La célébration le 25 mai dernier du premier anniversaire de l’entrée en vigueur du RGPD a été l’occasion de plusieurs publications et évènements. Bien qu’il soit un peu tôt, selon une opinion très partagée, pour tenter de faire un état des lieux au bout de seulement un an d’application, les autorités de tutelle ont voulu marquer le coup en mettant en avant quelques données-clés, comme la fréquentation de leurs sites Internet, le nombre de demandes d’informations, de plaintes et celui des notifications de violations de données. Au Luxembourg, Tine Larsen, présidente de la Commission nationale pour la protection des données (CNPD), a estimé que jusqu’au 25 mai 2018, « on était à 17 réclamations par mois, aujourd’hui à 51 », soit un triplement et un rythme annuel d’environ 600 plaintes.
Au niveau européen, ont été déclarées 144 400 plaintes et 89 300 violations de données en à peine neuf mois, selon un décompte de l’European Data Protection Board (EDPB), qui chapeaute les autorités européennes et pour qui ces chiffres sont surtout le signe de la sensibilisation des citoyens à la protection de leurs données personnelles, dont ils se sont longtemps peu souciés. Dans certains pays, comme la France, où les sanctions ont commencé à tomber, elles ont fait l’objet d’une large publicité : Google s’y est vu infliger en janvier 2019 une amende record de cinquante millions d’euros.
Mais, malgré l’autosatisfaction qui prévaut, de nombreux objectifs n’ont pas été atteints, et beaucoup reste à faire. Particulièrement à l’égard des clients, selon une enquête publiée le 13 juin par la Commission européenne. Nommée « Eurobaromètre spécial », elle a été menée en mars 2019 sur un échantillon de 27 524 personnes de plus de quinze ans dans les 28 pays de l’UE. 512 personnes ont été questionnées au Grand-Duché.
67 pour cent des Européens déclarent avoir entendu parler du RGPD, mais près de la moitié d’entre eux avouent ne pas savoir de quoi il s’agit précisément. Au Luxembourg, ils sont 71 pour cent à en avoir eu connaissance et parmi eux environ deux sur trois savent sur quoi il porte, ce qui place le pays au quinzième rang européen.
La méconnaissance moyenne s’établit à 32 pour cent : Si elle est plus faible au Luxembourg (27 pour cent), elle est supérieure à quarante pour cent dans six pays, principalement de l’est de l’Europe mais aussi en Belgique (47 pour cent) et dépasse même la barre des cinquante pour cent en Italie et en France, bonne dernière avec 55 pour cent d’ignorants. À peine croyable compte tenu de la médiatisation dont a bénéficié le règlement !
Dans le même registre, lorsqu’on leur demande s’ils connaissent l’existence dans leur pays d’une autorité publique responsable de la protection des données personnelles, 41 pour cent des Européens et 39 pour cent des Luxembourgeois répondent non. La CNPD, pourtant créée en 2002, n’est nommée que par un quart des sondés. Mais c’est encore pire en France où seulement vingt pour cent peuvent citer la CNIL (Commission nationale informatique et libertés) dont l’existence remonte pourtant à janvier 1978 !
La Commission a aussi cherché à tester l’échantillon sur la connaissance de six droits confirmés ou créés par le RGPD. Les résultats globaux sont décevants. Le niveau moyen de méconnaissance est variable mais reste globalement élevé, entre 31 et 38 pour cent pour quatre des droits, avec plus de la moitié des répondants ignorant le droit de regard sur les décisions automatisées (qu’ils sont seulement huit pour cent à avoir exercé).
Au Luxembourg, les résultats sont favorables. Pour chacun des droits, le niveau d’ignorance est inférieur à la moyenne européenne, avec dix points d’écart pour les droits de rectification, de portabilité, et celui d’effacement et d’oubli. Le moins connu, et de loin avec près de la moitié des sondés qui ne le connaissent pas, est le droit de regard sur les décisions automatisées (celles qui dépendent de l’application d’un algorithme comme dans le credit scoring).
Un des résultats les plus étonnants concerne la France. Deux droits qui figuraient en bonne place dans la Loi Informatique et Libertés en 1978 (le droit d’accès et de rectification) y sont largement méconnus plus de quarante ans plus tard (respectivement 38 et 40 pour cent) même si le nombre moyen de ceux qui disent les avoir déjà exercés est supérieur, dans les deux cas, à la moyenne européenne.
Pour enfoncer le clou, les sondeurs ont synthétisé la connaissance de l’ensemble des droits. Moins d’un Européen sur trois (31 pour cent précisément) a entendu parler des six droits qui sont au cœur du RGPD, une proportion inférieure à vingt pour cent en France et en Italie. À l’opposé, 27 pour cent n’ont entendu parler d’aucun de ces droits. Le Luxembourg fait plutôt bonne figure : 80 pour cent des sondés ont eu connaissance d’au moins un des droits et il figure ainsi dans les huit pays les mieux placés, mais loin derrière la Suède (89 pour cent) et surtout les Pays-Bas (95 pour cent).
La Commission européenne observe qu’un haut niveau de connaissance de l’existence du RGPD ne préjuge en rien d’une bonne connaissance des droits qu’il garantit. L’enquête a également révélé qu’une proportion importante d’Européens ont le sentiment de ne pas avoir de contrôle sur les informations qu’ils fournissent en ligne, c’est-à-dire qu’ils n’ont pas la capacité de les modifier, les rectifier ou les effacer. Seule une personne sur sept pense avoir un « contrôle complet », sans qu’il y ait d’ailleurs de lien avec leur niveau de connaissance du RGPD. En revanche trente pour cent estiment n’en avoir aucun.
Les Luxembourgeois sont de moins en moins nombreux à penser avoir un contrôle total (17 pour cent contre 22 en 2015) et de plus en plus à juger n’en avoir aucun (33 pour cent contre 26, quatre ans plus tôt). Une situation qui génère un haut niveau d’inquiétude : parmi ceux qui avouent avoir un contrôle partiel ou nul, soit plus de 80 pour cent des répondants, environ les deux tiers se disent préoccupés, mais ce pourcentage a baissé de cinq points depuis 2015.
Une des raisons possibles est la mauvaise information des Européens sur la collecte et l’usage ultérieur des données qu’ils fournissent en ligne. Un peu plus de la moitié seulement (57 pour cent) ont déclaré avoir reçu des explications à ce sujet, une proportion en hausse de quatre points en quatre ans, qui culmine à 71 pour cent chez les Britanniques ou 80 pour cent chez les Néerlandais, mais n’est que de 55 pour cent au Luxembourg.
Au Grand-Duché, une proportion élevée de répondants (30 pour cent, contre 21 en moyenne) n’a été concernée que « rarement ». Mais, heureusement, alors que treize pour cent des Européens répondent qu’ils n’ont jamais reçu d’informations, seuls dix pour cent des Luxembourgeois ont été dans ce cas.
Les sondés ne sont pas exempts de reproches : ainsi ils ne se donnent guère la peine de lire les « privacy statements » (déclarations de confidentialité) sur les sites qu’ils fréquentent. Treize pour cent les lisent en intégralité, mais 47 pour cent en partie et 37 pour cent jamais. Pour une fois les Luxembourgeois se distinguent défavorablement de la moyenne : ils ne sont que cinq pour cent à les lire entièrement et 47 pour cent jamais, et se classent ainsi à la 27e place de l’UE !
Au vu de ces résultats, la Commission européenne a décidé de lancer avec effet immédiat « une campagne de sensibilisation pour encourager les citoyens à lire les déclarations de confidentialité » mais n’évoque curieusement pas la nécessité pour les entreprises de les rendre plus attractives.
Réseaux sociaux
Environ deux tiers des membres de l’échantillon européen étaient des utilisateurs de réseaux sociaux. Parmi eux, plus de la moitié (56 pour cent) ont déjà tenté de modifier les paramètres de confidentialité de leur profil personnel par rapport aux paramètres par défaut définis sur le réseau, soit une diminution de quatre points depuis 2015. La raison la plus couramment citée pour ne pas le faire est la confiance accordée aux sites pour définir les paramètres de confidentialité appropriés (29 pour cent), mais 27 pour cent avouent ne pas savoir comment le faire et vingt pour cent ne s’inquiètent pas du partage de leurs données personnelles. Au Luxembourg, ces trois raisons sont citées respectivement par 26, 19 et 15 pour cent des sondés. La confiance accordée aux sites est en hausse de 16 points en quatre ans. Particularité du Grand-Duché : la raison citée en troisième position, par 18 pour cent de l’échantillon contre 14 au niveau européen, est le manque de temps. gc