EPR : l’évolution du RGPD et de ses amendes

Plus d’un an maintenant que le RGPD (Règlement Général de Protection des Données) est en place. Bien que satisfaisant en grande partie dans ses principes et obligations, le RGPD évolue et surtout s’étend à bien plus de types de données recueillies sur les sites et les réseaux sociaux. Alors que de fortes amendes continuent de pleuvoir sur les sites et entreprises non encore en conformité, le RGPD évolue en introduisant le règlement e-privacy (ePr). Quelles sont les évolutions de l’ePR par rapport au RGPD ? Que faut-il faire pour se mettre en conformité avec l’ePR et le RGPD ?

L’application du RGPD pour certains, la crainte d’amende pour les autres

Encore une amende substantielle (400 000 euros) que la CNIL vient d’infliger une deuxième fois à une société immobilière française pour avoir échoué à protéger correctement les données des utilisateurs de son site Web et pour avoir mis en place des procédures de stockage de données inappropriées. C’est dire…

En bref, nul site internet, nulle société ne peut encore prendre le risque de ne pas être en conformité avec le RGPD. Selon différentes enquêtes, il y aurait encore un tiers des entreprises en France qui n’auraient pas encore appliqué les mesures du RGPD et qui seraient susceptibles d’être rappelées à leurs obligations par la CNIL ou sanctionnées.

Partout en Europe, la même traque s’applique. En Irlande, mais aussi en Belgique, au Luxembourg, aux Pays-Bas et en Espagne où des secteurs entiers sont des violations « à grande échelle et systématiques » de la réglementation européenne de protection des données. Quant aux Etats-Unis, des enquêtes sont en cours aussi bien chez Google (dont Google Ads) mais aussi chez Facebook (dont ses services WhatsApp et Instagram), Twitter, Apple et LinkedIn. Source blog.ainternet

Tout cela confirme bien que le RGPD n’est pas une pratique franco-française mais bel et bien un règlement international qui n’aura comme frontières que celles du web, c’est à dire aucune….

Le nouveau règlement e-Privacy

Il existait déjà une directive ePrivacy de 2002 qui va être revue bientôt (en 2019) et qui visera à atteindre pour les citoyens européens le même niveau de protection que celui du RGPD. Le règlement e-PR (pour e-privacy) concernera toutes les communications électroniques et s’appliquera aux sites qui fournissent n’importe quel type de communication en ligne, ceux qui utilisent des technologies de tracking ou impliqués dans des opérations de marketing électronique direct (newsletter, e mailing, etc...). La nouvelle directive ePR va permettre de protéger les données et métadonnées de communication des utilisateurs y compris avec des services comme WhatsApp, Facebook Messenger et Skype qui détiennent tous ces types d’informations utilisateur. Le nouveau règlement ePrivacy offrira aux utilisateurs davantage de contrôle et notamment leur nécessaire consentement à toute collecte d’informations.

Nota : S’il devra être demandé aux utilisateurs d’accepter ou de refuser les cookies de tracking et autres services identificateurs, il sera toujours acquis qu’aucun consentement n’est nécessaire pour la dépose de cookies non intrusifs comme ceux de suivi d’un panier d’achat ou de décompte du nombre de visiteurs.

E-Pr ne se limitera pas aux sites web et notamment aux spams mais devrait également inclure les appels téléphoniques. Tout comme pour le spam il est prévu d’interdire l’émission de communications électroniques non sollicitées que ce soit par e-mail, par SMS et robots de démarchage téléphonique.

A savoir : On attend d’e-PR, un peu (beaucoup plus) que le décrié BlocTel. En fonction de la loi, les individus seront protégés par défaut ou pourront utiliser une liste de numéros spécifiques pour ne pas recevoir d’appels téléphoniques marketing. Les appels marketing devront afficher leur (véritable) numéro de téléphone ou utiliser un préfixe spécifique à ce type d’appel marketing.

RGPD et/ou e-privacy ?

La question ne se pose pas puisque l’e-privacy ou règlement «vie privée et communications électroniques» s’inscrit de fait dans la réglementation du RGPD qu’il complète et étend.

Si des amendes sont d’ores et déjà prévues à l’encontre des sites et entreprises en infraction, ces amendes ne devraient jamais être supérieures ou même atteindre le montant de celles prononcées pour infraction au RGPD.

Pour mémoire : Une amende sanction pour manquement au RGPD peut s’élever théoriquement jusqu’à à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent (et c’est le montant le plus élevé qui est retenu). En France, plus de 95 000 plaintes ont déjà été déposées. En Europe, des sanctions record prononcées (204 millions d’euros à une compagnie aérienne et 111 millions d’euros à une chaîne hôtelière ; quant aux Etats-Unis la FTC vient d’inflige à Facebook une amende de  5 milliards de dollars ).