L'Union européenne publie un premier bilan après l'entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018. Voici les 5 chiffres à en retenir.
95 180 : c'est le nombre total de plaintes déposées par des individus ou des organisations pour violation des données personnelles. L'Union européenne explique que les trois plaintes les plus courantes concernent des campagnes de télémarketing, des mailings publicitaires et l'utilisation de la vidéo-surveillance. En France, dans son bilan publié fin novembre, la CNIL affirme avoir reçu à elle seule 9 700 plaintes, soit 34% de plus qu'en 2017 sur la même période, dont 6 000 plaintes depuis l'entrée en vigueur du RGPD.
41 502 : c'est le nombre de notifications de violation de données personnelles qui ont été transmises à l'ensemble des autorités en charge des protections des données en Europe. Le RGPD donne effectivement 72h aux entreprises pour déclarer une fuite de données personnelles, que ce soit accidentel ou non, à partir du moment où la fuite de données a été constatée. En France, la Cnil comptabilise de son côté 1 000 notifications de violations de données, soit environ 7 par jour depuis le 25 mai. Autre chiffre intéressant publié par la Cnil : 32 000 organismes ont désormais désigné un Délégué à la protection des données (DPO). Cela représente un total de 15 000 DPO en France, contre 5 000 Correspondants informatique et libertés avant le RGPD.
3 : c'est le nombre d'amendes qui ont été dressées depuis la mise en place du RGPD. Un réseau social a été condamné à 20 000 € d'amende par la justice allemande, pour n'avoir pas parfaitement sécurisé les données personnelles de ses utilisateurs. Le deuxième cas concerne un café autrichien, également établissement de paris sportifs, qui avait mis en place un système de vidéo-surveillance sans respecter les obligations du RGPD. Le café a été condamné à 5 280 € d'amende.
La troisième amende, bien plus sévère, a été infligée le 21 janvier dernier par la Cnil au moteur de recherches Google. L'autorité française a prononcé une sanction de 50 millions d'euros, pour "manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité", suite aux plaintes collectives des associations None Of Your Business et La Quadrature du Net. "Le montant retenu, ainsi que la publicité de l’amende, se justifient par la gravité des manquements constatés qui concernent des principes essentiels du RGPD", motive la Cnil.
Google a annoncé son intention de faire appel devant le Conseil d'État. "La première amende infligée par la Cnil sous l'ère du RGPD revêt une grande portée symbolique dans le sens où elle montre que les contrôles et les condamnations sont bien réels", observe Jérôme Lesaffre, chef de mission chez DPO Consulting.
345 : c'est le nombre de plaintes transfrontalières traitées fin novembre par les autorités de protection européennes. La Cnil explique être concernée par 187 cas et "autorité chef de file" pour 15 cas. "Ces plaintes soulèvent notamment des questions sur le consentement", confie l'autorité française.
5 : c'est le nombre de pays européens qui n'ont pas encore adapté leur législation pour intégrer le RGPD, huit mois après l'entrée en vigueur du règlement. Et l'UE ne se prive pas de livrer le nom des mauvais élèves : la Bulgarie, la Grèce, le Portugal, la Slovénie et la République tchèque. Du côté des entreprises, Jérôme Lesaffre constate qu'il y a là aussi encore un "gros travail à faire". "Toutefois la prise de conscience est là et le sujet est pris au sérieux", note-t-il.