RGPD : portée et limites

En 2018, le RGPD entrait en vigueur. Censé mieux protéger les ressortissants européens contre les gourmandises des multinationales du numérique en matière de données, le texte a pourtant une portée limitée et témoigne aussi des limites de l'influence européenne dans le système économique mondial.

En 2018, le RGPD entrait en vigueur. Censé mieux protéger les ressortissants européens contre les gourmandises des multinationales du numérique en matière de données, le texte a pourtant une portée limitée et témoigne aussi des limites de l'influence européenne dans le système économique mondial.

La protection des données a une histoire plutôt récente. Celle-ci a été consacrée et s'est étoffée dans une période allant de 1978 (loi Informatique et Libertés) à 2018 (adoption du règlement général sur la protection des données - RGPD). La dynamique de protection des données a été étroitement corrélée à l'émergence des nouvelles technologies de l'information et la communication (NTIC) et leur appétence pour la collecte et le traitement d'informations sur les individus. 

Histoire de la protection des données : de la loi Informatique et Libertés au RGPD 

Comme évoqué ci-dessus, deux textes majeurs ont marqué l'histoire de la protection des données personnelles : la loi Informatique et Libertés du 20 janvier 1978 et le règlement général sur la protection des données du 27 avril 2016 (RGPD).

La loi Informatique et Libertés, Affaire Safari et grand revirement 

La loi Informatique et Libertés a été adoptée suite à l'affaire Safari, du nom d'un système automatisé à grande échelle qui avait pour ambition d'interconnecter toutes les bases de données de l'administration et permettre le développement d'un fichier unique pour un tas de finalités différentes et avec pour identifiant principal : le numéro de sécurité sociale. Le projet, décrié du fait de l'importance quantitative des informations personnelles traitées et l'absence de cloisonnement dans l'accès aux systèmes d'informations (disons que, schématiquement, le fisc aurait pu avoir accès à vos bulletins scolaires), a été retiré rapidement. Suite à cette affaire, le gouvernement d'époque a donc pris le chemin inverse du Big Data administratif en adoptant la loi Informatique et Libertés et en instituant la toute première autorité administrative indépendante, la CNIL (Commission Nationale Informatique et Libertés). La loi Informatique et Libertés a été la première à conférer des droits aux personnes dans le traitement de leurs données : droits d'accès aux données, droit de rectification, droit à l'effacement, droit de saisir la CNIL, etc. 

L'UE, à la recherche d'une méthode législative pour protéger les données personnelles 

Du fait d'une intensification des échanges sur le marché européen et en vue d'une plus grande intégration des économies des Etats-membres, l'Union Européenne a trouvé également bon de régir à son niveau la question de la protection des données personnelle. L'organisation internationale sui generis s'est donc permise de formuler quelques règles communes en matière de protection des données afin de faciliter les échanges entre les Etats-membres. En effet, il ne faudrait pas que les règles des Etats en matière de protection des données puissent constituer un frein aux échanges économiques. Un premier texte majeur émerge dans les années 1990. Une directive 95/46/CE du Parlement et du Conseil de l'UE vient poser des principes communs à tous les Etats-membres pour la protection des données des ressortissants européens. Ce texte est l'ancêtre du RGPD et reprend à son compte l'essentiel de la loi Informatique et Libertés, mais son principal défaut est d'avoir eu une portée plus limitée que son successeur. En effet, lorsque l'UE adopte des directives, les Etats-membres ont un délai (souvent important) pour transposer le texte dans leurs droits internes et la directive n'a en principe pas d'effet direct. Notamment, un ressortissant européen ne peut l'invoquer à l'encontre d'un autre ressortissant (organisme, entreprise ou particulier). En 2015/2016, lors des débats sur le RGPD, certains Etats-membres n'avaient pas transposé la directive 95/46/CE dans leurs systèmes juridiques respectifs, et même quand le texte était transposé, il apparaissait parfois grossièrement amputé de certains principes et règles clef. 

Le RGPD, adopté en 2016 et entré en vigueur le 25 mai 2018, vient résoudre le problème de la transposition de la directive 95/46/CE et constitue une vraie  "Déclarations des droits" en ce qui concerne les données personnelles. Un règlement  européen étant normalement d'applicabilité directe dès son entrée en vigueur et dans l'ensemble du territoire de l'UE, le texte même du RGPD est donc applicable dans toutes les juridictions des Etats-membres de l'UE (avec quelques petites exceptions pour les territoires ultramarins). 

Le RGPD : un système de protection ambitieux 

A la question de savoir qu'est-ce que la protection des données consacrée solennellement par le RGPD, la réponse n'est pas si évidente. En effet, ce texte de 99 articles est un dispositif juridique hétérogène. Ce dernier reconnaît aussi bien des droits individuels (droit d'accès aux données, le droit à la rectification ou la modification des données, le droit à la suppression des données (ou droit à l'oubli), le droit à l'information et la transparence en matière de traitement de données, le droit de consentir préalablement à certains traitements de données, etc.) qu'il formule des obligations spécifiques pour les entités économiques qui mettent en oeuvre des traitements de données personnelles : obligation de confidentialité et sécurité, obligation d'information des personnes, obligation de désigner un délégué à la protection des données...

Il institue aussi un certain nombre d'obligations pour les Etats-membres, notamment celle de se doter d'une autorité de contrôle de la protection des données (des "CNIL"). 

Lors de son entrée en vigueur, le RGPD a été une forme de "superstar" du droit européen, tant la communication des médias et de la presse à son sujet a été forte (beaucoup plus que l'ensemble des textes européens, hormis peut-être la "Directive Services" de 2006) Il est vrai que le texte consacre quelques avancées intéressantes.

Par exemple, il permet aux utilisateurs d'outils numériques (sites, réseaux sociaux, etc) de pouvoir formuler plus explicitement leur consentement aux traitements dont ils peuvent faire l'objet, par exemple : tout ce qui est statistiques analytiques, les cookies publicitaires et autres cookies commerciaux, cookies de connexion et d'utilisation, etc. D'ailleurs, tout le monde a remarqué les pages pop-up de plus en plus fournies et que l'on doit valider par un "clic" avant d'accéder à certains sites internet (j'en suis sûr que vous ne lisez pas tout, moi non plus). Désormais, si vous ne répondez pas, les sites n'ont pas le droit de traiter des données sur vous hormis des données purement techniques. En revanche, ils pourront toujours vous refuser l'accès au site si vous ne consentez pas à leurs conditions de traitement. 

Aussi, le RGPD a consacré de nouveaux droits : le droit à l'oubli (c'est-à-dire, à l'effacement irréversible de nos données personnelles dans une base de données), le droit de formuler des directives sur l'utilisation post-mortem de nos données, le droit de s'opposer à des traitements mis en oeuvre pour des missions d'intérêt public, etc.

Le RGPD et la realpolitik : GAFAM et autres BATX

Malgré les avancées juridiques en matière de protection des données dans la zone UE, il est encore aujourd'hui difficile de dresser un état des lieux sur la réelle efficacité du RGPD, et on peut avoir de sérieux doutes sur l'ambition du texte, au regard de la réalité des pratiques en matière de traitement de données, notamment à l'heure d'une numérisation croissante de la vie sociale (d'autant plus dans le monde post-covid) et surtout, au regard de la mondialisation numérique. 

Certes, les autorités européennes ont plusieurs fois clarifié leur position sur les transferts de données hors de l'UE : ceux-ci doivent être particulièrement encadrés mais l'idéal serait que les acteurs européens ne confient plus les données personnelles qu'ils collectent à des organismes extra-UE (notamment pour le stockage - c'est la "souveraineté des données"). L'invalidation par la Cour de Justice (de l'UE) du Privacy Shield (qui permettait les échanges de données entre l'UE et les Etats-Unis) en est le point d'orgue.

En effet, la question de la souveraineté de l'UE sur les données personnelles de ses citoyens a fait l'objet d'intenses débats. Il faut rappeler que la plupart des fournisseurs de services numériques se trouvent outre-Atlantique et sont soumises à diverses lois américaines assez peu compatibles avec les mécanismes de protection des données européens (le Patriot Act, ou plus récemment le Cloud Act en sont des exemples extrêmes). Dans ce contexte, beaucoup de critiques ont émergé. Ainsi, imposer des contraintes juridiques complexes aux entreprises européennes pour transférer des données personnelles ("ressources" particulièrement fructueuses) hors UE,  n'est-ce pas plomber leur activité dans le jeu économique mondial ? D'autant que certaines bénéficiaient énormément des services d'entreprises américaines de retraitement de données personnelles. Le RGPD, en imposant aux entreprises des contraintes et formalismes juridiques nouveaux (notamment en terme d'organisation : désigner un délégué à la protection des données, le principe de "privacy by design", régir la question des données dans chaque contrat entre responsable et sous-traitants, etc), risquerait également de peser sur la compétitivité et l'innovation. Sur ce dernier point, les organismes et entreprises de développement technologique se verraient en effet "privés" d'une ressource précieuse, et auraient du mal à répondre à leurs besoins en données personnelle, ressource importante pour développer tout ce qui a trait à l'Intelligence Artificielle et autres technologies d'"Assistance Personnelle".

Par ailleurs, une critique adressée au législateur du RGPD est qu'il n'aurait pas saisi l'occasion d'une révolution juridique en consacrant le caractère patrimonial de "la donnée personnelle". L'idée serait en effet que la donnée personnelle puisse être un bien comme un autre, susceptible d'être vendu, cédé, ou valorisé. En effet, aujourd'hui, la donnée personnelle échappe au régime du droit de la propriété tout comme le corps humain est considéré comme un objet "hors marché", par exemple. 

En 2018, beaucoup d'entreprises et organismes européens étaient inquiets de l'entrée en vigueur du RGPD, et avouaient avec franchise ne pas être en conformité et ne pas pouvoir l'être avant longtemps. 

Si on évalue l'état d'esprit sur le sujet aujourd'hui, il me semble que l'inquiétude s'est légèrement dissipée (il y a pire effectivement : la Covid-19 et sa crise économique).

La CNIL a prononcé quelques sanctions "impressionnantes" mais souvent dirigées vers des entreprises "aux reins solides" (100 millions d'euros d'amende pour Google, notamment). Si beaucoup d'organismes se sont plaints du coût organisationnel engendré par le texte et de l'impact défavorable qu'il avait sur leurs activités (notamment les entreprises du numérique), la CNIL répond être indulgente pour l'instant.

Pour autant, côté droits des individus, et si on fait le bilan, le RGPD n'a pas été la révolution promise pour la protection des données, et les données des européens circulent toujours massivement vers les états-tiers de l'UE : Etats-Unis et Chine en tête. Pour se représenter, si demain les entreprises des NTIC américaines décident de construire un prototype de clones électroniques (un peu près) à votre image et avec quelques similitudes mentales, elles le pourraient. 

Beaucoup d'outils que nous utilisons et auxquels nous sommes dépendants sont encore hébergés et/ou sous-traités aux Etats-Unis. Les moteurs de recherche, les applications-stars et les réseaux sociaux ne se sentent plus vraiment en difficulté quand il s'agit de défier le RGPD.  Du côté européen, les entreprises et organismes ne jouent pas le jeu de "la transparence" prescrite par l'article 5 du RGPD et envoient probablement toujours un tas de données vers des prestataires analytiques bon marché et hors UE. 

Alors que beaucoup de personnes s'imaginent que le RGPD est le symbole d'"une balle dans le pied" pour l'économie européenne, force est de constater qu'il s'agit en réalité d'un texte qui ne va pas assez loin dans la protection des citoyens européens.

Si les entreprises internationales établies hors de l'UE sont normalement soumises au RGPD dans leurs activités auprès des ressortissants européens, aujourd'hui, elles ne risquent "plus grand chose" et les GAFAM, au jeu du bras de fer, ont des armes redoutables pour faire pression (à l'image d'un Facebook qui menace l'Australie de priver ses habitants de certains services si le pays décide de ne pas retirer un projet de loi sur l'obligation de rémunération des médias pour reprise de contenus dans le fil actualité du réseau social). Les autorités de contrôle européennes savent qu'il est difficile de limiter les appétits ou de sévir et prononcer des sanctions exemplaires. Leurs alertes et mises en demeure sont une aiguille dans une motte de foin pour les grands acteurs du numérique mondial. 

Dans un monde où la place de certaines marques de réseaux sociaux ou applicatifs numériques ont un pouvoir d'attraction grandissant sur les populations (Facebook, Google, Amazon, Twitter, Uber, etc.), et quand toute volonté d'encadrement de ces outils par la réglementation donnent lieu à des menaces de ceux qui les tiennent, l'équation à résoudre pour les autorité n'apparaît plus si simple. Si demain Google et Facebook ne servent plus leurs services en France, que se passerait-il ? Les concurrents européens (s'ils existent) profiteraient t'il d'un nouveau marché et tout irait bien dans le meilleur des mondes ? Ou les citoyens se rebelleraient-ils plutôt contre l'Etat ou l'organisation qui les prive de leurs applicatifs préférés ?

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.

L’auteur·e a choisi de fermer cet article aux commentaires.