Protection des données : l’Europe complique la vie des entreprises sans garantie pour l’objectif recherché

La donnée personnelle est un sujet compliqué. Les procédés de collecte industrielle, démocratisés avec Internet et l’informatique, font peser une menace effective sur les libertés individuelles. L’univers 1984 n’est pas loin…

Dans le même temps, la donnée personnelle est devenue un enjeu économique colossal. L’utilisation commerciale des données, surtout celles qui sont collectées par les réseaux sociaux, représente un marché désormais essentiel dans l’économie mondiale de marché. 

On mesure tout de suite la difficulté d’édicter des règles satisfaisantes qui combinent, pour le seul territoire de l’Union Européenne, une protection suffisante des libertés individuelles sans entraver de façon excessive la liberté commerciale des start-up qui se consacrent à cette activité. S’agissant de l’Union Européenne, le problème est d’autant plus compliqué qu’il faut éviter d’établir de trop grandes distorsions avec le pays qui a dépassé la frontière technologique sur ces sujets: les États-Unis. 

Protection des données personnelles, entrave à la concurrence

Un secteur concentre la férocité de la concurrence dans le domaine des données personnelles: la santé. C’est dans ce domaine, très prisé de l’Internet des Objets, que le sémillant Bruno Le Maire avait par exemple annoncé que la France investirait.

Bon, la promesse ne sera pas vraiment tenue, puisque le RGPD a largement balayé le champ des objets connectés. Selon le règlement européen, en effet, les données de santé désignent aussi celles qui proviennent d’un dispositif médical. Le traitement des données est lui-même défini de façon très large:

"Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction"

Bref, le règlement a « réglementé » l’ensemble de l’Internet des Objets que Bruno Le Maire voulait, paraît-il, porter au pinacle de la réindustrialisation française. Il va sans dire que cette réglementation vaut pour l’Europe et pas pour les États-Unis.

La protection des données personnelles comme barrière à l’entrée

Le principe général du règlement est celui du consentement exprès des personnes. D’où l’édiction d’une règle générale: toute collecte des données doit être précédée par un consentement exprès du « client » à cette collecte. Le règlement formule ce principe autour de trois notions fondamentales: licéité, loyauté, transparence.

Autrement dit, un opérateur ne peut utiliser les données d’une personne sans qu’elle n’en connaisse exactement la destination et les conditions. 

Pour l’industrie de l’objet connecté, l’entrave est forte sur le sol européen. Ses acteurs ne se sont pas trompés en condamnant cette restriction majeure à leur activité. 

L’Union Européenne voudrait vivre dans l’Internet des Objets le même désastre que dans les moteurs de recherche, elle ne s’y prendrait pas autrement. 

Comment la France protège ses rentiers contre le RGPD

La France a décidé d’accompagner le règlement (d’application directe, rappelons-le, contrairement aux directives) d’une loi de transposition. La méthode paraît curieuse puisqu’un règlement se suffit à lui-même. 

C’est en lisant les débats à l’Assemblée Nationale qu’on comprend pourquoi la France s’offre ce luxe de sur-transposition (au demeurant, vieille tradition française qui utilise souvent le droit communautaire comme levier pour entraver la libre concurrence sur son sol). Le texte prévoit notamment un article 13 qui fixe la liste des organismes non concernés par le RGPD.

Comme par hasard, cet inventaire exonère les associations, les médecins, les administrations et… la sécurité sociale de l’obligation de donner un consentement aux personnes dont les données sont collectées. On ne pouvait imaginer meilleure distorsion de concurrence entre les anciens acteurs de la santé et les nouveaux. 

Des petits conflits d’intérêt chez LREM?

Au passage, les esprits vicieux noteront que l’une des rapporteuses du texte est Albane Gaillot, députée marcheuse et ancienne salariée d’un organisme complémentaire de sécurité sociale. C’est probablement sans lien si, en dernière minute, le gouvernement a présenté un amendement accordant aux organismes complémentaires la même exonération qu’à la sécurité sociale. 

La majorité devrait se méfier de ce genre d’opérations. Un jour, tout cela lui jouera un vilain tour. 

Des barrières à l’entrée pour les start-up

Résumons, donc! l’Union Européenne édicte un règlement qui protège les données personnelles. La France adopte une loi qui exonère ses propres acteurs obsolètes de son application. En revanche, elle y soumet les start-up.

Le monde nouveau est en marche!