Un an après l'entrée en vigueur du RGPD, la Belgique accuse un sérieux retard

Brecht Malfait, General Manager de l’agence digitale WAX Interactive, qui fait partie du groupe SQLI, constate que la Belgique est désespérément à la traîne. 

Le 25 mai 2018 avait été annoncé comme une nouvelle version du bogue de l’an 2000. Le monde allait brusquement prendre une nouvelle physionomie, les systèmes devaient être adaptés et le monde du traitement des données allait connaître un véritable séisme. Pourtant, les chiffres disponibles pour la Belgique donnent une tout autre impression. 

On estime à 3.500 le nombre de questions posées par les consommateurs aux entreprises. A cela s’ajoutent 442 notifications d’atteintes à la sécurité des données, quelque 150 plaintes ou requête, ainsi qu’une centaine de demandes d’avis. Actuellement, notre pays compte (seulement) 3.540 DPO (Data Protection Officers ou délégués à la protection des données) désignés par les entreprises, qui veillent à ce que les données soient stockées et traitées conformément aux règles du RGPD. Si ces chiffres peuvent sembler un bon début, il reste toutefois pas mal de pain sur la planche. Les besoins en conseils et accompagnement restent importants.

Qui plus est, jusqu’à présent, aucune amende n’a encore été imposée dans le cadre du RGPD en dépit de plusieurs manquements flagrants en matière de protection des données. Cela s’explique en partie par le fait que la Commission de protection de la vie privée avait expressément annoncé dès le départ que les amendes ne seraient infligées qu’après avertissement et dans des cas exceptionnels. Autre raison de poids : le Parlement belge a attendu le 29 mars 2019 pour nommer le Comité de direction (Autorité belge de protection des données). Un peu tard, non??

Comment nos voisins s’y prennent-ils ?

 Aux Pays-Bas, quelque 400 organismes publics disposent d’un DPO. Depuis juillet 2018, des contrôles sélectifs sont menés dans divers secteurs pour vérifier la présence d’un registre des activités de traitement. Un mois plus tard, la Data Protection Authority (DPA) locale se mettait à contrôler la présence obligatoire d’un DPO dans les secteurs sensibles en matière de données tels que les hôpitaux et prestataires de soins de santé ou les institutions financières.L’année dernière, la DPA néerlandaise a reçu un total de 20.881 notifications d’atteintes à la sécurité des données, dont un tiers provenant du secteur de la santé. Selon le régulateur, c’est plus de deux fois plus que l’année précédente.

Quatre sanctions ont déjà été imposées : à une banque (48.000 euros pour le non-respect du droit d’accès), à la Police nationale (40.000 euros pour négligence en matière de cybersécurité), à Uber (600.000 euros pour atteinte à la sécurité de données impliquant 174.000 conducteurs et clients néerlandais) et à un organisme d’assurance maladie (50.000 euros pour contrôle insuffisant des personnes ayant accès aux dossiers médicaux).  Conclusion : les Pays-Bas prennent très au sérieux la nouvelle législation et n’hésitent pas à intervenir avec fermeté. Qui plus est, ils n’ont pas peur de s’attaquer aux organismes officiels ou aux grandes entreprises.Au cours de la dernière année, plus de 20 amendes ont déjà été infligées dans l’Hexagone.

Parmi les sanctionnés les plus notables, citons : une boutique en ligne (250.000 euros pour atteinte à la sécurité des données), une agence gouvernementale (75.000 euros, idem), un service touristique (30.000 euros pour l’utilisation des données personnelles à des fins autres que celles prévues), un centre d’appels (10.000 euros pour l’enregistrement des appels téléphoniques et des données biométriques sans le consentement des travailleurs), l’Alliance française Paris Île-de-France(30.000 euros pour atteinte à la sécurité des données), Bouygues Telecom (250.000 euros, idem) et Google (50 millions d’euros?; la première amende du RGPD à être imposée à une multinationale au nom de 10.000 citoyens pour un traitement informatique non conforme au RGPD). 

Même en Grande-Bretagne, plus de trente amendes ont déjà été infligées, dont certaines ont dépassé les 2,5 millions d’euros. Les principaux visés sont Facebook, Yahoo! et plusieurs organismes publics. Les agences européennes de protection des données ont jusqu’à présent infligé des amendes pour un montant total de 56 millions d’euros pour plus de 200.000 cas signalés dans 31 pays européens… dont 50 millions à Google (en France).  

Tous les pays mentionnés se sont engagés à faire respecter le Règlement de protection des données sans épargner les organismes publics. La sanction la plus importante jusqu’ici étant l’amende de 50 millions d’euros imposée à Google, nous pouvons bel et bien formuler quelques remarques générales à propos de l’impact réel du RGPD. Si la menace des 4 % n’a été que relativement peu appliquée jusqu’ici, les instances concernées soulignent qu’elles en sont encore à la phase d’échauffement. Mais même cet échauffement semble à peine avoir commencé en Belgique.

Le fait que le nombre de notifications d’atteintes à la sécurité des données soit jusqu’à 40 fois plus élevé aux Pays-Bas qu’en Belgique donne matière à réflexion. Cela prouve à l’évidence que les différentes instances publiques ne sont pas encore prêtes pour réaliser les contrôles et prendre au besoin des sanctions. Il est donc grand temps que l’Autorité de protection des données se retrousse les manches. Sinon, de nombreuses entreprises commenceront à se demander pourquoi elles se sont donné tant de mal pour être prêtes à temps…

Publié dans Media Marketing