Le 25 mai 2023 a marqué le cinquième anniversaire de l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), un jalon important dans la protection des droits fondamentaux des citoyens européens. Cette réglementation ambitieuse a été mise en place pour garantir une protection adéquate des données personnelles dans un monde connecté et numérisé. À cette occasion, Alexandre Lazarègue a souhaité partager un bilan de ces cinq années d'application du RGPD, souligner les réalisations significatives accomplies et les défis à relever.
Par Alexandre Lazarègue, Avocat spécialisé en droit du numérique
Depuis son entrée en vigueur le 25 mai 2018, le RGPD a transformé le paysage de la protection des données en Europe. Il a instauré un cadre réglementaire solide et cohérent, garantissant des droits et des obligations clairs pour les individus et les entreprises afin que chacun préserve la maîtrise de ses données personnelles. Le RGPD a considérablement renforcé la confiance des citoyens dans la gestion de leurs données personnelles, en offrant des mécanismes de contrôle accrus et en plaçant la responsabilité sur les organisations qui les collectent et les traitent.
Les résultats obtenus au cours de ces cinq années sont encourageants. Le RGPD a permis d'améliorer la protection de la vie privée des citoyens grâce à plusieurs avancées significatives
Renforcement des droits individuels : Le RGPD a accordé aux citoyens européens un contrôle accru sur leurs données personnelles. Les droits tels que l'accès, la rectification, la portabilité et l'effacement des données ont été renforcés, permettant aux individus de mieux contrôler l'utilisation de leurs informations.
Responsabilité accrue des entreprises : Les organisations sont maintenant tenues de respecter des normes plus strictes en matière de protection des données. Elles doivent mettre en place des mesures de sécurité appropriées, obtenir un consentement explicite pour le traitement des données sensibles et notifier les violations de données dans les délais spécifiés. Le rapport 2023 de la CNIL publié le 23 mai 2023 l’a rappelé utilement.
Renforcement des autorités de protection des données : Les autorités de protection des données ont été dotées de pouvoirs accrus pour faire respecter le RGPD. Elles disposent de ressources et de compétences accrues pour enquêter sur les violations de données et imposer des sanctions dissuasives en cas de non-conformité.
Harmonisation des règles en Europe : Le RGPD a établi un cadre réglementaire unique dans tous les pays de l'Union européenne, mettant fin à la fragmentation qui existait auparavant. Cela facilite les échanges de données au sein de l'UE et renforce la coopération entre les autorités de protection des données des différents pays.
Sensibilisation accrue : Le RGPD a joué un rôle clé dans la sensibilisation du public à la protection des données. Il a suscité un débat public sur les enjeux de confidentialité et a encouragé les individus à exercer leurs droits en matière de protection des données.
Malgré ces succès, il reste encore des défis à relever. La complexité des réglementations et leur application uniforme dans tous les pays membres de l'UE nécessitent une vigilance continue. Les entreprises doivent continuer à investir dans des programmes de conformité solides et à sensibiliser leurs employés à l'importance de la protection des données.
De plus, l'évolution rapide des technologies, telles que l'intelligence artificielle, l'Internet des objets, les mégadonnées et les abus de position dominante par la maîtrise des données, pose de nouveaux défis en matière de protection des données. Il est essentiel de garantir que le RGPD reste adapté aux évolutions technologiques et aux besoins changeants des citoyens européens. C’est ainsi que de nombreux textes européens sont venus compléter le droit des données personnelles : DSA (sur les réseaux sociaux), DMA (sur les droits de la concurrence des GAFA), DATA ACT (sur les objets connecté) …
De nombreux pays extra-européens ont ainsi dû à leur tour légiférer sur leurs données personnelles à l'image de certains États américains tel la Californie ou encore la Chine, conscients que la collecte des données personnelles constitue un atout majeur de la compétition économique internationale.
Des décisions des autorités de régulation des données personnelles en Europe ont affirmé avec force certains principes essentiels qui sont venus renforcer le RGPD. Il en est ainsi allé de la politique des cookies tracé par la CNIL et qui a conduit à des sanctions importantes de nombreuses entreprises, notamment les GAFA.
La Cour de justice de l'Union européenne, en charge d'interpréter les textes européens, est également venue invalider l'accord de transfert des données entre les États-Unis et l'Europe, rendant complexe le partage des données à travers l'Atlantique.
Il est apparu également ces dernières années que la collecte des données personnelles, mais aussi portant sur l'intelligence économique (brevets, propriété intellectuelle, innovation), devait également être protégée, car susceptible d'être convoitée par des entreprises concurrentes malveillantes, voire des États. Cette problématique devrait dans les années à venir faire l'objet d'une réflexion législative.
Force est également de constater que les GAFA, en dépit de nombreuses décisions de condamnation sévère en matière d'amendes, peinent à se discipliner et à respecter scrupuleusement le RGPD.
Que vaut en effet une amende de 1 milliard d'euros pour Facebook lorsqu'elle génèrent 117,9 milliards de dollars de revenus publicitaires ?
Être en conformité avec la loi représente toujours un coût pour les acteurs économiques, et s'en dispenser est encore un moyen de renforcer leur suprématie financière.
Ce phénomène est fréquemment observé lors de ruptures technologiques ou d'environnements juridiques, à l'instar de l'ouverture à la concurrence des télécoms en 1998. Après 150 ans de monopole, certains acteurs historiques préféraient résister au respect des nouvelles règles dans le but de conserver des parts de marché, choisissant de s'exposer à des condamnations judiciaires aux impacts économiques nécessairement moindres que ceux associés au respect de la loi.
Aujourd'hui, face à de tels tsunamis collecteurs de données personnelles, concernant au surplus une population dont la maturité est encore très largement en devenir, quelle place peut avoir l'autodiscipline requise pour mettre en œuvre le mécanisme du RGPD ?
Les prédateurs, pour lesquels la force et la puissance sont les meilleurs leviers d'action, ne semblent pas prompts à cette autodiscipline. Recourir aux sanctions financières atteignant 2 ou 4 % du chiffre d'affaires mondial reste la meilleure arme pour permettre un alignement des valeurs.
Il revient aux régulateurs de leur faire admettre, coûte que coûte, que l'accès au marché européen d'environ 500 millions de consommateurs éduqués disposant d'un bon pouvoir d'achat, friands de ces nouveaux usages, constituant ainsi une cible de choix, requiert un ticket d'entrée qui consiste à respecter les lois, témoins et garants indispensables d'un art de vivre à l'européenne.