5 ans de RGPD… et après ?

Au moment de son entrée en vigueur, le RGPD n’a pas constitué une grande nouveauté en soi, puisqu’il s’inscrivait dans le prolongement de la loi informatique et liberté de 1978 et de la directive européenne sur la protection des données personnelles de 1995. Sa principale vertu est cependant d’avoir accru la sensibilisation à ces questions », résume Alexandra Iteanu, responsable du pôle data et RGPD du cabinet Iteanu Avocats. Il faudrait en effet avoir passé les cinq dernières années sans connexion Internet pour ne jamais avoir entendu parler de ce règlement – entré en vigueur le 25 mai 2016 avec une application différée de deux ans. D’ailleurs, nulle entreprise ne peut avoir fait l’impasse sur cette législation européenne harmonisée. En théorie. « Énormément de sociétés se sont emparé du sujet, confirme Claude-Etienne Armingaud, associé et membre de la pratique droit des nouvelles technologies & propriété intellectuelle de K&L Gates. Pour autant, beaucoup ne se sentent toujours pas concernées, comme notamment des sociétés mères étrangères disposant pourtant parfois de filiales en Europe. » Et pour Alan Walter, associé-cofondateur du cabinet Walter Billet Avocats, l’appropriation du RGPD par les entreprises se heurte encore à deux principaux écueils : « Les petites sociétés et les start-up laissent souvent le sujet de côté, en raison du coût de la mise en application en interne de ce règlement complexe. Quant à toutes celles qui ont fait l’effort de s’engager dans cette voie, en produisant une documentation juridique fournie, elles peuvent ne pas en assurer un suivi correct si elles ne disposent pas en interne de délégué à la protection des données (DPO) ».

Référence hors Union européenne

Il semble donc qu’il y ait encore du chemin à faire, alors même que la CNIL cible tous les types d’entreprises dans ses enquêtes, du grand groupe international à la TPE. Signe de son activité grandissante, l’administration a prononcé 21 sanctions et engagé 147 mises en demeure au cours de l’année 2022. « Le RGPD présente d’ailleurs l’avantage d’avoir fait ‘plier’ beaucoup de géants internationaux, sur lesquels on n’aurait jamais pu exercer une quelconque influence ou moyen de pression si l’on avait dû s’appuyer uniquement sur la législation nationale », relève Alexandra Iteanu. Preuve du bien-fondé avéré de ce règlement : le fait qu’il devient de plus en plus une référence au-delà des frontières de l’Union européenne. À titre d’exemple, les Émirats arabes unis et le Brésil s’en sont inspirés… tout comme sept États des États- Unis – ce qui ouvre potentiellement la porte à une discussion à l’échelle fédérale. Et son rayon d’action sur le Vieux Continent prend de l’ampleur, si l’on en juge par les actions concertées des autorités de contrôle nationales. Jouant la carte de la coopération, elles ont récemment annoncé leur volonté de « procéder en 2023 à des vérifications sur la désignation et la fonction des DPO », afin de s’assurer notamment que ceux-ci disposent des moyens de leur action – et qu’ils ne constituent donc pas seulement un étendard brandi en guise de bonne intention. « Le panel qui leur était consacré en mars dernier, lors de la conférence IAPP Data Protection Intensive France 2023, s’est quasi transformé en session de psychanalyse collective, tant ils n’ont souvent pas les moyens de conduire leur mission », s’alarme Claude- Etienne Armingaud.

Ni formulaire ni documentation type

La question des données personnelles touchant toutes les fonctions de l’entreprise (du juridique au marketing, en passant par les techniciens et les RH…), rien ne garantit à l’entreprise de maîtriser le sujet sous prétexte qu’elle a mené un chantier initial de mise en conformité. « Le RGPD est devenu un atout pour toute entreprise commerciale, mais le plus difficile est de s’y conformer en permanence », avertit Alexandra Iteanu. « Il suffit par exemple de procéder à une acquisition ou de développer une toute nouvelle ligne de produits pour s’écarter du schéma de conformité initial sur lequel s’appuyait l’entreprise », confirme Alan Walter. Autant émettre de sérieux doutes, dès lors, sur l’acuité des offres de mise en conformité émanant de prestataires qui se contentent d’une intervention one shot sur la base de formulaires ou de documentations types… Une autre faiblesse se trouve liée à son champ d’action extraterritorial. « Même si l’on peut s’en réjouir dans l’absolu, avoir voulu d’emblée frapper très loin et très fort constitue une limite du règlement, analyse Claude-Etienne Armingaud. Dans les faits, il est souvent difficile d’obtenir de juridictions étrangères de se saisir de l’exécution locale de dossiers bâtis sur les obligations européennes du RGPD. » Idem dans le sens inverse, comme on vient de le constater avec le site américain de reconnaissance faciale Clearview AI : refusant de payer l’amende de 20 M€ prononcée par la CNIL en 2022, il a écopé d’une astreinte de 5,20 M€ début mai. Rien de très étonnant, puisque d’aucuns souligneront que les difficultés d’application à l’international de textes régionaux ou nationaux sont monnaie courante… Mais pour ceux qui douteraient encore du fait que le RGPD représente une pierre angulaire du droit, il faut savoir qu’il commence à être utilisé pour de tout autres raisons que la simple protection des données personnelles : c’est de plus en plus un motif invoqué par des salariés à l’encontre de leurs anciens employeurs, sur la question du droit d’accès aux informations les concernant. On n’a décidément pas fini d’entendre parler du RGPD.