“Avec le RGPD, les entreprises ont pris conscience qu’on ne peut pas faire n’importe quoi avec les données personnelles”

Il y a cinq ans, le Règlement général sur la protection des données (RGPD) débarquait dans la vie des entreprises, en chamboulant quelque peu les habitudes de celles-ci. Fini de demander aux clients et aux prospects des données personnelles à tout va, fini de les « conserver » sans plus de sécurité. Le RGPD allait remédier à cela.

Lancé par l’Europe le 25 mai 2018, par l’Europe, le RGPD a pour objectif de mieux protéger les données privées des particuliers, qu’ils soient clients, utilisateurs ou employés. Pour ce faire, les entreprises ont dû mettre en place une série de mesures démontrant que les données personnelles qu’elles collectent (nom, adresse, numéro de téléphone, dossier médical, historique de navigation, CV, mot de passe…) sont en sécurité. Elles ont également dû informer correctement les particuliers sur l’usage et le traitement qu’elles font de ces fameuses données.

Retour sur 5 ans de RGPD avec Stéphanie De Smedt et Hugo Nieuwenhuyse, avocats chez Loyen&Sloeff.

On connaît les avantages (théoriques) du RGPD, mais dans la pratique, ont-ils bien été atteints?

Stéphanie De Smedt: Au début, le RGPD a vraiment été une révolution, car les clients n’avaient encore jamais auparavant fait l’effort de la réflexion : « Qu’est-ce qu’on va faire de ces données ? » Il y a bien la loi de 1992 qui encadrait déjà les données, mais sans introduire la notion de sanctions en cas de non-respect.
Avec l’entrée en vigueur du RGPD, les entreprises ont entrepris cette réflexion, elles ont pris conscience de ce que c’était et des enjeux. Même si l’application dans la pratique reste un exercice difficile… Par exemple, le RGPD entend que l’entreprise doit être transparente au niveau des données récoltées et de ce qu’elle va en faire. Seulement il ne dit pas comment cette transparence doit être appliquée. C’est aux autorités de contrôle de voir comment c’est implémenté dans la pratique, et elles vont parfois assez loin. Si le texte du RGPD est uniforme, dans la pratique ce sont les autorités de contrôle qui l’appliquent. Et cela peut se faire de manière quelque peu différente d’un cas à l’autre, d’un endroit à l’autre.

Donc on peut dire que l’arrivée du RGPD a induit une réflexion : les entreprises ont pris conscience qu’on ne peut pas faire n’importe quoi avec les données personnelles, c’est important ! C’est encore un challenge pour les entreprises donc.

Hugo Nieuwenhuyse: C’est vrai qu’il y avait déjà une législation qui existait avant, mais le RGPD en a vraiment fait prendre conscience. On peut donc dire qu’à ce niveau-là il a totalement rempli son rôle. De plus, il a eu des « enfants » en dehors de l’Union européenne. Plusieurs pays non-européens ont adopté une législation semblable à sa suite. Or c’était aussi un des objectifs à atteindre : le RGPD a été le pionnier dans la matière et a servi de modèle.

Combien a couté la mise en place du RGPD pour les entreprises ?

Hugo Nieuwenhuyse: C’est difficile à chiffrer, cela se compte en milliards. D’autant que certains « bons élèves » avaient déjà commencé à investir dans ce but en consultance, sécurité IT etc. avant la date du 25 mai 2018.

Quelles sont les sanctions en cas de non-application ? Et sont-elles appliquées ?

Hugo Nieuwenhuyse: Il y a énormément de stades différents, car comme expliqué plus haut, les autorités de contrôles interprètent ce règlement de manière parfois quelque peu différente.

Par exemple, en Belgique, il y a eu peu d’amendes importantes, mais plutôt des exigences de mise en conformité. La sanction la plus importante a été pour Google Belgique et il s’agit de 600.000 euros. On est loin des sommes folles des amendes attribuées aux Gafa.

Aussi parce que les amendes sont un pourcentage du chiffre d’affaires annuel de la société et qu’en Belgique, il y a surtout des PME. De plus toutes les infractions ne doivent pas être sanctionnées par des amendes.

Le RGPD est-il amené à être modifié dans le futur ?

Stéphanie De Smedt: Il y a beaucoup de discussion sur un amendement, mais ces discussions ne sont pas encore assez matures pour aboutir sur une décision. Par contre, d’autres textes de règlement peuvent venir « encadrer » celui du RGPD. Notamment des textes en rapport avec l’IA (intelligence artificielle).

Aujourd’hui, le RGPD est bien plus qu’un seul texte. De 2018 à aujourd’hui, ce sont les jurisprudences de la Cour de Justice européenne qui ont précisé certains points du RGPD. Cela contribue aussi à son « évolution », même si le texte n’a pas encore été adapté.

L’intelligence artificielle constitue-t-elle une menace pour le RGPD ?

Stéphanie De Smedt: Je ne considère pas que l’AI est une menace pour le RGPD, mais il est évident que ces deux législations doivent « apprendre » à coexister. Le RGPD concerne les données personnelles, tandis que l’AI c’est quelque chose de plus large. Elles doivent interagir.

Hugo Nieuwenhuyse: C’est compliqué, il pourrait y avoir des franchissements de la ligne rouge… car les algorithmes de l’AI doivent se gorger de données, parfois personnelles, pour évoluer. Or on ne sait pas toujours comment ces données sont collectées et traitées. C’est d’ailleurs un des gros défis de ces prochaines années. On ne peut pas tout à fait exclure que certains traitements de données ne soient pas conformes au RGPD et entrent en conflit avec ce dernier.

Stéphanie De Smedt: c’est d’ailleurs pour cela que l’Italie a interdit ChatGPT pendant un certain temps, afin de prendre du recul et de s’intéresser au traitement des données personnelles de cette AI. Après ce temps de réflexion, ChatGPT a de nouveau été autorisé là-bas.

C’est un challenge continu avec les nouvelles technologies.

Que pensez-vous qu’il arrivera au RGPD au cours des 5 prochaines années ?

Stéphanie De Smedt: Je pense que beaucoup de choses vont changer, évoluer, dans la pratique. Notamment les autorités de contrôle devront beaucoup plus se coordonner concernant l’application du RGPD. Les interactions des nouvelles technologies et le RGPD constituent un véritable challenge à venir.

Hugo Nieuwenhuyse: On voit que le RGPD commence à faire son apparition dans d’autres types de litiges. C’est le cas en France où il a été cité dans des cas de concurrence déloyale. Le RGPD prend de plus en plus d’importance, et donc  non-conformité à ce règlement en aura aussi.