Données personnelles : le RGPD fête ses 5 ans, quel bilan ?

Atlantico : Le RGPD fête ses 5 ans d'existence cette semaine. Pouvez-vous nous rappeler très rapidement quels en sont les grands principes. 

Julien Pillot : Le RGPD est le règlement qui vise à encadrer la façon dont les organisations doivent traiter les données personnelles au sein de l’Union Européenne. Au titre de ce règlement, toute organisation publique ou privée, quelle que soit sa taille, la nature de son activité, ou sa nationalité, doit s’astreindre à assurer la protection des données personnelles en leur possession, qu’elle se charge elle-même du traitement ou qu’elle le confie à un sous-traitant. Cela inclut un certain nombre de principes tels que le respect du consentement en matière de collecte de données (qui doivent être d’ailleurs limitées à celles qui sont strictement nécessaires à l’exercice de l’activité de l’entreprise), la transparence envers les utilisateurs et les parties prenantes, la fixation de durées de conservation raisonnables, et bien évidemment l’anonymisation et la sécurisation des données collectées et stockées. En cas de défaut de conformité au RGPD, les Cnil européennes ont à leur disposition tout un arsenal de sanctions, pécuniaires bien sûr (elles peuvent aller jusqu’à 4% du CA mondial pour les infractions les plus graves ou répétées), mais aussi administratives (visant à modifier le comportement des entreprises, voire à interdire leurs services sur le territoire européen ou un des Etats membres) et pénales (jusqu’à 5 ans d’emprisonnement).      

Quelles sont les leçons à tirer des cinq années de réglementation de la manière dont les entreprises utilisent les données des personnes ? Quels sont les échecs et la réussite de ce règlement ? Concrètement, le Règlement général sur la protection des données a-t-il tenu ses promesses ? 

Parmi les plus grandes réussites du RGPD, comment ne pas citer l’harmonisation européenne que celui-ci a permis ? Ce cadre unifié renforce à la fois la sécurité juridique des acteurs, qui n’ont plus à « jongler » entre différentes réglementations nationales hétérogènes, et l’efficacité de l’instruction. Une autre grande réussite du RGPD est d’avoir mis un coup de projecteur bienvenu sur les problèmes de respect de la vie privée et de cybercriminalité qui naissent de la numérisation de nos sociétés. Au-delà de l’effort pédagogique autour du droit fondamental à la vie privée qui a été bénéfique à tous, entreprises comme citoyens, cela a surtout permis de responsabiliser les entreprises et de conférer de nouveaux droits aux utilisateurs (droit d’accès, de rectification, d’effacement, d’opposition ou de portabilité, par exemple). Un service tel que Google Analytics, par exemple, a été progressivement interdit par les différentes Cnil européennes au titre de l’absence de conformité au RGPD. Et c’est une bonne chose en matière de libertés publiques et de respect de la valeur patrimoniale des données personnelles qu’une entreprise ne dispose pas d’une connaissance totale de la vie privée des citoyens, de leurs agissements, déplacements, croyances ou préférences de consommation. 

J’ajouterais qu’à mon sens, la plus grande réussite du RGPD est de positionner l’UE comme puissance normative puisque, depuis son introduction, elle pousse de nombreuses juridictions étrangères à s’adapter. L’Argentine, le Japon, la Corée du Sud, le R-U ou encore la Nouvelle-Zélande se sont mis en conformité. D’autres, comme la Chine ou certains Etats des USA tels que la Californie, se sont inspirés du RGPD pour légiférer en matière de protection des données. Et même si un long chemin reste à accomplir, notamment sur les questions de transferts de données, cela reste la grande réussite de ce règlement.  

Une réussite qui, certes, n’est que partielle dans la mesure où, il est vrai, que pour l’heure, la capacité des autorités de protection des données à instruire des dossiers se heurte à des difficultés tant techniques qu’humaines et temporelles. De plus, si les premières sanctions pour violation du RGPD sont loin d’être anodines, elles restent pour l’heure essentiellement pécuniaires. Dit autrement, elles n’obligent pas encore les acteurs à réellement modifier leurs comportements, à plus forte raison que les plus grosses entreprises savent parfaitement faire durer les procédures pour retarder les échéances, qu’il s’agisse de s’acquitter de sanctions financières (ce qui leur laisse le temps de provisionner), ou de bénéficier le plus longtemps possible des avantages induits de leurs comportements en violation du RGPD.  

Pour finir de nuancer le tableau, j’aimerais citer les résultats de deux études récentes. La première, universitaire (Nouwens et al), montrait qu’en 2020, 90% des plateformes de recueil de consentement opérant en Grande Bretagne, en rendant volontairement difficile le refus de céder des cookies aux entreprises, n’étaient pas en conformité avec les conditions minimales du RGPD. Même si des progrès ont été accompli depuis (sous la contrainte), la pratique n’a pas encore été parfaitement annihilée. La seconde, publiée le 15 mai par le Conseil irlandais pour les libertés civiles, mettait notamment l’accent sur la réticence, ou l’incapacité, des autorités européennes à prononcer des sanctions pour des infractions au RGPD. Ainsi, selon cette étude, entre mai 2018 et décembre 2022, les Cnil européennes auraient instruit près de 400 dossiers, pour seulement 49 mises en demeure et 28 amendes prononcées. A mon sens, le temps de la pédagogie – pour les plus grandes entreprises – est révolu, et si l’UE se veut normative, elle devra pouvoir s’appuyer sur des autorités de protection des données en capacité de se montrer nettement plus intransigeantes à l’avenir. C’est en cours ! En 2022, ce sont 2,92 milliards d’euros d’amendes qui ont été prononcées par l’ensemble des Cnil européennes, en augmentation de 168% par rapport à 2021.  

Meta a été condamné à une amende record cette semaine. Dans les faits, le RGPD arrive-t-elle à imposer réellement ses sanctions aux GAFAM ? Dans quelle mesure, le RGPD a-t-il créé des distorsions de concurrence, notamment au détriment des petits acteurs européens et les GAFAM ? 

Commençons par rappeler que le RGPD concerne toutes les entreprises. Mais bien évidemment, de par leur taille, la nature tentaculaire et parfois sensible de leurs activités, ainsi que l’hégémonie technique et économique dont elles disposent, les géants de la tech, et notamment les GAFAM, font l’objet d’une attention toute particulière. Les différentes sanctions qui ont été prononcées à l’encontre de Meta pour manquement au RGPD, qui représentent en cumulé plus de 2,5 milliards d’euros, ou celles visant à proscrire l’utilisation de Google Analytics que j’ai pu souligner plus en amont dans cet entretien, en sont les meilleures illustrations. Amazon avait également écopé en 2021 d’une amende de 746 millions d’euros. Microsoft, quant à elle, a été sanctionnée par la Cnil en 2022 à hauteur de 60 millions d’euros pour ne pas avoir permis aux utilisateurs de son moteur de recherche Bing de refuser simplement les cookies. Aujourd’hui et demain, ce sont les tous les services autour de l’IA, mais aussi des réseaux sociaux tels que TikTok qui font et feront l’objet d’une surveillance accrue. 

Si ce constat est a priori défavorable aux géants de la tech – GAFAM en tête -, tout n’est pas si simple. Tout d’abord, parce que ces entreprises disposent de toutes les expertises juridiques pour déjouer, ou tout le moins, retarder considérablement les procédures et la mise en application des sanctions. Ensuite, parce que la mise en œuvre du RGPD exige des entreprises qu’elles modifient leurs pratiques, parfois en profondeur. Or, les géants de la tech, non seulement disposent de moyens techniques et financiers tels qu’une adaptation leur est moins douloureuse relativement à des entreprises de taille modeste, mais en outre dispose de l’expertise technique liée à la mise en conformité… qu’elles peuvent vendre aux entreprises de taille modeste. Enfin, un cas problématique – et emblématique – découlant de la mise en œuvre du RGPD concerne la question de la gestion des cookies tiers, ces petits mouchards qui permettent d’identifier les internautes et de traquer leur activité, parfois d’un site à l’autre. Ces cookies sont largement utilisés par les opérateurs de sites web à des fins de ciblage publicitaire, qui constitue pour certains sites (notamment dans l’édition) une source substantielle de revenus. Si les GAFAM, Alphabet en tête (eu égard à son programme Privacy Shield, le groupe prévoit de supprimer les cookies tiers de son navigateur Google Chrome à la mi-2024), poussent à leur extinction, c’est parce qu’ils maîtrisent les nouvelles méthodes de ciblage qui garantissent la confidentialité des utilisateurs. Ce n’est pas nécessairement le cas des plus petits opérateurs pour qui l’adaptation sera probablement plus coûteuse et complexe. Le mouvement est quoi qu’il en soit déjà enclenché : selon une étude menée par la Cnil sur les 1000 sites français à plus forte audience entre janvier 2021 et août 2022, seuls 12% des sites déposent plus de 6 cookies tiers (contre 24% auparavant), et ils sont désormais 29% à ne pas en déposer du tout (contre 20% auparavant). En moyenne, le nombre de cookies tiers déposés n’est plus que de 2,5 en fin d’étude, contre 4 en début d’étude.  

Peut-on dire que le RGPD a pu contribuer à garantir la souveraineté des données des Etats et citoyens européens ? 

Assurément, mais tout est loin d’être parfait. Par exemple, les débats transatlantiques tournent aujourd’hui largement autour de la possibilité de limiter ou d’interdire les transferts hors UE de données relatives à des citoyens européens. Inutile d’être grand sage qu’une telle disposition est quasiment impossible à faire observer sur le plan technique. Il s’agit donc d’inciter soit les juridictions étrangères à modifier leur cadre légal de protection des données de façon à le rendre conforme au RGPD, soit d’inciter les entreprises à modifier leurs comportements et à localiser leurs serveurs en Europe (ce qui est d’ailleurs imposé en Russie ou en Chine). C’est en cela que les sanctions financières dissuasives prennent tout leur sens. Plus ces sanctions se feront fréquentes et importantes, et plus les entreprises en quête de rationalité économique et de sécurité juridique feront pression sur leurs régulateurs pour modifier le cadre de protection des données. Ce n’est pas un hasard si les GAFAM sont devenus, ces dernières années, des avocats de la mise en œuvre d’un équivalent du RGPD aux Etats-Unis.  

De manière générale, les politiques publiques européennes doivent absolument veiller à ce que les données personnelles des citoyens européens cessent d’être absorbées par des intérêts étrangers, à plus forte raison quand il s’agit de données sensibles (administrations et entreprises), ou permettant le fichage des citoyens, notamment les plus jeunes. Mais face à un sujet aussi stratégique et complexe, il est essentiel que la réflexion, et l’action, se réalisent au niveau européen, plutôt qu’au niveau de chaque Etat membre. Seule l’Europe peut nous permettre de peser sur le plan normatif, de faire valoir un rapport de force sur le plan économique, et de penser des solutions dédiées à la souveraineté à l’échelle industrielle. Même si cela peut prendre du temps. L’obligation de sécurité physique et numérique qui concerne les opérateurs et les systèmes d’information critiques en est une parfaite illustration. Il aura fallu attendre la fin de l’année 2022, après deux ans de discussions, pour que l’UE se dote d’un texte à la hauteur des enjeux de cybersécurité actuels. Le temps de transposer ce texte au niveau de chaque Etat membre, on peut tabler sur une mise en application à horizon 2025. Presque une éternité à l’échelle du numérique…