Le RGPD a bâti un cadre juridique sans équivalent sur la planète, par l'ampleur des obligations qu'il impose aux entreprises, et l'ampleur des droits qu'il garantit aux internautes.

Il s'est imposé comme une référence mondiale en la matière, conduisant bon nombre de pays à l'extérieur de l'Europe à accélérer leurs propres travaux sur ce sujet.

La Californie, la Mecque de la numérisation de l'économie, est en train d'adopter une législation stricte sur les données personnelles.

En Asie, le Japon a complété sa législation pour arriver à un niveau équivalent au RGPD.

Les entreprises européennes, mais aussi des entreprises extra-européennes, ont dépensé des centaines de millions d'euros pour remettre de l'ordre dans leurs tentaculaires flux de données.

- Données "dupliquées dans tous les sens" -

"Beaucoup d'entreprises se heurtent à un problème majeur: leur système d'information a été conçu autour de services à rendre, mais pas autour de la donnée. Celle-ci est dupliquée sans arrêt dans tous les sens, envoyée chez des multitudes de prestataires et des fournisseurs..." explique à l'AFP Gérôme Billois, du cabinet Wavestone.

Aujourd'hui, "31% des entreprises n'arrivent toujours pas à mettre en place le droit à l'oubli" (droit à l'effacement des données personnelles prévu par le RGPD) "parce qu'elles ne savent pas avec précision où se trouvent ces données", explique-t-il.

"On commence maintenant à rentrer dans l'opérationnel" de la mise en oeuvre du RGPD, confirme de son côté Jean-Michel Franco, directeur marketing produit de l'éditeur de logiciels français Talend.

Parmi les secteurs les plus marqués par l'entrée en vigueur du RGPD, celui de la publicité ciblée, où des entreprises collectent des données personnelles à grande échelle pour pouvoir viser directement les consommateurs qui les intéressent.

Saisissant les armes fournies par le RGPD, la Cnil, le gendarme des données français, a sommé quatre start-up françaises (Fidzup, Teemo, Singlespot, Vectaury) de revoir la manière dont elles recueillaient le consentement des internautes.

Teemo par exemple a négocié avec le gendarme des données un nouveau bandeau de demande d'autorisation d'utilisation des données personnelles. La société craignait que les internautes ne veuillent plus partager leurs données avec ces nouveaux bandeaux, mais les taux d'acceptation finalement restent élevés, proches de 70% en moyenne, affirme Benoit Grouchko, son directeur général.

- 145.000 plaintes -

"Sur la deuxième moitié de l'année 2018, le marché" du ciblage publicitaire "a beaucoup souffert" du fait des incertitudes liées à l'application de la nouvelle législation, explique-t-il, ajoutant avoir retrouvé le niveau de chiffre d'affaires constaté avant l'entrée en vigueur du RGPD.

Du point de vue du consommateur, le constat est moins optimiste.

De nombreuses ONG de défense des droits des internautes estiment que les objectifs du RGPD sont très loin d'être atteints.

Bien souvent, expliquent-ellles, les utilisateurs continuent de donner le feu vert à l'utilisation de leurs données personnelles d'une manière qui n'est ni "libre", ni "éclairée", comme le demande le texte européen.

Beaucoup d'internautes cliquent "oui" pour le partage de leurs données, parce que cliquer "non" ou demander "plus d'informations" les égare dans un labyrinthe de questions et de renvois de page en page, toutes plus incompréhensibles les unes que les autres.

Au moins le RGPD donne-t-il aux citoyens des moyens juridiques d'agir contre les entreprises. Dans l'Union européenne, 145.000 plaintes pour violation du texte ont été déposées depuis un an, selon la Commission européenne.

Si une seule sanction d'importance a été prononcée (50 millions d'euros d'amende contre Google infligée par la Cnil), d'autres pourraient suivre prochainement, a estimé la commissaire européenne à la Justice Vera Jourova.

Une dizaine de "gros dossiers" sont actuellement à l'instruction dans l'UE, a-t-elle affirmé.

"Les gens prennent conscience qu'ils doivent avoir le contrôle"

Un an après l'entrée en vigueur du règlement sur la protection des données personnelles, la commissaire européenne à la Justice Vera Jourova constate avec satisfaction que le grand public s'approprie de plus en plus la législation.

"Après l'entrée en vigueur du RGPD (Règlement général sur la protection des données, ndlr) j'ai reçu de nombreuses réactions, et en général elles se divisaient en deux catégories", raconte Mme Jourova dans un entretien à l'AFP.

Le premier type de réaction est venu de personnes qui "se plaignaient et me critiquaient parce qu'elles sont exaspérées par les demandes de consentement", ces bannières pop-up qui s'affichent sur un site quand on y accède pour la première fois et demandent d'accepter certaines conditions d'utilisation, explique-t-elle.

La deuxième catégorie de réactions, selon la commissaire tchèque, sont des personnes qui s'étonnent du nombre de sites qui ont besoin de demander le consentement des utilisateurs.

"Nous ne savions pas que tant de sociétés sont en possession de nos données personnelles. C'est une chance pour nous de faire le tri, de ne pas consentir à ceux dont nous n'utilisons pas vraiment les services", disent ces témoignages, selon Mme Jourova.

"Je pense que ce second camp va grossir, parce que les gens commencent à comprendre le principe (du RGPD), qu'ils ont besoin de garder leurs données sous leur contrôle", assure-t-elle.

- Philosophie européenne -

La commissaire se félicite tout particulièrement qu'après avoir initialement subi critiques et doutes, le RGPD est devenu une référence pour de nombreux autres pays dans le monde. Les acteurs du numérique visés se sont finalement rangés derrière les contraintes imposées.

"Quand je parlais avec les responsables des grosses sociétés deux ans avant l'entrée en vigueur du RGPD, ils avaient peur. Dans le RGPD, il y a une grande part de philosophie européenne et d'approche culturelle, alors peut-être qu'il y a quelques temps ce que voulait l'Europe n'était pas très compréhensible", avance Vera Jourova.

Mais quelques mois avant l'entrée en vigueur, le 25 mai 2018, ces sociétés se sont préparées, ont investi dans les technologies nécessaires, engagé des avocats spécialisés. Etaient-elles prêtes au moment du lancement? "On verra dans quelques mois et les premiers dossiers qui vont arriver des autorités de protection des données", dit la commissaire, prudente.

Jusqu'à présent, l'amende de 50 millions d'euros imposée par la Commission française de l'informatique et des libertés contre le géant américain Google est le seul cas emblématique relevé par la Commission.

Mais dans une conférence de presse mercredi, la commissaire Jourova notait que même si les amendes se font attendre, elles viendront. Selon la commissaire, qui ne pouvait pas donner de détails, 10 "gros dossiers" sont en cours d'examen devant différentes autorités nationales - les Etats membres sont chargés de l'application de la législation.

Quant aux petites et moyennes entreprises, pour lesquelles certains prédisaient le chaos, les choses "se stabilisent".

"Il y a eu beaucoup de panique", reconnait Mme Jourova, mais "nous avons fait de notre mieux pour expliquer que si une entreprise ne cherche pas à monétiser les données personnelles en sa possession (...) elle doit obéir à certaines règles mais pas toutes".

"Si vous êtes un coiffeur avec seulement une liste de clients dans votre ordinateur, assurez-vous d'avoir un bon antivirus, c'est tout", conseille-t-elle.