Au début, on parvenait à bien distinguer les gens qui ne savent pas de quoi ils parlent à leur insistance à dire "la RGPD/la GDPR". Petit rappel 👇
Chacun-e, qu'il s'agisse d'individus, d'entreprises ou d'administrations,
/3
- harmoniser et consolider les cadres de protection des données à caractère personnel au sein de l'Union ;
- faciliter la
/4
Comme je disais, la situation est nuancée : il y a des attentes cohérentes avec les objectifs du texte et qui ont été remplies. Il y a aussi encore pas mal de place pr de l'amélioration. Regardons-y de plus près.
Note sur la forme :
/5
En 1er lieu, il y a eu énormément de sensibilisation de faite. Comme je le disais en début de ce thread,
/6
/7
Alors, je ne suis pas spécialiste du cadre de protection des DCP en Allemagne, mais il existe depuis avant la Loi informatique et libertés (LIL) :
/8
/9
Et d'ailleurs, les US ne sont pas en reste : même s'il y a une différence culturelle significative entre "notre" vision et la "leur", un encadrement existe depuis ... 1890. Je vous recommande
/10
Alors, non, la France n'est pas pionnière dans le domaine, même si l'apport reste majeur.
Quoi qu'il en soit, tout le monde a entendu parler du RGPD, alors que personne ou presque ne connaissait la LIL. Je ne suis pas
/11
/12
Beaucoup continuent à confondre anonymisation et pseudonymisation. Je rappelle qu'il y a de la doc sur le site du @LINCnil, par ex. linc.cnil.fr/fr/nouvelles-f… par Sieur @el_Reg himself ou encore
/13
/14
/15
Ainsi, ces confusions et cette ignorance continuent à perturber l'application du RGPD. Il y a beaucoup de plaintes mais nombreuses sont celles qui sont pointent vers des irrégularités mineures. Même si ça s'est pas mal calmé en 2020, j'avais mini 3-4
/16
/17
Les droits donnés par n'importe quelle loi ou n'importe quel règlement sont terriblement amoindris si les individus ne les connaissent pas et, donc, ne les mobilisent pas.
Et c'est là où on arrive à la question épineuse
/18
/19
Très tôt, dès 2018, la sanction a été vue par beaucoup comme la seule façon de forcer les organisations aux pratiques non-conformes de filer droit. Une telle approche éminemment répressive n'était pas du goût de tout le monde (moi y compris) :
/20
/21
Donc, dans la vraie vie des vraies organisations et de la vraie conformité,
/22
Mais insister que les sanctions sont la seule façon de rendre les orgas conformes à la
/23
Bien sûr, cela ne signifie pas qu'il ne faille pas taper sur les
/24
Je me souviens comment on était sur les dents, tous et toutes : qui sera celui qui prendra cher et fera un exemple ? Cela reste l'amende de 50 millions contre Google prononcée par la CNIL en janvier 2019.
Je me suis intéressée à l'état des lieux donc et ai fait
/25
/25
Voici donc :
- fig. 1 : les sanctions publiques d'un montant >100k € par an ;
- fig. 2 : les montants cumulés par an.
/26
- la bar chart montre une hétérogénéité forte dans la quantité de sanctions publiques prononcées (80 pr Espagne, les "gens de terrain" qui ont eu à gérer de la conformité hors FR ne seront guère surpris ; vs. 7 pour l'Autriche)
/29
- les bulles représentent les montants cumulés de sanctions (en €) pour le nombre donné de sanctions. On voit par ex. que les 80 espagnoles représentent 2,5M€ vs. 7 autrichiennes
/30
Toute cette
/31
/32
/33
Du coup, on est mauvais dans notre compréhension des efforts incrémentaux qui sont faits dans les organisations pour, d'une part, écluser le legacy et, d'autre part, veiller à
/34
/35
Ce que montrent également les quelques graphiques plus haut, c'est l'harmonisation toujours insuffisante des approches des Etats membres. C'est l'un des objectifs principaux du Règlement. Le RGPD étant d'application directe devrait permettre moins de
/36
L'harmonisation et le renforcement de la
/37
/38
Pour boucler la boucle,
/39
L'IA et les algorithmes ?
/40
/41
/42
/43
Beaucoup reste à faire. On attend que les investigations à l'encontre de Netflix (au Pays-Bas), d'Amazon et Paypal (établis au Luxembourg), de Twitter, FB et WhatsApp (par l'Irlande) soient finalisées et suivies d'effet. Il est trop tôt, au bout de
/44
/45
Et à dans 2 ans !
/FIN
- la version de "je ne peux pas, j'ai piscine" adaptée