IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le bilan du RGPD un an après, près de 145 000 plaintes et questions
Ont été enregistrées auprès des autorités responsables

Le , par Stéphane le calme

716PARTAGES

21  0 
Le règlement général sur la protection des données est un ensemble unique de règles qui traduit une approche commune au niveau de l'UE concernant la protection des données à caractère personnel et s'applique directement dans les États membres. Il renforce la confiance en permettant aux individus de reprendre le contrôle de leurs données à caractère personnel et garantit en même temps la libre circulation de ces données entre les États membres de l'UE. La protection des données à caractère personnel est un droit fondamental dans l'Union européenne.

Le RGPD est applicable depuis le 25 mai 2018. Depuis lors, presque tous les États membres ont adapté leur législation nationale pour tenir compte du RGPD. C'est aux autorités nationales chargées de la protection des données qu'il revient de faire respecter les nouvelles règles, autorités dont les actions sont à présent mieux coordonnées grâce aux nouveaux mécanismes de coopération et au comité européen de la protection des données. Elles publient des lignes directrices sur les principaux aspects du RGPD afin d'appuyer la mise en œuvre des nouvelles règles.

Plus de 140 000 plaintes et questions en un an

Les infractions peuvent être sévèrement punies, comme le montre la sanction imposée en janvier par les autorités françaises à Google.

La Commission française de l'informatique et des libertés (Cnil) a condamné le géant américain à une amende de 50 millions d'euros pour défaut d'informations des utilisateurs sur l'exploitation de leurs données, une sanction contre laquelle Google a fait immédiatement appel.

La Commission dressera le bilan de cette année d'application du RGPD lors d'une manifestation qui aura lieu le 13 juin prochain. Comme le prévoit le RGPD, la Commission présentera un rapport sur l'application des nouvelles règles en 2020. Cependant, d'après l'AFP, après un an de fonctionnement quelque 144 376 plaintes et questions ont été enregistrées auprès des autorités nationales en charge de le faire appliquer. La Commission souligne que 400 dossiers paneuropéens ont été ouverts puisque les acteurs du numérique offrent souvent les mêmes services dans plusieurs pays de l'UE.

Rappelons qu’en février, DLA Piper, un cabinet d’avocats international a présenté dans un rapport l’état de la situation sous le RGPD. Le cabinet mentionne dans son rapport qu’en seulement huit mois, il y a eu pas moins de 59 000 violations signalées dans 28 pays de l’EEE pour seulement 91 amendes infligées. À la lecture du rapport, on remarque que les plus gros chiffres de violations de données proviennent de l’Allemagne, du Royaume-Uni et des Pays-Bas. Ces derniers sont en tête avec 15 000 violations signalés, puis 12 600 pour l’Allemagne et enfin 10 600 dans le cas du Royaume-Uni. Par contre, les infractions signalées les plus faibles ont été enregistrées au Liechtenstein, en Islande et au Chypre, avec respectivement 15, 25 et 35 infractions signalées.


À l'échelle de la France, en novembre, la Commission nationale de l'informatique et des libertés (Cnil) avait annoncé une hausse de 34% des plaintes en 2018.

Un bémol pour ce premier anniversaire: trois pays de l'UE n'ont toujours pas correctement traduit le règlement dans leurs législations nationales : la Grèce, le Portugal et la Slovénie.

Comment sont gérées les plaintes relatives au RGPD ?

Lors d’une table ronde qui s’est tenue plus tôt ce mois-ci à Washington D.C. pour le Sommet Mondial sur la Protection de la Vie Privée de l'International Association of Privacy Professionals, un rassemblement annuel de 4,000 professionnels de la vie privée du monde entier, Helen Dixon, de la Commission Irlandaise de Protection des Données, en conversation avec Elizabeth Denham, de la Commission d’Information du Royaume-Uni, et Andrea Jelinek, Présidente du conseil européen de la protection des données, ont souligné que les enquêtes prennent six mois au minimum. Au cours du cycle d’une requête, les régulateurs doivent d’abord déterminer si, à première vue, une plainte déposée par un résident de l’UE est pertinente et atteint le niveau d’une violation potentielle du RGPD. Beaucoup des centaines de milliers de plaintes reçues par les autorités de protection des données au cours de l’année ont simplement été des requêtes d’exclusion des publicités, ce qui ne rentre pas dans la réglementation. Dans le cas d’une plainte valide, les régulateurs ont ensuite eu besoin de mieux s’éduquer sur la technologie en question, ce qui implique naturellement de contacter les entreprises sujettes aux plaintes pour solliciter plus d’informations.

Un va-et-vient entre les régulateurs et les entreprises sert aussi comme moyen de résoudre les plaintes, comme l'a souligné Helen Dixon, membre de la commission, qui préfère utiliser des "carottes" plutôt que des "bâtons". Cette approche fait écho aux commentaires qu’elle avait fait l’année dernière à propos du fait que les amendes ne sont pas les seuls outils que possèdent les régulateurs. La leçon immédiate pour les entreprises est que l’engagement avec les régulateurs peut entraîner de meilleurs résultats que l’évitement.


Les retombées positives du RGPD

Mis à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE à mesure que les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification, et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Et les droits donnés aux consommateurs de l’UE ont des conséquences sur beaucoup de consommateurs ne faisant pas parties de l’UE qui bénéficient de pratiques améliorées à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée. Toute rétraction est intrinsèquement risquée, puisque les évaluations périmées des facteurs relatifs à la vie privée et les inventaires obsolètes donnent lieu à des rapports incomplets sur les activités de traitement des données. Et les rapports incomplets sur les activités de traitement des données sont un signe évident pour les régulateurs que le maintien d'un programme de protection de la vie privée fait défaut et mérite probablement d’être examiné de plus près. Une autre question importante est de savoir si les allégations de conformités des entreprises seront vérifiées par des tiers ou ne seront pas contestées tant que ou à moins que les régulateurs n’aient pas réagi et ne seront pas satisfaits de ce qu'ils auront vu.

Alexa King Vice-président exécutif, avocate-conseil et secrétaire administrative FireEye et Richard Weaver Data Protection Officer FireEye, notent que le RGPD donne également l'exemple pour l'amélioration des lois sur la protection de la vie privée aux États-Unis. La loi California Consumer Privacy Act (CCPA), qui prend encore forme, contient des similarités avec le RGPD, y compris pour fournir aux californiens le droit d’accéder aux données personnelles collectées les concernant par des entreprises soumises à la loi. Cependant, ils estiment que le CCPA peut aller plus loin que le RGPD en permettant éventuellement un droit d’action privé qui pourrait donner lieu à des recours collectifs en matière de protection de la vie privée contre les entreprises qui violent la loi. La Californie n’est pas la seule dans ce cas, d’autres états transforment en lois les leçons tirées grâce au RGPD, qui pourraient se transformer en un ensemble contradictoire et pesant à suivre pour les entreprises. Une conséquence potentielle pourrait être l'adoption d'une loi fédérale sur la protection de la vie privée, qui normaliserait les exigences, mais qui a peu de chance de devenir une loi avant l'entrée en vigueur de diverses lois étatiques. En attendant, le résultat sèmera très certainement la confusion des consommateurs à propos de leurs droits, de la responsabilité des entreprises, de l’application de la loi et de l’éducation.


Les commissaires européens sont plutôt optimistes

Le 25 mai 2019, le règlement général sur la protection des données célébrera le premier anniversaire de son entrée en application. À cette occasion, Andrus Ansip, vice-président pour le marché unique numérique, et Věra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, ont fait la déclaration suivante:

«Le 25 mai marque l'anniversaire des nouvelles règles européennes en matière de protection des données instaurées par le règlement général sur la protection des données, également connu sous le nom de RGPD. Ces règles innovantes ont non seulement permis à l'Europe de s'adapter à l'ère numérique, mais sont également devenues une référence mondiale.

Leur objectif principal était de donner aux citoyens le pouvoir d'agir et de les aider à mieux contrôler leurs données à caractère personnel. Or cet objectif est en cours de réalisation: en effet, les citoyens commencent à exercer leurs nouveaux droits et plus de deux tiers des Européens ont entendu parler du règlement.

En outre, les entreprises bénéficient d'un ensemble unique de règles applicables dans toute l'Union. Elles ont mis de l'ordre dans leur gestion des données, ce qui leur a permis d'améliorer la sécurité des données et d'instaurer une relation de confiance avec leur clientèle.

Le RGPD a doté les autorités de moyens pour lutter contre les infractions. Par exemple, en l'espace d'un an, le comité européen de la protection des données nouvellement créé a recensé plus de 400 affaires transfrontières en Europe. Cela témoigne de l'avantage supplémentaire que présente le RGPD, la protection des données ne s'arrêtant pas aux frontières nationales.


La sensibilisation des citoyens progresse, ce qui est un signe très encourageant. Selon des chiffres récents, près de six personnes sur dix savent qu'il existe, dans leur pays, une autorité chargée de la protection des données. Cela représente une augmentation significative par rapport au chiffre de quatre personnes sur dix enregistré en 2015. Les autorités chargées de la protection des données ont un rôle essentiel à jouer pour que le règlement général sur la protection des données produise des résultats sur le terrain.

La nouvelle législation est devenue le plancher réglementaire de l'Europe, qui détermine notre réponse dans bien d'autres domaines. L'intelligence artificielle, le développement des réseaux 5G et l'intégrité de nos élections sont autant de domaines où l'existence de règles strictes en matière de protection des données contribue à ce que l'élaboration de nos politiques et de nos technologies repose sur la confiance des citoyens.

Le rayonnement des principes du RGPD dépasse les frontières de l'Europe. Du Chili au Japon en passant par le Brésil, la Corée du Sud, l'Argentine et le Kenya, nous assistons à l'émergence de nouvelles législations sur la protection de la vie privée, fondées sur des garanties solides, des droits individuels opposables et des autorités de contrôle indépendantes. Cette convergence vers le haut offre de nouvelles possibilités de promouvoir les flux de données reposant sur la confiance et la sécurité.

Le RGPD a modifié le paysage en Europe et au-delà. Néanmoins, la conformité aux règles est le résultat d'un processus dynamique et ne peut se réaliser du jour au lendemain. Notre priorité principale pour les mois à venir est de parvenir à une mise en œuvre correcte et uniforme des règles dans les États membres. Nous invitons instamment les États membres à respecter la lettre et l'esprit du RGPD afin de créer un environnement prévisible et d'éviter de faire peser une charge excessive sur les parties prenantes, en particulier les PME. Nous poursuivrons également notre coopération étroite avec le comité européen de la protection des données et les autorités nationales chargées de la protection des données, ainsi qu'avec les entreprises et la société civile, afin de répondre aux questions les plus pressantes et de faciliter la mise en œuvre des nouvelles règles.»

Source : Commission européenne, AFP

Et vous ?

Après un an, en tant qu'utilisateur / client, avez-vous observé un changement majeur ?
Après un an, en tant que professionnel en entreprise / indépendant, quelles sont les dispositions que vous avez prise ?
Quelle note de difficulté (sur 10) donneriez-vous aux efforts qui ont été nécessaires à la mise en conformité dans votre entreprise ?
Que pensez-vous du RGPD en général ?
Partagez-vous la conclusion de l'étude selon laquelle Google serait le plus grand bénéficiaire du RGPD grâce à sa position dominante et à une concentration sur le marché de la publicité en ligne ?
Que pensez-vous de la position de Richard Stallman qui remet en cause l'efficacité du RGPD et propose plutôt une loi qui empêche les systèmes de collecter les données personnelles ?

Voir aussi :

RGPD : guide pratique pour les développeurs
Étude : Google est le plus grand bénéficiaire du RGPD grâce à sa position dominante et à une concentration sur le marché de la publicité en ligne
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 16/01/2020 à 15:17
Tu peux publier que des trucs faux pour induire les algorithmes en erreur.
Autant ne rien publier.

Internet n'est pas Facebook Google, on peut utiliser d'autres services.

Quand on utilise des services gratuit, c'est nous le produit. C'est le point le plus important, après on accepte ou pas. Déjà en avoir notion est un bon début, ce n'est pas clair pour beaucoup d'utilisateurs.

Les publicitaires ont exagéré, du coup il y a eu les bloqueurs de publicité. Restreint d'abord à des utilisateurs avertis, ils se sont bien répandus. Les navigateurs ont évolués pour notamment mieux contrôler la vie privée. La contrainte sur les extensions navigateurs aussi.
Les plateformes de publicités ont aussi évolué, certains site empêchent l'accès en cas de présence d'un adbclocker, d'autres mettent un avertissement plus ou moins discret. C'est le choix du service.

Limiter ce que l'on met en ligne reste la meilleure protection.

Qui lit les notification RGPD avant de faire accepter ? Personne (ou presque). Ces mêmes personnes viendront se plaindre de l'utilisation de leurs données.

On est tous responsables, l'utilisateur de par sa naïveté, les entreprises qui font de nos données un business, et nous acteurs informatiques en première ligne (pour ceux d'entre nous qui dont l’informatique est notre métier).
6  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 04/11/2019 à 9:45
Citation Envoyé par amateurprg Voir le message
Et ces moyens de paiements ne stockent pas de données des clients ?

Je me demande comment vont pouvoir travailler les sites comme ça qui stockent les données des gens et puis y a les magasins qui ont des cartes de fidélité avec leur identité, leur adresse, leur tel, leur email, les achats quils ont déjà fait, quels types d'achats revient souvent, etc etc...
Sérieusement, allez regarder ce dont vous parlez au lieu de dire n'importe quoi…

En plus, c'est pas franchement long à lire :
https://www.cnil.fr/reglement-europe...ection-donnees

Le RGPD n'empêche pas de stocker des données à caractères personnelles, mais donne un cadre légal.
C'est à dire des obligations auxquelles le fournisseur de service doit se conformer.
4  0 
Avatar de
https://www.developpez.com
Le 15/01/2020 à 23:01
Bonjour,

Quelles mesures prenez-vous lorsque vous utilisez une application ou un service connecté à internet ?
Le B A BA, c'est cloisonné l'utilisation des adresses mails. Ne jamais utiliser le même mail sur les impôts et sur Tinder ... Faut être Neuneux pour faire cela

Pour ma part je n'utilise pas ce type de site ... Tinder, Happn et consort. C'est jouer avec le diable ...

Demandez autour de vous , aux personnes ayant déjà usités de ce type de site web ... Je être méchant avec les termes mais beaucoup de "cas soc" ... Des pigeons dont les données personnelles vont grossir les rangs des brokers ...

Pour ceux qui voudraient vraiment utiliser les services genre Tinder et autre, je conseille :

> créer un compte facebook alternatif
> créer une adresse mail poubelle
> utiliser l'alias proposé par le webmail
> utiliser un numéro de mobile virtuel ou acheter une 2ème sim qui ne servira qu'a être identifié sur le site en question

Les résultats de cette enquête vous surprennent-ils ?
Heu ... non . Il y a une semaine c'était un article sur Tinder qui envoie de la data ... au FSB !
4  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 16/01/2020 à 12:33
Ainsi donc, ils ne respecteraient pas notre cher RGPD... J'en suis fort étonné et j'en doute fortement..
De leur point de vue, pourquoi le feraient t'ils, ils ne sont pas sous autorité européenne, ils sont aux états-unis (à moins qu'ils aient un siège en Europe). A l’Europe de ne pas en autoriser l'accès si elle considère qu'ils ne respectent pas le RGPD.
C'est là le problème et les limites. En cas de sanctions d'une entreprise américaines, c'est les accords bi-latéraux qui vont permettre une vrai sanction.

Pour les entreprises ayant des sièges sociaux en Europe, notamment en Irlande (pas besoin de les citer) c'est plus simple, c'est cette entité qui raque.

La CNIL a appliquée à google une sanction record de 50 millions d'euros. Le bénéfice de Google pour 2018 a été de 27 milliards d'euros environ pour 70 milliards de chiffre d'affaires.
Pensez vous que 50 millions d'euros, soit environ 0,18% de son bénéfice est assez coercitif pour changer son comportement ? On est loin des 2% du chiffre d'affaires.
4  0 
Avatar de petitours
Membre émérite https://www.developpez.com
Le 16/01/2020 à 13:04
Quelques millions d'amende pour quelques milliards de CA généré par la pub... ils en ont rien à faire du RGPD puisque l'essence même de leur activité et de vendre de l'info marketing, le service "offert" est anecdotique.

Même avec 2% de CA en amende ils s'en moqueraient toujours, leur marge est très largement supérieure à 2%.

et ils se moquent aussi du risque de "mauvaise image", les scandales Facebook montrent bien que la grande majorité des utilisateurs ne s'intéressent pas (ou ne comprennent pas) à la manipulation dont ils font l'objet.
4  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 16/01/2020 à 13:21
Quand j'explique aux gens ce qu'implique l'utilisation de service type Dropbox, on me répond souvent à peu près "on a rien à cacher".

Les scandales ont fait prendre conscience qu'il fallait encadrer les choses.

Maintenant qu'il y a le cadre, il faut passer aux bonnes pratiques, et ça va prendre du temps.
La première pratique pour moi est de ne pas étaler sa vie privée sur Internet, donc exit facebook.
4  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 20/01/2020 à 19:28
Oui , c'est vrai.

Maintenant, en cas de contrôle, je pense que les amendes ou avertissement tiennent compte du cas de figure.
4  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 04/11/2019 à 9:59
Citation Envoyé par amateurprg Voir le message
puisque d’après l'article, faire ça c'est très risqué, et peut coûter très très cher. on voit que beaucoup de sites ont décidé de fermer pour pas risquer.
Ce n'est absolument pas risqué si on ne fait pas n'importe quoi.

Il faut juste établir un EIVP en respectant le RGPD, et rendre publique les fuites de données lorsque découvertes.
Niveau sanction, comme d'habitude, on privilégie l'information à la sanction. Ce ne sera donc bien souvent que des rappels à l'ordre, sauf pour les gros abus où il y aura une réelle sanction.

Les sites qui ont décidé de fermés n'avaient peut-être pas un business modèle si "propre" que cela…
3  0 
Avatar de L33tige
Membre expérimenté https://www.developpez.com
Le 06/11/2019 à 10:05
Citation Envoyé par defZero Voir le message
Que, d'après Wikipédia, "Check Point Software Technologies Ltd" est une "entreprise de sécurité" Israélienne, côté en Bourse (NASDAQ : CHKP), qui fournit :
- Pare-feu
- VPN
- Appliances
- Software Blade
- IPS/IDS
- Sécurité du poste de travail
- Protection des données
- Administration des passerelles de sécurité

Et donc qu'elle prêche pour ça paroisse.
Niveau partialité on a déjà vu mieux.
De plus cette étude a été faite pour la société "Check Point" par ... On ne sait pas qui du coup.

Que quand la l'étude affirme que :

Ce que moi j'y vois, c'est que pour se mettre en conformité avec le RGPD les sociétés interrogés ont massivement externalisés leur SI au profit du Cloud, voir se sont carrément passé de SI.
Alors, oui je sais, le Cloud n'est pas tout le SI, mais pensez y d'un point de vue RGPD.
Tout ce qui est mis sur le réseau d'un tiers doit être validé conforme RGPD pour respecter la chaine de traitement du RGPD, c'est une sorte de licence copyleft du droit.
De plus avec leurs approche, ça devient donc au "Cloud Manager" de gérer le RGPD.
C'est la solution de simplicité immédiate, mais est elle pérenne ?
Je ne croit pas puisque l'on devient dépendant d'un Cloud, géré on ne sais comment, par on ne sait qui, on ne sais où.

Si "Selon les conclusions d’une nouvelle enquête diligentée par Check Point", alors ce n'est pas Check Point qui a interrogé qui que ce soit, non ?
Là je comprend qu'ils n'ont interroger que des grands groupes qui ont les moyens de ce conformé au RGPD.
Aller demander à des Indépendants, des TPE/PME, des SEN/SSII et autres structure si ils/elles ont les moyens (financier/temporelle/connaissance/formations) de ce conformer au RGPD.
Je rappelle tout de même que faire appel à un DPO est devenue une quasi-obligation et qu'il s'agit plus d'un avocat/juriste formé au RGPD que d'un dev.
Le DPO nommé est par nature responsable pénalement/financièrement en sont nom propre de toutes les infractions qui pourrait être commises au RGPD.
Autant vous dire que le RGPD va tué les petites structures à ce rythme là.
A croire que les mecs/nanas qui ont décidé ça tous seul dans leurs coins, n'ont pas juger utilise de faire des estimations de coups de mise en place de leurs directives.

Enfin bon, j’attends juste de voire un DPO envoyé en zonzon, parce qu’un stagiaire/intervenant/consultant ne s'est pas conformé au RGPD.
Alors oui, mais le RGPD c'est aussi tout ce que ça soulève à coté. Prise du consentement, non stockage de données inutiles à l'usage qui en ai fait etc. Même en passant par du cloud ya toute la partie métier à changer et pour ça ya des devs au final.
3  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 17/01/2020 à 13:52
Citation Envoyé par chrtophe Voir le message
De leur point de vue, pourquoi le feraient t'ils, ils ne sont pas sous autorité européenne, ils sont aux états-unis (à moins qu'ils aient un siège en Europe). A l’Europe de ne pas en autoriser l'accès si elle considère qu'ils ne respectent pas le RGPD.
C'est là le problème et les limites. En cas de sanctions d'une entreprise américaines, c'est les accords bi-latéraux qui vont permettre une vrai sanction.
Sauf que le RGPD est justement extraterritorial, et permet de sanctionner toute entreprise ne le respectant pas à partir du moment où elle a dans ses bases de données des citoyens européens.

Ca, c'est sur le papier, évidemment
3  0