et la protection des données, avec des réglementations supplémentaires entrant en vigueur dans le monde entier. Les menaces contre la vie privée n’ont jamais été aussi grandes. Les efforts continus des cybercriminels soulignent la valeur financière des données et l’importance de ne pas baisser la garde lorsqu’il s’agit de protéger les informations personnelles.
Ces deux dernières années ont cependant montré que le RGPD n’était pas un remède miracle à tous les problèmes de confidentialité des données. Depuis mai 2018, des amendes record ont été infligées aux entreprises qui ne protègent pas systématiquement les données de leurs clients, avec notamment une amende de 210 millions d’euros proposée dans le cadre de la fuite des données de British Airways en 2018. Bien que ces amendes puissent inciter les entreprises à devenir plus responsables quant au stockage des informations des utilisateurs, il reste encore du chemin à parcourir pour garantir la confidentialité totale des données.
Le RGPD face aux autres réglementations
Même si le RGPD est l’une des premières réglementations dans ce domaine, ce n’est pas le seul texte législatif sur la protection des données en vigueur dans le monde. Le Consumer Privacy Act de l’État de Californie (CCPA), promulgué en juin 2018, comprend de nombreuses dispositions similaires à celles du RGPD. Si la portée géographique de ces réglementations peut sembler limitée, elles affectent en réalité tous les marchés qui ont une relation commerciale dans l’UE ou dans l’État de Californie.
En parallèle, la loi brésilienne Lei Geral de Proteção de Dados (LGPD), qui devrait entrer en vigueur en août 2020, donnera aux citoyens brésiliens le droit de demander la suppression des données les concernant, parmi d’autres réglementations sur la vie privée. Le Brésil possédant l’une des plus grandes économies d’Amérique du Sud, cette législation aura donc un effet tangible dans le monde. La LGPD crée un ensemble de nouveaux concepts juridiques et génère des obligations spécifiques pour les contrôleurs de données, les rendant encore plus responsables aux yeux de la loi.
La loi japonaise sur la protection des informations personnelles (APPI) a été introduite en 2003, avec des révisions substantielles en mai 2017. Ces révisions comprenaient l’extension de l’application de la loi même aux sociétés étrangères qui détiennent des données sur des citoyens japonais, ce qui signifie que cette loi va plus loin que beaucoup d’autres du même genre.
L’avenir du RGPD
Ces derniers mois ont posé un défi encore plus important pour la protection des données. En raison des confinements dus au coronavirus, des données qui seraient auparavant restées privées, telles que les informations médicales, ont été partagées de manière peu idéale. Des applications permettant de suivre la propagation du COVID-19 ont été conçues pour localiser les individus, en les avertissant s’ils ont pu entrer en contact avec des personnes infectées par le virus. Comment la réglementation en matière de protection des données gère-t-elle ce cas ?
Avec la mise en place progressive des mesures de confinement au premier trimestre 2020, le Conseil européen de la protection des données (CEPD) a publié une déclaration précisant que le RGPD permet aux autorités de santé publique de traiter des informations personnelles sans le consentement des individus afin de protéger la santé publique. En ce qui concerne l’utilisation des données de localisation, la déclaration précise que les autorités publiques doivent adhérer à la directive de confidentialité (ePrivacy Directive). L’article 15 de cette directive permet aux États membres de l’UE d’introduire des mesures législatives visant à l’utilisation des données de localisation. Dans la mesure du possible, ces données doivent être traitées de manière anonyme.
En conclusion
L’un des effets les plus significatifs du RGPD est qu’il a déclenché un débat mondial sur la protection des données. En plaçant la confidentialité de nos données au cœur du débat, le RGPD a souligné combien il est important de contrôler la manière dont les informations personnelles sont stockées et communiquées. Qui sait ce que les deux voire les dix prochaines années pourraient réserver à la législation sur la protection des données, ou comment la technologie continuera de transformer le monde. Mais une chose est sûre : la confidentialité des données ne disparaîtra pas de sitôt.