Le règlement général sur la protection des données (RGPD) est la loi sur la confidentialité des données la plus complète et la plus intrusive au monde. Il s’applique à toutes les entreprises de l’Union européenne (UE) qui traitent des données de consommateurs résidents de l’UE, quels que soient leur taille, leur secteur d’activité ou leur lieu d’origine. Cette législation a été incluse dans toutes les lois locales sur la protection de la vie privée dans l’ensemble de l’UE et de l’Espace économique européen (EEE).
Le RGPD est entré en vigueur en 2016 après avoir été adopté par le Parlement européen, et en mai 2018, l’Union européenne a commencé à l’appliquer. Ses règles couvrent pratiquement toutes les données qu’une entreprise peut recueillir sur n’importe quelle plateforme en ligne et qui pourraient être utilisées pour identifier une personne. Elles incluent également les informations fréquemment demandées par les sites web, telles que les adresses IP, les adresses électroniques et les informations sur les appareils physiques. Les amendes pour non-conformité ou violation de la vie privée peuvent aller de 20 millions d’euros à 4 % du chiffre d’affaires d’une entreprise, selon la taille de l’entreprise ou encore sa plus ou moins bonne foi en matière de sécurisation des données qu’elle collecte.
Cette réglementation, que l’on qualifie de « descendante », gagne du terrain dans le monde entier. Aujourd’hui, 17 pays hors de l’UE, tels que la Chine, l’Inde, le Japon et le Brésil, se sont inspirés du RGPD pour promulguer leur règlement sur la confidentialité numérique.
Quelle que soit la position de chacun sur le sujet, il y a des raisons de se demander si la réglementation descendante est la meilleure manière de le traiter.
Les conséquences involontaires de la réglementation descendante
La protection des données et de la vie privée est bien sûr essentielle, mais les normes du RGPD sont si lourdes, complexes et ambiguës que les inconvénients, notamment les coûts de mise en conformité, dépassent considérablement les avantages et ont de multiples conséquences imprévues. A cause de ces coûts, de nombreuses entreprises de différents secteurs ont dû mettre fin à leurs activités dans l’UE.
Le RGPD a renforcé les plus grands acteurs : Google, Facebook et Amazon ont augmenté leur part de marché dans l’UE depuis son adoption. Ce sont les petites et moyennes entreprises (PME) qui ont le plus souffert. Selon une enquête, les PME et les entreprises technologiques ont, elles, perdu jusqu’à un tiers de leur part de marché.
Ce n’est pas une surprise pour ceux qui suivent la question d’un peu près. Les grandes entreprises adorent les réglementations gouvernementales et peuvent même voir dans le RGPD un outil qui les protégera de la concurrence.
En outre, le RGPD a bel et bien étouffé la liberté de parole et d’expression. Plus de 1 000 sites d’information dans l’UE ont été mis hors ligne depuis sa mise en œuvre.
Les consommateurs peuvent estimer que c’est le prix à payer pour une meilleure protection de leur vie privée, mais sont-ils réellement plus en sécurité ?
En fait, non. Le RGPD crée des risques d’usurpation d’identité et de fraude en ligne. Il prétend donner aux utilisateurs le contrôle de leurs données en rationalisant leurs demandes mais, comme il ne prévoit pas de les identifier, il donne aux pirates et aux voleurs d’identité la possibilité de voler des données. Il est devenu plus difficile de surveiller et de coincer les cybercriminels. Le détail des enregistrements de domaines web, tels que le nom, l’adresse et le numéro de téléphone du propriétaire, ont été essentiels pour relier les sites malveillants aux pirates. Malheureusement, ce processus n’a pas été prévu par le RGPD, le règlement se focalisant sur la protection des données des consommateurs plus que sur la lutte contre les activités criminelles en ligne. Les entreprises sont désormais tenues de créer des pools de données pour répondre aux demandes des clients, de vrais viviers pour les cybercriminels.
Une approche ascendante : le rôle des technologies innovantes et de l’éducation pour une meilleure confidentialité en ligne
La réglementation en matière de protection des données vise le marché pour produire des résultats formatés et nécessite l’intervention des pouvoirs publics pour en assurer la conformité. L’innovation peut mettre au point de meilleures techniques, sans jamais intenter à la vie privée des clients. Ainsi que de nombreux exemples en témoignent, souplesse et inventivité sont essentielles pour forger des logiciels et des systèmes plus efficaces, qui protègent les données, respectent la vie privée et fournissent un bel atout aux entreprises vis à vis de la concurrence. Selon une enquête menée auprès de 800 entreprises par l’International Association of Privacy Professionals, les politiques de protection de la vie privée sont plus élaborées dans les secteurs traditionnellement moins réglementés que dans ceux qui obéissent à la lettre aux exigences législatives.
En outre, la responsabilité de la vie privée numérique ne devrait pas incomber en totalité aux entreprises technologiques. Après tout, chacun est responsable de son comportement dans la vraie vie et il ne serait pas anormal de considérer qu’il devrait en être de même en ligne. Mais… les râleurs qui se plaignent de la collecte et de l’utilisation de leurs données par les entreprises numériques sont aussi, souvent, ceux qui cliquent sur le bouton « accepter » sans réfléchir. Avant de réclamer une réglementation pour interdire la collecte de données partout dans le monde, mieux vaudrait faire l’effort d’examiner de près les services que l’on utilise.
Dans le « scandale » Facebook-Cambridge Analytica par exemple, Facebook a fait valoir que Cambridge Analytica n’avait fait qu’exploiter les informations que les utilisateurs avaient eux-mêmes autorisé à fournir en signant l’accord d’utilisation. En somme, un cas classique de citoyens et de législateurs tentant de pénaliser une société privée dont ils n’avaient pas lu les conditions générales.
L’éducation, plutôt que la réglementation, doit jouer un rôle central pour aider les utilisateurs à protéger leurs données. Bien qu’il soit devenu partie intégrante de notre société, le numérique n’est pas – encore – partout obligatoire. Mais c’est implicite : cliquer trop vite sur les conditions générales pour les accepter, c’est admettre que les avantages d’un outil numérique sont supérieurs à une perte potentielle de vie privée. Aux utilisateurs donc de s’arrêter un instant sur ce que cela signifie, et sur leur rôle dans la collecte de leur données. Comme dans d’autres domaines, l’éducation doit aider tout un chacun à choisir avec plus de discernement, plus d’intelligence, plus de sécurité. Le niveau de responsabilité doit être le même dans nos vies en ligne que dans nos vies physiques.
Innovation en matière de protection de la vie privée, éducation des consommateurs : des facteurs essentiels que le RGPD ignore avec une belle rigidité. Il récompense ainsi les plus grands acteurs, nuit aux PME et trompe le public en lui faisant miroiter une très illusoire sécurité. Le bouclier bureaucratique n’est qu’un dragon de papier, derrière lequel personne n’est vraiment à l’abri ! L’augmentation du nombre d’autorités et de réglementations régissant les données ne donne pas plus de sécurité numérique aux individus qui en auraient plus en gérant eux-mêmes leurs accès numériques.
2 commentaires
Illusoire. Aucune donnée numérique n’est en sécurité. Internet est un outil fantastique, mais pour nous surveiller et nous contrôler il n’y a pas mieux.
L’auteur de cet article vit dans un monde parfait. Le RGPD est certainement mal conçu, mais oser dire qu’il faut lire les conditions générales pour résoudre le problème est d’une grande naïveté. D’abord les conditions générales font parfois plusieurs pages et arriver à trouver l’info qui nous intéresse relève du parcours du combattant. Et parfois elles sont même en anglais. Personne ne le fera. Il m’est arrivé parfois de les lire mais j’ai abandonné. Si les entreprises veulent nos données, elles n’ont qu’à nous les demander clairement avec une page de Warning. Mais ce n’est pas dans leur intérêt. Donc l’idée d’une réglementation n’est pas stupide mais il faut qu’elle soit simple, compréhensive et efficace.