Accueil RGPD, 1 an après, les évolutions à venir

RGPD, 1 an après, les évolutions à venir

Par Alexa King, vice-président exécutif, avocate-conseil et secrétaire administrative de FireEye, et Richard Weaver, Data Protection Officer de FireEye.

 

Les deux années qui ont précédé la date de mise en application de 2018 du Règlement Général sur la Protection des Données (RGPD) ont vu une ruée sans précédent d’entreprises examinant et modifiant leurs pratiques pour essayer d’entrer en conformité avec le RGPD. Ces douze derniers mois, cette ruée a cédé sa place à un rythme plus prudent et délibéré à mesure que les régulateurs élaborent leur processus d’examen des centaines de milliers de plaintes qui ont déjà été déposées. A ce jour, il n’y a eu que très peu d’actions répressives, entraînant des amendes relativement faibles, à mesure que les régulateurs se penchent sur le RGPD et sur les moyens les plus efficaces pour l’appliquer.

Des enquêtes longues

Lors d’une table ronde qui s’est tenue plus tôt ce mois-ci à Washington D.C. pour le Sommet Mondial sur la Protection de la Vie Privée de l’International Association of Privacy Professionals, un rassemblement annuel de 4 000 professionnels de la vie privée du monde entier, Helen Dixon, de la Commission Irlandaise de Protection des Données, en conversation avec Elizabeth Denham, de la Commission d’Information du Royaume-Uni, et Andrea Jelinek, présidente du conseil européen de la protection des données, ont souligné que les enquêtes prennent six mois au minimum. Au cours du cycle d’une requête, les régulateurs doivent d’abord déterminer si, à première vue, une plainte déposée par un résident de l’UE est pertinente et atteint le niveau d’une violation potentielle du RGPD. Beaucoup des centaines de milliers de plaintes reçues par les autorités de protection des données au cours de l’année ont simplement été des requêtes d’exclusion des publicités, ce qui ne rentre pas dans la réglementation. Dans le cas d’une plainte valide, les régulateurs ont ensuite eu besoin de mieux s’éduquer sur la technologie en question, ce qui implique naturellement de contacter les entreprises sujettes aux plaintes pour solliciter plus d’informations.

Un va-et-vient entre les régulateurs et les entreprises sert aussi comme moyen de résoudre les plaintes, comme l’a souligné Helen Dixon, membre de la commission, qui préfère utiliser des « carottes » plutôt que des « bâtons ». La leçon immédiate pour les entreprises est que l’engagement avec les régulateurs peut entraîner de meilleurs résultats que l’évitement.

Les entreprises vont-elles devenir complaisantes ?

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée. Toute rétraction est intrinsèquement risquée, puisque les évaluations périmées des facteurs relatifs à la vie privée et les inventaires obsolètes donnent lieu à des rapports incomplets sur les activités de traitement des données. Et les rapports incomplets sur les activités de traitement des données sont un signe évident pour les régulateurs que le maintien d’un programme de protection de la vie privée fait défaut et mérite probablement d’être examiné de plus près. Une autre question importante est de savoir si les allégations de conformités des entreprises seront vérifiées par des tiers ou ne seront pas contestées tant que ou à moins que les régulateurs n’aient pas réagi et ne seront pas satisfaits de ce qu’ils auront vu.

Le RGPD donne l’exemple

Le RGPD donne également l’exemple pour l’amélioration des lois sur la protection de la vie privée aux États-Unis. La loi California Consumer Privacy Act (CCPA), qui prend encore forme, contient des similarités avec le RGPD, y compris pour fournir aux californiens le droit d’accéder aux données personnelles collectées les concernant par des entreprises soumises à la loi. Cependant, le CCPA peut aller plus loin que le RGPD en permettant éventuellement un droit d’action privé qui pourrait donner lieu à des recours collectifs en matière de protection de la vie privée contre les entreprises qui violent la loi. La Californie n’est pas la seule dans ce cas, d’autres états transforment en lois les leçons tirées grâce au RGPD, qui pourraient se transformer en un ensemble contradictoire et pesant à suivre pour les entreprises. Une conséquence potentielle pourrait être l’adoption d’une loi fédérale sur la protection de la vie privée, qui normaliserait les exigences, mais qui a peu de chance de devenir une loi avant l’entrée en vigueur de diverses lois étatiques. En attendant, le résultat sèmera très certainement la confusion des consommateurs à propos de leurs droits, de la responsabilité des entreprises, de l’application de la loi et de l’éducation.