RGPD : deux ans après son entrée en application, premier(s) bilan(s)

Alors que l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018 a été précédée par une négociation législative intense et des processus d’adaptation nationale délicats et inédits, ce texte constitue aujourd’hui un horizon indépassable.

Alors que l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018 a été précédée par une négociation législative intense et des processus d’adaptation nationale délicats et inédits, ce texte constitue aujourd’hui un horizon indépassable.

À ce titre, la période de crise actuelle considérée comme un nouveau « triomphe » d’Internet et de ses majors montre combien la protection des données personnelles s’inscrit au cœur de l’actualité – sur la souveraineté numérique, le traçage des individus ou le développement du télétravail notamment. Si l’omniprésence de ce sujet est bien réelle et se vérifie dans tous les secteurs d’activité – des débats liés à l’essor de la santé numérique, au développement des objets connectés ou à l’avenir des cookies–, l’enjeu d’un premier bilan de l’entrée en application du RGPD est tout aussi nécessaire.

La protection des données personnelles : un droit sous les feux de l’actualité.

Si le droit de la protection des données personnelles s’est structuré par étapes à l’échelle européenne, l’adoption du RGPD a créé une nouvelle impulsion. Projet phare de la Commission européenne sous l’impulsion de Viviane Reding, ce règlement avait ainsi pour objet de protéger un droit fondamental inscrit dans la charte des droits fondamentaux et appuyé par plusieurs références dans les traités européens (TUE et TFUE). Un droit fondamental qui devait également être garanti par des autorités de contrôle indépendantes et dotées de pouvoirs renforcés, au-delà des mécanismes existants et limités, et avec une architecture spécifique. 

Aujourd’hui, force est de constater que le RGPD est devenu un symbole et un texte reconnu à l’échelle internationale, voire un standard de la vie privée qui s’exporte, notamment, dans les accords noués par l’Union européenne ou au titre des décisions d’adéquation. Les dispositifs du RGPD marquent aussi une « norme » internationale de protection des données et appellent de futures duplications, comme en témoignent les débats législatifs au sein de certains États américains (voir par exemple le California Consumer Privacy Act) ou en Asie, la portée du RGPD dépassant ainsi largement celle de son champ d’application géographique.

Par ailleurs, l’actualité économique, sociale ou politique est saturée de questions liées à la protection des données personnelles, qu’il s’agisse de l’identité numérique, du développement de réseaux sociaux pour enfants, de la reconnaissance faciale ou du e-commerce. Autant de questions qui témoignent du développement de ce droit et de son évolution rapide – à travers le recours à des formes de soft law spécifiques –, et qui tendent à renforcer le rôle et la visibilité des autorités de contrôle et notamment de la CNIL en France.

Une évaluation contrastée ?

Un premier bilan à ce stade est forcément provisoire, limité et partiel. Il est cependant d’autant plus nécessaire que ce texte a fait, et continue de faire, l’objet de nombreuses critiques quant à son utilité ou à son efficacité. Utilité qui s’impose à propos du rapport de force complexe avec les majors d’Internet ou du fait de la mise en œuvre difficile – et inaboutie – du principe de responsabilité par les entreprises, notamment pour les PME. Efficacité en ce qui concerne sa plus-value ou son utilité pratique. Plusieurs points doivent néanmoins être signalés pour tenter d’évaluer les conséquences liées à l’application du RGPD.

Tout d’abord, il doit être souligné que le processus de mise en conformité au RGPD de très nombreuses organisations est aujourd’hui en place, privées comme publiques, avec des effets positifs notables – ne serait-ce qu’en matière de valorisation des relations avec les clients, d’image de marque ou de prise en compte des risques liés à la sécurité des données – alors que la numérisation des organisations s’accélère. Si cette réalité est contrastée du fait de la taille des entreprises ou de leurs enjeux, elle s’explique aussi par la nécessité de mettre en place des process spécifiques de compliance sur des sujets parfois inédits.

Ce règlement a aussi donné aux autorités de contrôle des moyens renforcés qu’elles utilisent aujourd’hui en partie, qu’il s’agisse de l’accompagnement et de l’appui à la conformité ou des niveaux de sanction prononcés, la CNIL ayant affiché en ce domaine des positions volontaristes.

Par ailleurs, l’évaluation du RGPD est d’autant plus délicate que ce texte n’a pas encore produit tous ses effets – au regard, par exemple, de la mise en œuvre progressive des dispositions sur les analyses d’impact – et que son architecture peut être considérée comme montant en puissance progressivement ; c’est le cas notamment des modalités de contrôle et de coopération entre autorités de contrôle. À ce titre, la lettre ouverte publiée ce 24 mai par None of Your Business et Max Shrems témoigne en creux des possibles divergences d’interprétation entre autorités de contrôle et des correctifs à venir, de la part de ces autorités ou dans le cadre de recours de la Commission devant la CJUE.

Enfin, soulignons que l’évaluation du RGPD et sa mise en œuvre constitue une préoccupation constante pour les institutions européennes et, notamment, la Commission, d’abord au titre du suivi des procédures nationales d’adaptation du règlement puis de son entrée en application. Sans parler de la jurisprudence ambitieuse de la Cour de Justice de l’Union européenne en la matière.

Jérôme Deroulez, Avocat aux barreaux de Paris et de Bruxelles, Cabinet Deroulez

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

P. Baussant (Baussant Conseil) : " Il faut avoir conscience de sa valeur "

P. Baussant (Baussant Conseil) : " Il faut avoir conscience de sa valeur "

L'augmentation du pouvoir économique des femmes a été considérable ces dernières années. Elles sont de plus en plus influentes en matière d’économie e...

Décideurs Juridiques en pause estivale

Décideurs Juridiques en pause estivale

La rédaction de Décideurs Juridiques souhaite à ses lecteurs un bel été et de bonnes vacances. Retrouvez votre rendez-vous quotidien le 2 septembre pr...

Procès des attentats du 13 novembre : le Conseil de l'ordre vote une compensation financière inédite entre les avocats

Procès des attentats du 13 novembre : le Conseil de l'ordre vote une compensation financière inédite...

Le Conseil de l'ordre des avocats de Paris a mis en place mardi un dispositif exceptionnel dans le cadre de la tenue du procès de terroristes : les ré...

Taylor Wessing amorce son arrivée en Irlande

Taylor Wessing amorce son arrivée en Irlande

Après avoir annoncé sa volonté de s’installer à Dublin en avril dernier, Taylor Wessing nomme deux nouveaux associés pour mener cette expansion : Adam...

Transaction record entre l’AMF et l’ancien directeur général de Fleury Michon

Transaction record entre l’AMF et l’ancien directeur général de Fleury Michon

Accusé par l’Autorité des marchés financiers (AMF) d’avoir commis un manquement d’initié, Régis Lebrun s’engage à verser 225 000 euros au Trésor publi...

Systra signe la seconde CJIP de l’année 2021

Systra signe la seconde CJIP de l’année 2021

Après la convention judiciaire d’intérêt public (CJIP) signée en février dernier par le groupe Bolloré avec le Parquet national financier pour des fai...

Contentieux : Laude Esquier Champey prouve la pertinence de son modèle

Contentieux : Laude Esquier Champey prouve la pertinence de son modèle

Le cabinet d’avocats spécialistes du contentieux des affaires Laude Esquier Champey vient de fêter ses 13 ans d’existence. Passée la phase de lancemen...

Belgique : Laurius accueille trois nouveaux associés

Belgique : Laurius accueille trois nouveaux associés

Doublant les effectifs de son bureau de Bruxelles, Laurius attire un groupe de trois associés : Christina Trappeniers, Damien Stas de Richelle et Caro...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte