RGPD : des conséquences en demi-teintes

Jean-Christophe Vitu, VP Solution Engineers EMEA, chez CyberArk, estime que le règlement soulève encore de nombreuses questions au sein des organisations et chez les citoyens ; c’est pourquoi les exigences de conformité et le nombre de plaintes sont très disparates d’un pays à l’autre :

Le 25 mai prochain marque le premier anniversaire de l’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD). Or, de nombreuses organisations ne sont toujours pas conformes, et il ne s’agit pas des moindres puisque 89 % des sites officiels des gouvernements européens contiendraient des trackers recueillant des informations sur leurs visiteurs, selon une étude récente. Alors que la France émerge comme le plus mauvais élève en la matière, l'Allemagne, l'Espagne et les Pays-Bas sont pour leur part exemplaires.

L’écart entre les membres de l’Union Européenne (UE) concernant les notifications d’incidents et de sanctions est important. En effet, le cabinet DLA Piper a révélé que depuis le 25 mai 2018, 59 000 incidents auraient été signalés en l’Europe aux instances locales responsables, telles que la Commission nationale de l’informatique et des libertés (CNIL) en France. Il s’agit d’une estimation basse, qui rassemble les pays ayant accepté de communiquer leurs chiffres. Cependant, ces cas ne concernent pas uniquement des violations de données ; ils incluent également les manipulations et procédures inappropriées liées aux informations personnelles. Le nombre d'incidents signalés couvre donc l'abus de données, ainsi que leur perte, qu'elle soit accidentelle ou malveillante. Ainsi, la Commission Européenne a comptabilisé 41 500 incidents liés seulement aux violations.

Autre élément intéressant du rapport DLA Piper, la répartition par pays du nombre d'incidents enregistrés : les Pays-Bas arrivent en tête avec environ 15 400 incidents signalés, tandis que la France n’a signalé que 1 300 incidents, malgré une population presque trois fois supérieure et une différence d’échelle du PIB similaire. Cette différence peut faire état d’un déséquilibre entre les membres de l'UE concernant ce qui doit être signalé. Il peut par exemple s’agir d’une simple notification indiquant qu'un courrier électronique a été envoyé accidentellement au mauvais destinataire. Il semblerait que les Néerlandais ne veulent prendre aucun risque et dénoncent la moindre infraction, tandis que les Français - ou encore les Italiens, avec 610 incidents signalés - interprètent de manière plus restrictive les situations à dénoncer.

La part importante d’incidents légers signalés pourrait justifier les quelques 91 amendes infligées, sur 59 000 signalements. Toutefois, DLA Piper admet qu’il existe probablement un retard au sein de la Commission Européenne dans le traitement des notifications d’infractions au RGPD et d’autres types d’incidents, ce qui pourrait entraîner de futures amendes. Ce retard laisse présager que l’UE a sous-estimé le volume initial d’incidents que le règlement engendrerait. En effet, le nombre de plaintes déposées auprès de la CNIL a augmenté de plus de 32 % rien qu’en 2018.

Finalement, un an après son entrée en vigueur, le RGPD connaît un démarrage plus lent qu’escompté et n’est pas encore pleinement compris. Pour preuve, l’écart important d’incidents signalés entre les pays et les discussions en cours autour des procédures et applications. Une conséquence positive du règlement émerge néanmoins : pour protéger les informations personnelles des citoyens en Europe, les organisations doivent intégrer que celles-ci ne leur appartiennent pas et les traiter comme un élément temporaire, qui leur aurait été confié, et non comme quelque chose dont elles sont propriétaires par défaut. Par conséquent, les informations sont à stocker avec un niveau de sécurité adéquat, pour que seules les personnes habilitées puissent y accéder. Ce changement de perception, aussi évident soit-il, est indispensable, si ce n’est vital, pour protéger les données européennes. »