Pour marquer la Journée mondiale de la protection des données de cette année 2024, le 28 janvier, noyb a mené une enquête auprès de plus de 1000 professionnels de la protection des données travaillant dans des entreprises européennes. Cette enquête a permis d'obtenir une vision unique de l'intérieur : 70 % des personnes interrogées estiment que les autorités doivent prendre des décisions claires et appliquer le GDPR pour garantir la conformité, tandis que 74 % déclarent que les autorités chargées de la protection des données (DPA) trouveraient des "violations pertinentes" si elles franchissaient la porte d'une entreprise moyenne.Lorsque le GDPR est entré en vigueur en 2018, la nouvelle et brillante loi sur la protection des données a été saluée comme un changement vers une application plus stricte - garantissant que dans l'UE, le droit fondamental à la protection des données n'existe pas seulement sur le papier. Dans une tentative d'évolution vers une "application fondée sur des preuves", cette étude montre également que les autorités devraient changer fondamentalement leur approche de l'application pour amener les entreprises à se conformer.
Les mesures d'application strictes n'ont pas tenu leurs promesses.
Lorsqu'il est entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) a promis de passer de l'approche "douce" actuelle de la protection des données à une application sérieuse. Pour atteindre cet objectif, les politiques de l'UE ont doté les autorités de sérieux pouvoirs d'enquête et de la possibilité d'infliger de lourdes amendes.
Selon une nouvelle enquête menée par noyb auprès de plus de 1 000 professionnels de la protection des données, la plupart des participants estiment que l'introduction du RGPD a "considérablement amélioré" la manière dont les entreprises traitent les données personnelles, mais 74 % d'entre eux affirment encore que si les autorités devaient effectivement mener une enquête sur place dans une entreprise moyenne traitant des données d'utilisateurs, elles trouveraient des "violations pertinentes".
Max Schrems, président honoraire de noyb : "Il est extrêmement alarmant de constater que 74 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s'il s'agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu'il s'agit des données personnelles des utilisateurs."
Afin d'obtenir un aperçu aussi complet que possible de l'application pratique du RGPD, l'enquête de noyb comprenait 65 questions couvrant un éventail de sujets dans le domaine de la conformité et de l'application du RGPD. Cela a permis d'obtenir des données fiables et objectives sur les dynamiques internes qui empêchent les délégués à la protection des données (DPD) de mettre en œuvre des mesures visant à renforcer la conformité au RGPD, ainsi que sur les facteurs externes qui pourraient pousser les entreprises à se conformer davantage au RGPD à l'avenir. Ces données semblent cruciales pour concentrer le travail d'application et de mise en conformité sur des stratégies qui fonctionnent réellement et soutiennent le travail des DPD internes.
En conflit avec les services de marketing et la direction.
Les entreprises opèrent souvent dans un espace conflictuel entre la recherche du profit, les coûts de mise en conformité de leurs systèmes avec le RGPD et l'obligation de se conformer à la loi. L'enquête de noyb montre clairement que les DPD subissent des pressions pour limiter la conformité au RGPD dans l'intérêt de l'entreprise : 46 % des personnes interrogées ont déclaré que les ventes et le marketing faisaient activement pression sur eux pour limiter la conformité, tandis que 32 % se sentaient poussés par les membres de la direction générale.
Sans surprise, convaincre ces parties prenantes de procéder aux changements nécessaires pour améliorer la conformité s'avère également très difficile. Une proportion choquante de 56 % des personnes interrogées a déclaré qu'il était difficile de convaincre le service marketing, tandis que 38,5 % ont eu des problèmes avec la direction générale. 51 % ont également déclaré qu'il était difficile de convaincre les fournisseurs des pays non membres de l'UE/EEE de fournir des produits conformes aux entreprises clientes de l'UE.
Max Schrems : "Les DPD sont censés être indépendants et assurer la conformité au sein de l'entreprise. En réalité, nombre d'entre eux font état de pressions exercées par diverses parties pour qu'ils donnent la priorité aux intérêts commerciaux."
L'absence de mesures d'application claires de la part des autorités n'aide pas les DPD à faire leur travail. Selon les résultats de l'enquête, une entreprise est plus susceptible d'améliorer sa conformité lorsqu'elle - ou même d'autres entreprises - est confrontée à des amendes importantes. 67,4 % des personnes interrogées ont déclaré que les décisions de l'autorité de protection des données à l'encontre de leur propre entreprise, assorties d'une amende, inciteront les décideurs à opter pour une plus grande conformité.
Il est intéressant de noter que 61,5 % des personnes interrogées ont déclaré que même les amendes infligées par le DPA à d'autres organisations influenceraient la conformité de leur propre entreprise au GDPR. Cet effet ("dissuasion"
est bien connu et étudié, mais n'est pas vraiment utilisé par les autorités. Le deuxième meilleur outil semble être la publication des décisions. 52 % ont déclaré que la perte de réputation d'une autre entreprise a déjà un effet positif sur la conformité de leur propre entreprise. Toutefois, de nombreuses autorités ne publient pas leurs décisions (par exemple, en Allemagne) ou ne les publient que de manière sélective.
Max Schrems : "Les professionnels de la protection des données au sein des entreprises semblent conseiller d'imposer des amendes élevées et de les rendre publiques. L'approche commune consistant à s'appuyer sur des négociations "informelles" entre les autorités et les entreprises et sur des procédures secrètes semble être la moins efficace selon les initiés des entreprises."
Alors que les autorités investissent des efforts, du temps et des ressources considérables pour fournir des lignes directrices aux entreprises, celles-ci semblent être largement ignorées par les entreprises. 46 % des personnes interrogées ont déclaré que les lignes directrices de l'EDPB n'avaient pas d'influence, tandis que 23 % seulement les trouvaient assez influentes. De même, les initiés estiment que les plaintes directes auprès des entreprises n'ont pas beaucoup d'influence. Cela contraste avec les plaintes déposées auprès des autorités chargées de la protection des données et la clôture informelle des dossiers (qui est actuellement la forme de décision la plus courante).
Malgré tous les signes indiquant qu'il est urgent d'appliquer strictement la législation, dans la pratique, les mesures prises par les autorités chargées de la protection des données sont l'exception. Ceci est facilement illustré par le travail de noyb : La plupart des plus de 800 dossiers de noyb sont en suspens depuis plus de deux ans. Mais même si l'on ne retient que les affaires que noyb a gagnées, il n'y a qu'une poignée de décisions qui prévoient une amende. Dans plus de 800 affaires, noyb déclare n'avoir vu une seule autorité procéder à une inspection sur place d'une entreprise.
Max Schrems : "Ces dernières années, les autorités européennes ont élaboré de nombreuses lignes directrices et engagé de longues discussions "informelles" avec les entreprises, avant de "classer" les dossiers sans suite. À en juger par les réactions des responsables de la conformité, ce n'est malheureusement pas la meilleure façon d'utiliser l'argent des contribuables.
Bien que le point de vue des initiés soit déjà alarmant, il reste plus optimiste que l'expérience moyenne des personnes concernées ne le permettrait. Par exemple, lorsque noyb a exercé son droit d'accès aux données personnelles, plus de 90 % des demandes n'ont pas reçu de réponse complète dans les délais. La plupart des demandes sont tout simplement ignorées. En comparaison, 59 % des personnes interrogées pensent que la plupart des entreprises se conformeraient "pour l'essentiel" aux "règles de base" du RGPD. L'expérience pratique suggère que le point de vue de l'extérieur peut être encore pire que celui de l'intérieur.
La seule solution : une "application fondée sur des preuves".
Si l'on en croit les personnes interrogées, la seule solution réaliste à ce problème est claire : une application plus stricte et des décisions plus claires des autorités de protection des données et des tribunaux qui obligent les entreprises à mettre leurs traitements de données en conformité. Une liste complète et détaillée des actions suggérées figure dans l'étude. Les résultats montrent également qu'il est urgent de rassembler d'autres preuves objectives pour s'assurer que les autorités (peuvent) s'engager dans un travail d'application efficace compte tenu de leurs ressources limitées.
Répéter des approches qui ne fonctionnent pas ne conduira pas à des changements concrets sur les téléphones et les ordinateurs des Européens. Les données recueillies dans le cadre de l'enquête de noyb constituent un excellent point de départ pour d'autres recherches. Le noyb s'engagera également dans d'autres recherches.
Les concepts de Noyb
Noyb utilise les meilleures pratiques des groupes de défense des droits des consommateurs, des militants de la protection de la vie privée, des pirates informatiques et des initiatives de technologie juridique et les fusionne en une plateforme européenne stable d'application de la loi. Grâce aux nombreuses possibilités d'application du règlement européen sur la protection des données (RGPD), noyb est en mesure de soumettre des cas de protection de la vie privée de manière beaucoup plus efficace qu'auparavant. En outre, noyb suit l'idée d'un litige ciblé et stratégique afin de renforcer le droit à la vie privée. Noyb utiliserons également des initiatives de relations publiques et médiatiques pour souligner et garantir le droit à la vie privée sans avoir à aller devant les tribunaux. Enfin, noyb est conçu pour joindre ses forces à celles des organisations, ressources et structures existantes afin de maximiser l'impact du RGPD, tout en évitant les structures parallèles.
Source : Noyb
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
5 ans après, 15 experts du stockage des données se prononcent sur le RGPD : le RGPD a-t-il été un succès, un échec ou quelque chose entre les deux ? Le RGPD a-t-il atteint les objectifs fixés ? NOYB dépose une plainte contre la Commission européenne concernant une campagne publicitaire ciblée sur le Contrôle des chats L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été, selon une page récemment publiée sur son site Web 
