Quels effets attendre du RGPD ?

03/05/2018

L’entrée en vigueur du RGPD, le 25 mai prochain, marque-t-elle le début de la reconquête du monde numérique par le droit ? A la suite de l’affaire Cambridge Analytica, qui a mis à jour l’utilisation des données des utilisateurs de Facebook à des fins de profilage, nombre commentateurs voient dans le nouveau règlement européen une réponse aux dérives associées à l’essor du Big Data. L’économie associée à la collecte et l’exploitation de données personnelles est souvent considérée comme une zone de non-droit, un « far-west », et le RGPD est présenté comme un programme ambitieux, à même de bouleverser la gouvernance des données à l’échelle globale. Entre fantasmes et réalités, Données Brutes vous propose un décryptage.

Le RGPD, qu’est-ce que c’est ? Le Règlement Général sur la Protection des Données personnelles est un texte de loi adopté en 2016 pour mettre à jour les règles européennes en matière d’informatique et de libertés, qui dataient de 1995. Si l’on en parle autant actuellement, c’est parce que son entrée en vigueur est fixée au 25 mai 2018. Cela signifie que l’ensemble des entreprises et organisations collectant et exploitant des données personnelles devront être en conformité avec les dispositions du RGPD à compter de cette date. Plus qu’une actualisation ou un approfondissement des droits des citoyens, le RGPD est un changement de paradigme concernant la gouvernance des données. La protection des données personnelles était auparavant assurée par un ensemble de formalités préalables. Les entreprises et organisations collectant et traitant des données, qu’on appelle responsables de traitements, avaient ainsi une obligation de moyens mais pas de résultats. Avec le RGPD, au contraire, on introduit un principe de responsabilisation de ces acteurs. Une réflexion sur la sécurisation et la protection des données personnelles doit être intégrée à chaque étape des activités d’un responsable de traitement. En découle un nouveau concept de protection des données par défaut, qu’on appelle également « privacy by design ». Enfin, le RGPD introduit un principe d’extraterritorialité tout à fait innovant dans le domaine de la régulation des données. En effet, les dispositions du RGPD s’appliqueront à tous les responsables de traitement qui exploitent des données de citoyens européens, quelles que soient leur origine et la localisation de leur siège social. Si l’esprit du règlement est radicalement novateur, ses conséquences affecteront les différents acteurs à des degrés différents.

Le RGPD, et dans les faits ? Si le RGPD cible en premier lieu la protection des citoyens, ses conséquences changeront peu le quotidien des citoyens européens. Hormis le droit à l’effacement et à la portabilité de ses données, leur utilisation de services numériques ne devrait pas être radicalement modifiée. Certes, les géants du numériques doivent désormais présenter la preuve du consentement de leurs utilisateurs à l’utilisation de leurs données. Mais qui a lu ne serait-ce que le premier paragraphe des conditions d’utilisation de son réseau social favori ? En matière d’utilisation des données personnelles par les acteurs du numérique, le changement est à penser sous l’angle des pratiques, et pas seulement du droit.
C’est du côté des autres acteurs, entreprises ou organismes publics responsables de traitement mais dépourvus de l’expérience et de la force de frappe des grandes plateformes, que le changement sera le plus important. Le RGPD introduit de nouvelles obligations formelles, techniques et organisationnelles qui les obligent à repenser leurs activités en profondeur et, souvent, dans l’urgence.

Le RGPD, quelle efficacité ? Avant même son entrée en vigueur, le RGPD fait l’objet de nombreuses craintes mais également de nombreux débats sur son efficacité et ses limites potentielles. Dans son entretien avec le journal Le Monde, le sociologue Dominique Boullier soulignait, par exemple, que seules les données personnelles « officielles » (identité, adresse, contact, etc) étaient concernées par le Règlement. Les autres données et métadonnées que nous produisons ne font pas l’objet de la même régulation. Il faut donc le voir comme une première étape vers une meilleure régulation des données à caractère personnel et, plus généralement des secteurs économiques data intensifs. En effet, au-delà de la liberté des personnes, l’utilisation de données, qu’elles soient personnelles ou non posent des questions en termes de libre concurrence. Cette question est notamment abordée par la CNIL dans son avis rendu le 30 novembre 2017 sur le projet de loi d’adaptation du droit français au RGPD. La commission souligne que le Règlement laisse une certaine marge de manœuvre aux autorités nationales pour définir le cadre de traitement des données personnelles. Le manque de règles de fond explicites pourrait conduire, selon les représentants de la CNIL à une distorsion entre les normes des différents pays européens. Toute différence de normes laisse craindre une concurrence larvée entre les pays de l’Union Européenne.

La régulation des données, quelles suites ? Ne l’oublions pas, la donnée, et en premier lieu la donnée personnelle, est un puissant atout concurrentiel pour les entreprises. Les GAFAM ont construit leur puissance économique sur l’exploitation de la donnée et seront, selon toute vraisemblance, prêts à tout pour maintenir cet avantage concurrentiel. Si la question de la liberté individuelle face à l’économie de la donnée commence à trouver une réponse satisfaisante, l’impact de cette dernière sur les structures de concurrence doit également faire l’objet d’une attention particulière et d’une réflexion sur les modes de régulation à mettre en place.

Données Brutes et le RGPD ? En tant que sous-traitant d’activités de traitements de données pouvant être personnelles, Données Brutes respecte les dispositions du Règlement Général de Protection des Données. Nous sommes attentifs à documenter l’ensemble de nos choix techniques et organisationnels pour pouvoir remplir notre rôle de conseil en protection des données auprès de nos clients.