Lorsque le GDPR est entré en vigueur en 2018, la nouvelle et brillante loi sur la protection des données a été saluée comme un changement vers une application plus stricte - garantissant que dans l'UE, le droit fondamental à la protection des données n'existe pas seulement sur le papier. Pour marquer la Journée de la protection des données de cette année, le 28 janvier, noyb a mené une enquête auprès de plus de 1000 professionnels de la protection des données travaillant dans des entreprises européennes. Cette enquête a permis d'obtenir une vision unique de l'intérieur : 70 % des personnes interrogées estiment que les autorités doivent prendre des décisions claires et appliquer le GDPR pour garantir la conformité, tandis que 74 % déclarent que les autorités trouveraient des "violations pertinentes" si elles franchissaient la porte d'une entreprise moyenne. Dans une tentative d'évolution vers une "application fondée sur des preuves", cette étude montre également que les autorités devraient changer fondamentalement leur approche de l'application pour amener les entreprises à se conformer.
L'application sérieuse n'a pas tenu ses promesses. Lorsqu'il est entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) promettait une évolution de l'approche actuelle "douce" de la protection des données vers une application sérieuse. Pour atteindre cet objectif, les politiques de l'UE ont doté les autorités de sérieux pouvoirs d'enquête et de la possibilité d'infliger de lourdes amendes. Selon un nouveau rapport du noyb auprès de plus de 1 000 professionnels de la protection des données, la plupart des participants estiment que l'introduction du GDPR a "considérablement amélioré" la façon dont les entreprises traitent les données personnelles, mais 74 % d'entre eux affirment encore que si les autorités menaient une enquête sur place dans une entreprise moyenne traitant des données d'utilisateurs, elles trouveraient des "violations pertinentes".
Max Schrems, président honoraire du noyb: "Il est extrêmement alarmant de constater que 74 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s'il s'agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu'il s'agit des données personnelles des utilisateurs."
Des données objectives d'initiés sur la conformité au GDPR. Afin de mieux comprendre l'application pratique du GDPR, noybcomprenait 65 questions couvrant une série de sujets dans le domaine de la conformité et de l'application du GDPR. Cela nous a permis d'obtenir des données fiables et objectives sur les dynamiques internes qui empêchent les délégués à la protection des données (DPD) de mettre en œuvre des mesures visant à renforcer la conformité au GDPR, ainsi que sur les facteurs externes qui pourraient pousser les entreprises à se conformer davantage au GDPR à l'avenir. Ces données semblent cruciales pour concentrer le travail d'application et de mise en conformité sur des stratégies qui fonctionnent réellement et soutiennent le travail des DPD internes.
En conflit avec les services de marketing et la direction. Les entreprises opèrent souvent dans un espace conflictuel entre la recherche du profit, les coûts de mise en conformité de leurs systèmes avec le GDPR et l'obligation de se conformer à la loi. l'enquête de noybmontre clairement que les DPD subissent des pressions pour limiter la conformité au GDPR dans l'intérêt de l'entreprise : 46 % des personnes interrogées ont déclaré que les services de vente et de marketing faisaient activement pression sur eux pour limiter la conformité, tandis que 32 % se sentaient poussés par les membres de la direction générale. Sans surprise, convaincre ces parties prenantes de procéder aux changements nécessaires pour améliorer la conformité s'avère également très difficile. Un pourcentage choquant de 56 % des personnes interrogées ont déclaré qu'il était difficile de convaincre le service marketing, tandis que 38,5 % ont eu des problèmes avec la direction générale. 51 % ont également déclaré qu'il était difficile de convaincre les fournisseurs hors UE/EEE de fournir des produits conformes aux entreprises clientes de l'UE.
Max Schrems : "Les DPD sont censés être indépendants et garantir la conformité au sein de l'entreprise. En réalité, nombre d'entre eux font état de pressions exercées par diverses parties pour qu'ils donnent la priorité aux intérêts commerciaux."
En application fondée sur des preuves : amendes et atteinte à la réputation. L'absence de mesures d'application claires de la part des autorités n'aide pas les DPD à faire leur travail. Selon les résultats de l'enquête, une entreprise est plus susceptible d'améliorer sa conformité lorsqu'elle - ou même d'autres entreprises - est confrontée à des amendes importantes. 67.4 % des personnes interrogées ont déclaré que les décisions de l'autorité de protection des données à l'encontre de leur propre entreprise, assorties d'une amende, inciteront les décideurs à opter pour une plus grande conformité. Il est intéressant de noter que 61,5 % des personnes interrogées ont déclaré que même les amendes infligées par le DPA à d'autres organisations influenceraient la conformité de leur propre entreprise au GDPR. Cet effet ("dissuasion") est bien connu et étudié, mais n'est pas vraiment utilisé par les autorités. Le deuxième meilleur outil semble être la publication des décisions. 52 % ont déclaré que la perte de réputation d'une autre entreprise a déjà un effet positif sur la conformité de leur propre entreprise. Cependant, de nombreuses autorités ne publient pas leurs décisions (par exemple, en Allemagne) ou ne les publient que de manière sélective.
Max Schrems : le conseil des professionnels de la protection des données au sein des entreprises semble être : "imposez des amendes élevées et rendez-les publiques". L'approche commune consistant à s'appuyer sur des négociations "informelles" entre les autorités et les entreprises et sur des procédures secrètes semble être la moins efficace selon les initiés des entreprises."
Les lignes directrices de l'EDPB ou les classements de dossiers n'ont pas d'influence. Alors que les autorités investissent des efforts, du temps et des ressources considérables pour fournir des lignes directrices aux entreprises, celles-ci semblent être largement ignorées par les entreprises. 46 % des personnes interrogées ont déclaré que les lignes directrices de l'EDPB n'avaient pas d'influence, tandis que 23 % seulement les trouvaient assez influentes. De même, les initiés estiment que les plaintes directes auprès des entreprises n'ont pas beaucoup d'influence. En revanche, les plaintes déposées auprès des autorités chargées de la protection des données et la clôture informelle des dossiers (qui est actuellement la forme de décision la plus courante) n'ont pas beaucoup d'influence. Bien que tout indique qu'il est urgent d'appliquer strictement la législation, dans la pratique, les mesures prises par les autorités chargées de la protection des données sont l'exception. Ceci est facilement illustré par l'exemple du noybl'illustre aisément : La plupart de nos plus de 800 affaires sont en suspens depuis plus de deux ans. Mais même si l'on ne retient que les affaires que le noyb a gagné, il n'y a qu'une poignée de décisions qui prévoient une amende. Dans plus de 800 affaires, nous n'avons pas vu une seule autorité procéder à une inspection sur place d'une entreprise.
Max Schrems : ces dernières années, les autorités européennes ont élaboré de nombreuses lignes directrices et engagé de longues discussions "informelles" avec les entreprises, avant de "classer" les dossiers sans suite. À en juger par les réactions des responsables de la conformité, ce n'est malheureusement pas la meilleure façon d'utiliser l'argent des contribuables
L'opinion des initiés reste plus positive que l'expérience des utilisateurs. Bien que le point de vue des initiés soit déjà alarmant, il reste plus optimiste que l'expérience moyenne des personnes concernées. Par exemple, lorsque le noyb a exercé son droit d'accès aux données à caractère personnel, plus de 90 % des demandes n'ont pas reçu de réponse complète dans les délais impartis. La plupart des demandes sont tout simplement ignorées. En comparaison, 59 % des personnes interrogées pensent que la plupart des entreprises se conformeraient "pour l'essentiel" aux "règles de base" du GDPR. L'expérience pratique suggère que le point de vue de l'extérieur peut être encore pire que celui de l'intérieur.
La seule solution : une "application fondée sur des preuves". Si l'on en croit les personnes interrogées, la seule solution réaliste à ce problème est claire : une application plus stricte et des décisions plus claires des autorités de protection des données et des tribunaux qui obligent les entreprises à mettre leurs traitements de données en conformité. Une liste complète et détaillée des actions suggérées figure dans l'étude. Les résultats montrent également qu'il est urgent de rassembler d'autres preuves objectives pour s'assurer que les autorités (peuvent) s'engager dans un travail d'application efficace compte tenu de leurs ressources limitées. Répéter des approches qui ne fonctionnent pas ne conduira pas à des changements concrets sur les téléphones et les ordinateurs des Européens. Les données recueillies dans le cadre de notre enquête constituent un excellent point de départ pour des recherches plus approfondies. noyb s'engagera également dans des recherches plus approfondies.
