Le RGPD bâti un cadre juridique sans équivalent sur la planète, par l'ampleur des obligations qu'il impose aux entreprises, et l'ampleur des droits qu'il garantit aux internautes.

Il s'est imposé comme une référence mondiale en la matière, conduisant bon nombre de pays à l'extérieur de l'Europe à accélérer leurs propres travaux sur ce sujet.

La Californie, la Mecque de la numérisation de l'économie, est en train d'adopter une législation stricte sur les données personnelles.

En Asie, le Japon a complété sa législation pour arriver à un niveau équivalent au RGPD.

Les entreprises européennes, mais aussi des entreprises extra-européennes, ont dépensé des centaines de millions d'euros pour remettre de l'ordre dans leurs tentaculaires flux de données.

Données "dupliquées dans tous les sens"

"Beaucoup d'entreprises se heurtent à un problème majeur: leur système d'information a été conçu autour de services à rendre, mais pas autour de la donnée. Celle-ci est dupliquée sans arrêt dans tous les sens, envoyée chez des multitudes de prestataires et des fournisseurs..." explique à l'AFP Gérôme Billois, du cabinet Wavestone.

Aujourd'hui, "31% des entreprises n'arrivent toujours pas à mettre en place le droit à l'oubli" (droit à l'effacement des données personnelles prévu par le RGPD) "parce qu'elles ne savent pas avec précision où se trouvent ces données", explique-t-il.

"On commence maintenant à rentrer dans l'opérationnel" de la mise en œuvre du RGPD, confirme de son côté Jean-Michel Franco, directeur marketing produit de l'éditeur de logiciels français Talend.

Parmi les secteurs les plus marqués par l'entrée en vigueur du RGPD, celui de la publicité ciblée, où des entreprises collectent des données personnelles à grande échelle pour pouvoir viser directement les consommateurs qui les intéressent.

Saisissant les armes fournies par le RGPD, la Cnil, le gendarme des données français, a sommé quatre start-up françaises (Fidzup, Teemo, Singlespot, Vectaury) de revoir la manière dont elles recueillaient le consentement des internautes.

Teemo par exemple a négocié avec le gendarme des données un nouveau bandeau de demande d'autorisation d'utilisation des données personnelles. La société craignait que les internautes ne veuillent plus partager leurs données avec ces nouveaux bandeaux, mais les taux d'acceptation finalement restent élevés, proches de 70% en moyenne, affirme Benoit Grouchko, son directeur général.

145.000 plaintes

"Sur la deuxième moitié de l'année 2018, le marché" du ciblage publicitaire "a beaucoup souffert" du fait des incertitudes liées à l'application de la nouvelle législation, explique-t-il, ajoutant avoir retrouvé le niveau de chiffre d'affaires constaté avant l'entrée en vigueur du RGPD.

Du point de vue du consommateur, le constat est moins optimiste.

De nombreuses ONG de défense des droits des internautes estiment que les objectifs du RGPD sont très loin d'être atteints.

Bien souvent, expliquent-ellles, les utilisateurs continuent de donner le feu vert à l'utilisation de leurs données personnelles d'une manière qui n'est ni "libre", ni "éclairée", comme le demande le texte européen.

Beaucoup d'internautes cliquent "oui" pour le partage de leurs données, parce que cliquer "non" ou demander "plus d'informations" les égare dans un labyrinthe de questions et de renvois de page en page, toutes plus incompréhensibles les unes que les autres.

Au moins le RGPD donne-t-il aux citoyens des moyens juridiques d'agir contre les entreprises. Dans l'Union européenne, 145.000 plaintes pour violation du texte ont été déposées depuis un an, selon la Commission européenne.

Si une seule sanction d'importance a été prononcée (50 millions d'euros d'amende contre Google infligée par la Cnil), d'autres pourraient suivre prochainement, a estimé la commissaire européenne à la Justice Vera Jourova.

Une dizaine de "gros dossiers" sont actuellement à l'instruction dans l'UE, a-t-elle affirmé.

Par Laurent Barthelemy