Steven Roberts, du Griffith College, examine de plus près les défis auxquels les entreprises irlandaises sont encore confrontées à l’occasion du troisième anniversaire du RGPD.
Le règlement général sur la protection des données (RGPD) est un domaine prioritaire pour les entreprises irlandaises depuis son introduction le 25 mai 2018. Avec des amendes potentielles de 20 millions d’euros ou 4% du chiffre d’affaires mondial, il a attiré l’attention des médias et du grand public.
En tant que base européenne de nombreuses entreprises technologiques de premier plan au monde, l’Irlande et sa Commission de protection des données (DPC) ont maintenu une haute visibilité. Parmi les États membres de l’UE, l’Irlande a enregistré le troisième plus grand nombre de violations de données pour 100000 habitants au cours de la période du 25 mai 2018 au 27 janvier 2021.
En outre, l’année dernière, la DPC a émis ses premières amendes importantes au titre du RGPD. Alors que le règlement marque son troisième anniversaire, il est temps d’examiner certains des défis auxquels les entreprises continuent de faire face et un certain nombre de tendances clés dont les entreprises doivent garder à l’esprit.
Retards dans un nouveau règlement ePrivacy
La vie privée et la protection des données sont des droits distincts en vertu de la charte des droits fondamentaux de l’UE. Le RGPD a marqué un pas en avant substantiel dans les lois européennes sur la protection des données. Il a été envisagé qu’un nouveau règlement ePrivacy serait introduit simultanément, afin de proposer une refonte similaire de la confidentialité des communications électroniques dans les États membres. La directive actuelle est largement considérée comme dépassée et n’est plus adaptée à son objectif.
Malheureusement, le règlement ePrivacy s’est embourbé dans le lobbying et les désaccords entre les pays de l’UE. Il est actuellement difficile de savoir si et quand la législation entrera en vigueur. Dans l’intervalle, les autorités de contrôle des États membres de l’UE ont introduit leurs propres lignes directrices dans le but de fournir une approche cohérente par rapport au RGPD et à la norme qu’il exige pour un consentement éclairé, spécifique, sans ambiguïté et donné librement.
Cela a conduit à des interprétations variables quant à l’utilisation des meilleures pratiques des cookies de site Web et d’autres technologies de suivi. La DPC a lancé ses propres directives en avril 2020, accordant une période de grâce de six mois pour la conformité.
Les entreprises irlandaises implantées dans un certain nombre de pays de l’UE doivent s’assurer qu’elles sont alignées non seulement sur les normes de la DPC irlandaise, mais également sur les exigences locales de chaque juridiction. Le coût de la non-conformité peut être punitif.
Le modèle Adtech sous examen
La technologie publicitaire ou modèle adtech fait toujours l’objet d’un examen approfondi par les autorités de contrôle de la protection des données à travers l’Europe.
Poussées par des inquiétudes persistantes concernant ce que l’auteur Shoshana Zuboff a qualifié de « capitalisme de surveillance », des agences telles que le bureau du commissaire à l’information au Royaume-Uni et la CNIL en France ont remis en question la transparence de l’adtech, tout en notant sa complexité et le volume de données personnelles partagées via des services tels que real enchère à temps.
Il présente des questions fondamentales pour l’avenir de ce modèle technologique, qui sous-tend l’activité marketing de la plupart des entreprises en Irlande et à l’international.
Nouvelles technologies
L’avenir du travail sera de plus en plus déterminé par des technologies telles que l’IA, le big data et l’Internet des objets. Celles-ci utilisent les données personnelles de manière toujours plus sophistiquée et, tout en offrant des avantages de service considérables aux clients, de nombreuses entreprises ont du mal à expliquer clairement comment les données d’un individu seront utilisées dans les termes simples, clairs et transparents requis par le RGPD.
Au fur et à mesure que l’utilisation de ces technologies se développe dans toute l’économie, les entreprises et leurs équipes de conformité et juridiques seront confrontées à de nouveaux défis pour identifier ce qui constitue des données personnelles et comment garantir que le principe de transparence continue d’être respecté.
Manque de clarté sur les amendes
Les autorités de contrôle ont activement émis des amendes dans le cadre du RGPD. Cependant, il reste un manque de clarté pour les entreprises sur l’échelle probable de l’amende qui pourrait être infligée en cas de manquement. Cette ambiguïté est un défi pour les conseils d’administration et leurs équipes de direction, qui cherchent à gérer le profil de risque d’une entreprise.
La plus grande amende infligée à la DPC à ce jour était une amende de 450 000 € infligée sur Twitter en décembre 2020. D’autres juridictions ont été considérablement plus punitives. L’autorité de surveillance française a infligé à Google une amende de 50 millions d’euros en 2019, tandis que British Airways a été sanctionnée 20 millions de livres sterling par le bureau du commissaire à l’information du Royaume-Uni pour une infraction qui a touché plus de 400000 de ses clients. Il faudra probablement plusieurs années avant de voir un certain niveau d’harmonisation et l’émergence d’un niveau de référence standard pour les amendes.
Transferts internationaux de données
Un autre aspect des préoccupations constantes des entreprises technologiques est le manque de clarté concernant les transferts internationaux de données. Le bouclier de protection des données UE-États-Unis, un mécanisme clé de transfert de données à caractère personnel entre les deux juridictions, a été déclaré invalide par la Cour européenne de justice en juillet 2020.
Cela a laissé les entreprises à la recherche d’options alternatives. En raison du coût de la mise en œuvre de règles d’entreprise contraignantes et du manque de progrès des autorités dans l’élaboration de codes de conduite et de mécanismes de certification, la plupart des entreprises s’appuient désormais sur des clauses contractuelles types. Il s’agit d’un ensemble de clauses approuvées par l’UE qui, lorsqu’elles sont incluses dans un contrat, peuvent démontrer la conformité avec le RGPD. En novembre dernier, l’UE a proposé un nouvel ensemble de projets de CCS. En cas de mise en œuvre, les entreprises disposeraient de 12 mois pour mettre à jour leurs contrats existants.
Toutefois, un ensemble de mesures supplémentaires proposées par le comité européen de la protection des données le même mois était particulièrement préoccupant pour les entreprises. Celles-ci décrivaient une gamme de mesures organisationnelles, contractuelles et technologiques qu’une entreprise pourrait prendre si elle vérifiait que le pays recevant le transfert de données ne respectait pas les normes du RGPD.
Les groupes industriels se sont demandé comment cela fonctionnera dans la pratique. Ils estiment que cela sera particulièrement lourd pour les petites entreprises sans les ressources nécessaires pour entreprendre une évaluation approfondie du cadre de protection des données du pays concerné.
Une mise à jour des projets de CSC et des mesures complémentaires proposées est attendue dans les mois à venir. Les entreprises suivront de près pour voir si certaines de ces ambiguïtés peuvent être levées. Les législateurs européens et américains doivent également agir rapidement pour remplacer à long terme le bouclier de protection des données.
La protection des données restera une priorité pour les entreprises irlandaises en 2021. La DPC, note dans son projet de stratégie réglementaire, que des ambiguïtés persistent dans la manière dont le RGPD est interprété dans les États membres de l’UE. Un long chemin reste à parcourir avant que la promesse de l’UE d’un environnement harmonisé de protection des données ne soit réalisée.
Par Steven Roberts
Steven Roberts est responsable du marketing au Griffith College. Il est délégué à la protection des données certifié et vice-président du groupe de travail sur la protection des données et la sécurité de l’information de l’ACOI. Il est également l’auteur de Protection des données pour les spécialistes du marketing: un guide pratique.
Auteur/autrice
