Paramétrages

22 mai 2019

Après à peine 1 an de RGPD,
la Belgique est déjà désespérément à la traîne

Après à peine 1 an de RGPD, la Belgique est déjà désespérément à la traîne

La loi RGPD sur la protection des données est entrée pleinement en vigueur le 25 mai 2018, c’est-à-dire il y a tout juste un an. Où en sommes-nous aujourd’hui et qu’en est-il de l’amende de 4% du chiffre d’affaires tant redoutée ? Brecht Malfait, directeur général de l’agence de marketing digital WAX Interactive, membre du groupe SQLI, constate que la Belgique accuse déjà un sérieux retard en la matière.

Le 25 mai 2018 s’annonçait comme une version contemporaine du bug de l’an 2000. Le monde changerait subitement d’aspect, les systèmes seraient modifiés en conséquence et toute personne ou entité traitant des données assisterait à un véritable séisme. Les chiffres de la Belgique laissent toutefois entrevoir une autre réalité.

Quelques chiffres

En Belgique, depuis l’introduction du RGPD, on estime à 3.500 le nombre de demandes d’information posées par les consommateurs aux entreprises, à 442 celui des fuites de données signalées, à 150 celui des plaintes ou requêtes introduites et à plus de 100 celui des dossiers d’instruction ouverts. Dans notre pays, (seuls) 3.540 Data Protection Officers (DPO) ont été désignés à ce jour par les entreprises afin de veiller à ce que les données soient sauvegardées et traitées selon les règles du RGPD.

Si ces chiffres semblent témoigner d’un bon début, il reste encore beaucoup de pain sur la planche. Les besoins restent criants en termes de conseil et d’accompagnement. De plus, aucune sanction relative au RGPD n’a encore été distribuée à ce jour, malgré quelques fuites de données très publiques. Cela s’explique notamment par le fait que la commission vie privée avait précisé en long et en large que les amendes ne seraient infligées qu’après avertissements et dans des cas exceptionnels. Autre raison majeure : la Chambre a attendu le 29 mars 2019 (près d’un an jour pour jour) pour nommer une direction RGPD pour la Belgique (Belgian Data Protection Authority). Une mesure plutôt tardive.

Comment se débrouillent nos pays voisins ?

Dans notre pays, le contrôle en matière de RGPD semble lent à démarrer. Afin de mettre en perspective la situation de la Belgique, examinons où en sont nos pays limitrophes.

1. Pays-Bas

Aux Pays-Bas, par exemple, près de 400 organisations publiques disposent chacune d’un DPO. Depuis juillet 2018, divers secteurs ont été sondés afin de déterminer s’ils disposaient d’un registre des activités de traitement. Depuis août 2018, la Data Protection Authority (DPA) locale s’assure également de la présence obligatoire d’un DPO dans les secteurs sensibles en matière de données, comme les hôpitaux et les prestataires de soins ou encore les institutions financières.

En 2018, le DPA néerlandais a réceptionné 20.881 signalements de fuites de données au total, dont un tiers dans le secteur des soins de santé. C’est, selon l’organe de contrôle, plus du double de l’année précédente.

Par ailleurs, 4 sanctions ont déjà été distribuées : une banque (48.000 euros pour cause de violation du droit d’accès), la Police nationale (40.000 euros pour négligence en matière de cybersécurité), Uber (600.000 euros pour une fuite de données impliquant 174.000 chauffeurs et clients néerlandais) et un organisme d’assurance maladie (50.000 euros pour contrôle insuffisant de l’identité des personnes autorisées à consulter les dossiers médicaux).

Conclusion : les Pays-Bas mettent en œuvre la nouvelle législation et osent prendre les mesures adéquates en la matière. En outre, nos voisins du nord n’ont pas peur des instances officielles ou des grosses entreprises.

2. France

Chez nos voisins du sud, plus de 20 sanctions ont déjà été infligées au cours de l’année dernière. Quelques-unes des plus marquantes : une boutique en ligne (250.000 euros pour des problèmes de sécurité), un organisme public (75.000 euros, également pour des problèmes de sécurité), un office du tourisme (30.000 euros pour utilisation de données personnelles à d’autres fins que celles prévues), un centre d’appels (10.000 euros pour l’enregistrement d’appels téléphoniques et de données biométriques sans l’accord des travailleurs), la ville de Paris (30.000 euros pour fuite de données), Bouygues Telecom (250.000 euros pour fuite de données) et Google (50 millions d’euros ; la première sanction RGPD imposée à une multinationale au nom de 10.000 citoyens pour traitement de données non conforme au RGPD).

En France, les grosses entreprises et les instances publiques n’échappent pas non plus à la règle. En tant que membre important de l’Union européenne, la France détient certes une plus grande autorité morale que les Pays-Bas, par exemple, mais n’en montre pas moins sa volonté d’appliquer la loi et de la faire respecter. Même une métropole comme Paris a dû se justifier devant une commission l’année dernière.

 3. Le RGPD dans le reste de l’Europe

La Grande-Bretagne aussi a appliqué plus de trente sanctions, les plus flagrantes dépassant les 2,5 millions d’euros. Facebook, Yahoo et quelques… institutions publiques sont les plus gros contrevenants. Au total, les agences européennes de protection des données ont déjà infligé 56 millions d’euros d’amendes pour plus de 200.000 cas signalés dans 31 pays d’Europe… dont 50 millions d’euros rien qu’à Google (France).

Conclusion

Tous les pays cités s’attellent à respecter la réglementation introduite l’année dernière en matière de protection des données, sans faire l’impasse sur leurs propres instances. Le plus grand fait d’armes étant l’amende de 50 millions d’euros infligée à Google, l’impact réel du RGPD pose bel et bien question. Si la procédure des 4% donne un résultat relativement satisfaisant, les instances concernées montrent qu’elles ne sont encore qu’au stade de l’ « échauffement ».

Toujours est-il qu’en Belgique, cet échauffement ressemble pour l’heure à un coup d’épée dans l’eau. Le seul fait que les Pays-Bas signalent jusqu’à quarante fois plus de fuites de données que la Belgique fournit déjà matière à réflexion. Il démontre hélas que les diverses instances publiques ne sont toujours pas prêtes à appliquer les contrôles et – le cas échéant – les sanctions. Il est donc grand temps que la commission RGPD se mette en branle, sous peine de voir bon nombre d’entreprises se demander pourquoi elles se sont donné tant de mal à se mettre en règle à temps.

brecht

 

Brecht Malfait,
Manager Wax Interactive, SQLI Group

  • Partagez
  • Facebook
  • Twitter
  • Linkedin