Authors: Marloes de Bruin & Riesa van Doorn
Ce jour marque le quatrième anniversaire du RGPD. Pour de nombreuses organisations, le RGPD a d’abord provoqué un certain chaos. Elles ne savaient souvent pas très bien ce qui les attendait. Beaucoup de nouvelles règles et d’ajustements, c’est certain. Bien que toutes les organisations ne se conforment pas entièrement au RGPD après quatre ans (si cela est même possible), la plupart ont réussi à bien s’adapter au fil des ans. De nombreuses « meilleures pratiques » ont été mises en place afin de protéger les données personnelles des personnes et de prévenir les violations de données. Le RGPD va au-delà d’une simple tâche « administrative » supplémentaire. Voici le bilan de quatre années de RGPD. Que nous a-t-il apporté et quel est son impact ? Découvrez-le en lisant !
1. Essor des fournisseurs de l’EEE
Il y a quatre ans, les organisations avaient une grande liberté dans le choix des fournisseurs avec lesquels elles travaillaient. Avec l’arrivée du RGPD, cependant, elles ont commencé à étudier plus consciemment la localisation géographique de leurs fournisseurs. Après tout, cette localisation peut potentiellement avoir des conséquences majeures. Le RGPD stipule que lorsque les données personnelles sont traitées au sein de l’Espace économique européen (ci-après « EEE »), aucune règle supplémentaire ne s’applique. En revanche, opter pour un fournisseur situé en dehors de l’EEE peut s’avérer un peu plus compliqué, voire illégal. Un exemple significatif est la décision prise en 2021 par la Datenschutzbehörde (« DSB », l’autorité autrichienne de protection des données) qui a jugé illégale l’utilisation de Google Analytics. Les transferts internationaux de données de l’EEE vers les États-Unis sont soumis aux règles du RGPD. Toutefois, en l’absence de Privacy Shield, les États-Unis ne peuvent pas garantir qu’ils protégeront les données personnelles de manière suffisante ou appropriée, ce qui rend illégale l’utilisation de fournisseurs d’hébergement cloud basés aux États-Unis (tels que Google et Google Analytics) pour les entreprises de l’EEE. Pour cette raison, les entreprises de l’EEE choisissent plus souvent des fournisseurs d’hébergement Cloud au sein même de l’EEE. Cette situation a un impact positif sur ces fournisseurs. Non seulement ils ont considérablement augmenté leur part de marché, mais ils ont aussi beaucoup progressé dans le domaine du respect de la vie privée et de la protection des données et sont ainsi devenus une force concurrentielle importante pour leurs concurrents basés aux États-Unis.
2. Avancée politique pour l’UE
Depuis l’entrée en vigueur du RGPD, l’Union européenne a franchi une étape vers la préparation des organisations pour l’avenir. De plus en plus d’organisations ont pour objectif de privilégier les données. Ce n’est pas sans raison que nous qualifions les données de « nouvel or ». Les organisations collectent beaucoup de données, souvent aussi des données personnelles, pour diverses raisons. Cependant, il est devenu plus difficile de partager des données personnelles avec des organisations situées en dehors de l’EEE. C’est pourquoi les pays du monde entier ont suivi l’UE dans la conception et la mise en œuvre de législations similaires. Pensez à la LGPD du Brésil, à la loi sur la protection des données personnelles du Japon et à la loi canadienne de mise en œuvre de la Charte numérique. Avec le RGPD, l’UE s’est placée en position de force sur la scène politique mondiale.
Toutefois, cette position dominante de l’UE a baissé à la suite de la guerre en Ukraine. La dépendance de l’Europe vis-à-vis des États-Unis dans le contexte de la défense et du gaz, par exemple, signifie que des concessions doivent être faites sur des questions telles que la protection des données. De nouvelles législations, telles que la Législationi sur les Services Numériques et la Législation sur les Marchés Numériques, visent la souveraineté numérique européenne et la forte dépendance vis-à-vis des big data et des acteurs technologiques.
3. Un citoyen plus conscient des données
Les données ont une influence croissante sur nos actions et nos vies (que nous le remarquions ou non). De plus en plus d’organisations traitent toutes sortes de données au quotidien, mais aussi à la maison, nous utilisons de toutes nouvelles technologies pour rendre la vie plus facile, plus rapide et plus efficace. Là où certaines personnes préfèrent s’en tenir à leur vieux et fiable Nokia 3310, d’autres ont hâte d’installer tous les appareils et applications intelligents pour améliorer la vie. Qu’il s’agisse d’applications, de smartwatches, de smartphones, de maisons intelligentes ou même de villes intelligentes, l’innovation et le développement avec les données créent une vie différente (plus simple ?).
Bien que le RGPD ait eu une faible notoriété auprès des citoyens au départ, le Global Privacy Monitor 2022 montre que cette notoriété a doublé en 2022 par rapport à 2018. Les préoccupations des citoyens en matière de vie privée diminuent et le partage des données est considéré comme un élément crucial de la participation à la société et à l’économie. De nombreuses personnes partagent des données lorsqu’elles obtiennent quelque chose en retour, comme certains services, et près de la moitié des citoyens ne partagent des données qu’avec des organisations en lesquelles ils ont confiance. Il est à noter que nous acceptons presque tous les cookies et les déclarations de confidentialité en ligne sans les lire. Néanmoins, nous sommes de plus en plus conscients de nos droits dans le domaine du partage des données et de l’impact que cela a sur nous en tant qu’individus.
4. Un meilleur contrôle du paysage numérique en tant qu’organisation
Les organisations disposant d’une grande quantité de données ont du mal à maîtriser leur paysage numérique. En particulier sur le thème des données, il existe souvent un cloisonnement au sein des grandes organisations. Vous trouverez un responsable du respect de la vie privée et un autre de la sécurité de l’information, sans parler des autres fonctions liées aux données telles que les analystes de données, la gestion de l’information, les gestionnaires de données, etc. Les employés qui souhaitent avec enthousiasme lancer un nouveau projet doivent d’abord demander conseil à différents départements avant de pouvoir réellement commencer. Et bien que cela puisse souvent être mieux organisé, les organisations ont de plus en plus réfléchi à l’utilisation des données personnelles. Dans de nombreux cas, cette réflexion a débouché sur des décisions telles que la conservation ou la réutilisation des données et a permis d’avoir une meilleure vue d’ensemble du type de données dont elles disposent réellement en interne. Ces données sont traitées de manière plus consciente et il existe un meilleur contrôle sur ce qu’ils en font.
Ce que l’avenir nous réserve…
… reste un mystère. Pas à pas, toutes les ambiguïtés sont balayées et des règles claires sont élaborées. Pour assurer la bonne culture et le bon état d’esprit, beaucoup de consultations et de sensibilisation sont encore nécessaires, mais nous savons tous que l’attention portée à la protection des données et à la sécurité de l’information n’est pas quelque chose de temporaire. Tout comme la gestion de la qualité, le travail numérique et la durabilité, ces travaux sont lentement mais sûrement ancrés dans notre mode de travail. Les technologies innovantes et changeantes représentent sans aucun doute un défi majeur, qui contribuera également à l’évolution du RGPD. Joyeux anniversaire le RGPD ! Nous nous demandons ce que sa cinquième année va donner.