Les entreprises prennent-elles toujours le RGPD au sérieux ?

Alors que nous célébrons le cinquième anniversaire de l’entrée en vigueur du RGPD, l’absence d’amendes significatives a-t-elle incité certains PDG à ne pas le prendre aussi au sérieux ? Dan Raywood examine si le RGPD n'a pas été à la hauteur du battage médiatique.

À l’approche de mai 2018, on s’attendait à ce que le RGPD change la donne en matière de mise en conformité. Dès les premières discussions autour de la réforme de la protection des données, il était clair que le niveau d'application allait être plus important que la sanction pécuniaire maximale de 500,000 2011 £ que le Bureau du commissaire à l'information (ICO) avait commencé à imposer en XNUMX.

En fait, le GDPR a déterminé que pour « des violations particulièrement graves, l’amende peut aller jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 83 pour cent du chiffre d’affaires global total de l’exercice précédent, le montant le plus élevé étant retenu ». Même pour des violations moins graves, l'article 4, paragraphe 10, prévoit des amendes pouvant aller jusqu'à XNUMX millions d'euros ou, dans le cas d'une entreprise, jusqu'à XNUMX pour cent du chiffre d'affaires global total de l'exercice précédent, le montant le plus élevé étant retenu. 

Des trucs plutôt effrayants, hein ? Ces chiffres potentiels ont fait l’objet d’une forte publicité à l’approche de mai 2018. Enquête Varonis de 2017 a révélé que 75 % des 500 décideurs interrogés conviennent que les amendes imposées pourraient paralyser certaines organisations, et 44 % pensent que les entreprises pourraient augmenter leurs prix pour se protéger contre les sanctions.

Amendes RGPD – Pas ce qui était attendu

Toutefois, malgré la les plus grosses amendes de l'ICO montrent que les chiffres d’un million de livres n’ont été dépassés qu’à quelques reprises, les 12.7 millions de livres sterling pour TikTok à partir d’avril 2023 parmi les principales amendes infligées. 

Avons-nous été déçus si nous nous attendions Amendes RGPD être si sévère et les entreprises les craindre ? Après tout, la plus grosse amende a été infligée à British Airways en 2019, avec un total de £ 183 millions déterminé quand les données personnelles de 500,000 XNUMX clients ont été volées sur leur site Web et leur application mobile. Cependant, un peu plus d'un an plus tard et après un appel, ce montant A été réduit à 20 millions de livres sterling. Ce n’est pas un montant insignifiant, mais qui aurait nui à la position de l’ICO en tant que régulateur.

Les entreprises prennent-elles le RGPD au sérieux, sachant que les lourdes amendes attendues ne se sont pas concrétisées et que les amendes ont été réduites de manière significative ? Jonathan Armstrong, associé chez Cordery, estime que les PDG ne prennent pas le RGPD au sérieux pour ces raisons. « Je pense que le problème était que le RGPD a fait l’objet d’un battage médiatique en 2018, avec de nombreux conseillers non qualifiés disant aux organisations que les vannes s’ouvriraient et qu’elles seraient passibles d’amendes énormes », dit-il.

« Lorsque cela ne s’est pas produit en 2018, les dirigeants de nombreuses organisations se sont détendus, ont pensé que c’était du battage médiatique et ont cessé de prêter attention aux questions de protection des données. Je sais que certaines organisations ont en conséquence annulé le financement de projets RGPD.

Armstrong déclare lors de l'introduction du RGPD : il pensait qu'il était probable qu'il n'y aurait pas d'amendes substantielles au départ, « en partie parce que certaines autorités de protection des données accordaient un délai plus long pour que la nouvelle loi s'installe, et en partie parce que les enquêtes de grande envergure mettent un certain temps à se mettre en place ». arriver à une position où la DPA peut imposer une amende.

Que pensent réellement les experts de la mise en œuvre du RGPD

Pour avoir une idée de l'impact du RGPD, nous avons interrogé l'Association nationale des délégués à la protection des données (NADPO) membres pour leurs réflexions sur ces affirmations. Lorsqu’on leur a demandé s’ils estimaient que le RGPD avait été à la hauteur de son battage médiatique d’avant 2018, sur les 58 réponses recueillies, 62 % ont répondu que non.

NADPO Le président et DPD de Mishcon de Reya, Jon Baines, convient que le battage médiatique a certainement rehaussé l'attention sur la protection des données, mais a déclaré qu'il a également conduit à une réaction excessive dans certains domaines, avec un certain « recul ».

«Certains cadres supérieurs et membres du conseil d'administration se demandent naturellement si les efforts déployés pour assurer la conformité étaient (ou continuent d'être) nécessaires», dit-il. « La meilleure réponse à ce type de défi est qu’une bonne conformité est presque toujours alignée sur de bonnes pratiques commerciales – elle devrait aboutir à une situation gagnant-gagnant dans la grande majorité des cas. »

Baines commente également que même si les commissaires successifs nous ont dit que l'application des règles ne se limite pas aux amendes, et que l'actuel commissaire John Edwards s'est montré particulièrement enclin aux « réprimandes », qui sont une sorte de « mise en application douce », il estime qu'il pourrait être beaucoup plus utile constitué de notifications d’exécution – qui sont des notifications légales formelles obligeant les organisations à prendre des mesures spécifiques (ou à s’abstenir de les prendre), et dont le non-respect est potentiellement une infraction pénale. 

"Je pense qu'un recours accru à ces pouvoirs aurait tendance à attirer l'attention des conseils d'administration tout en évitant le recours à des amendes punitives (ou sans valeur)."

Pour l’avenir, nous avons demandé aux membres de la NADPO ce que l’ICO doit faire pour faire du RGPD la perspective redoutable qu’elle était autrefois. Les membres de la NADPO ont laissé divers commentaires, affirmant que l'ICO « doit soutenir son application et faire respecter les violations », offrir « des orientations claires, cohérentes et spécifiques au secteur » et « émettre des sanctions aux organisations qui sous-financent ses fonctions de protection des données ».

Certains commentaires ont également appelé l'ICO à être plus active dans l'application, car l'éducation des entreprises est essentielle, "mais alors que l'application aurait un plus grand impact à long terme, elles manquent actuellement de crédibilité". Un autre commentaire a appelé l'ICO à traiter les plaintes concernant tout « et pas seulement les violations de données massives » et à imposer des pouvoirs d'utilisation (pas nécessairement des amendes, comme empêcher les entreprises de traiter des données).

En outre, on se demande depuis longtemps où va l’argent lorsqu’une amende est payée. Une personne a demandé que soit déclaré le montant d'une pénalité, mais a ensuite insisté sur le fait que l'organisation doit dépenser cet argent pour réparer les défauts « de sorte que l'on ne s'attend pas à ce que l'organisation apporte des améliorations tout en souffrant de moins de ressources, mais la menace quelqu'un viendra vous prendre votre argent (vous ne pourrez donc pas le dépenser comme bon vous semble).

Le rôle de l'OIC

Dans une discours récent Lors de l'IAPP Data Protection Intensive UK, le commissaire à l'information John Edwards a déclaré qu'il était crucial que le régulateur montre que le non-respect de la protection des données n'est pas rentable. "L'utilisation abusive des informations de vos clients pour obtenir un avantage commercial sur d'autres sera toujours perçue négativement par mon bureau, et nous chercherons à imposer des amendes proportionnelles aux gains mal acquis obtenus grâce au non-respect."

Le 2021-22 rapport annuel de l'ICO a déclaré que son objectif était d'aider les organisations à répondre à leurs exigences légales. « Nous ciblons notre action réglementaire dans les domaines où les mauvaises pratiques en matière de protection des données ont l'impact le plus significatif sur les personnes. Nous n’utilisons nos pouvoirs coercitifs que lorsque cela est nécessaire et toujours de manière proportionnée.»

Nous avons contacté l'ICO pour une réponse directe mais n'avions pas reçu de réponse au moment de la publication.

Regard vers les 5 prochaines années du RGPD

Armstrong affirme qu'il y a eu une augmentation substantielle des amendes RGPD au cours de l'année dernière, "de sorte qu'il y a maintenant plus de 2000 2.6 amendes, avec plus de XNUMX milliards d'euros d'amendes imposées". Il dit également que nous voyons les DPA utiliser leurs pouvoirs de manière plus créative – par exemple, avec la suspension du traitement pour Replika AI et ChatGPT.

« Il ne s’agit donc pas seulement d’amende, et ces suspensions peuvent également être critiques pour l’entreprise – vous verrez comment le PDG d’OpenAI a tout laissé tomber pour parler à la DPA italienne après la suspension. Je pense donc que la difficulté pour de nombreuses organisations est qu’elles se tournent vers le passé plutôt que vers le présent.

Le déploiement du RGPD a été long et a permis aux entreprises de mettre de l’ordre dans leurs affaires face à cette réglementation sur la protection des données. Si les PDG veulent prendre cela au sérieux, il serait peut-être préférable de réduire le nombre de titres sensationnels, tout comme de mettre davantage l’accent sur le soutien et l’habilitation des entreprises en faillite.