Il y a quelques semaines, le Règlement général sur la protection des données – RGPD en abrégé – fêtait son cinquième anniversaire. Une raison de faire la fête ? Certains l’appellent ainsi, d’autres ainsi. Le RGPD a assurément réalisé une chose : la question de la protection des données nous concerne tous plus que jamais. Mais : Le RGPD a-t-il tenu ses grandes promesses, par exemple remettre à leur place des pieuvres de données comme Facebook ou Google ? Nous examinons de plus près ce qui se passe bien jusqu’à présent et ce qui doit encore changer.
« Le RGPD protège les droits et libertés fondamentaux des personnes physiques et en particulier leur droit à la protection des données personnelles », déclare l’avocat et expert en protection des données Christof Kolyvas de Bochum, résumant l’approche du règlement. Ce qui semble ennuyeux en termes juridiques signifie, traduit en langage courant : le RGPD veut protéger les personnes et leurs droits, pas les données. Est-ce qu’elle?
Bannières de cookies ennuyeuses pas de naissance GDPR
Dans tous les cas. Certaines choses se sont améliorées en matière de protection des données personnelles et plus généralement en matière de sécurité informatique. Même si le GDPR nous a donné une orgie de clics sans fin sous la forme de bannières de cookies en tant que « sous-produit ». Les bannières de cookies n’ont rien à voir directement avec l’introduction du RGPD. Ils sont le résultat d’un oubli. Car parallèlement au RGPD, la directive dite e-privacy ou « directive cookie » devrait également être réformée. Cette réforme relève de la responsabilité de chaque État membre de l’UE. L’Allemagne n’a pas encore été en mesure de proposer une solution uniforme. Pourquoi? La résolution suivra plus tard.
Qu’est-ce qui distingue la directive ePrivacy du RGPD ? La politique est essentiellement la promesse numérique des entreprises de garder les données personnelles confidentielles. Le RGPD, quant à lui, traite du traitement des données lui-même. Par exemple, la divulgation à des pays en dehors de l’UE n’est pas autorisée.
Et pourquoi les bannières de cookies gênantes sont-elles aussi « problématiques » du point de vue du RGPD ? Les internautes consentent souvent à quelque chose auquel ils ne consentiraient jamais en y regardant de plus près. Cependant, certaines entreprises ont délibérément conçu le processus de consentement en leur faveur.
Un rejet est souvent déroutant, compliqué ou encore pas prévu du tout. C’est pourquoi les bannières de cookies ne sont pas seulement une nuisance, mais entraînent également une perte totale de contrôle sur le traitement des données personnelles en raison de leur conception. Ce n’est pas au sens du RGPD.
A lire aussi : Expliqué simplement : que signifie le nouveau RGPD ?
Les amendes sont efficaces
Le Max Schrems, avocat autrichien et militant pour la protection des données se bat contre Facebook depuis des années. Il y a quelques années, il a demandé des informations sur les données personnelles que Facebook avait stockées à son sujet sur sa propre plateforme. Le GDPR est également façonné par sa bataille de plusieurs années contre la société de Mark Zuckerberg. Facebook, Twitter et Co. disposent désormais d’une fonction simple pour interroger les données personnelles stockées par l’entreprise. Si vous le souhaitez, les entreprises doivent même supprimer « toutes » les données.
« L’imposition d’amendes, la jurisprudence de la Cour de justice européenne sur le RGPD et les tribunaux nationaux rendent visible l’efficacité du règlement uniforme de l’UE », souligne l’expert en protection des données Christof Kolyvas. En fait : Tout récemment, l’autorité de protection des données responsable de Facebook en Irlande a infligé une amende record de 1,2 milliard d’euros. Facebook remplace ainsi Amazon comme « détenteur du record ». L’ancien chef de l’amende l’a porté à une amende de 746 millions d’euros.
DSGVO aussi un problème avec les autorités
Les autorités irlandaises semblent faire du bon travail. Cependant, cela n’est vrai que dans une mesure limitée. Parce que les grandes entreprises comme Facebook, Microsoft, Google ou TikTok n’ont pas choisi l’Irlande comme siège européen à cause des prairies verdoyantes. En plus des faibles taux d’imposition, l’île attire avec une interprétation extrêmement laxiste du RGPD. En outre, le régulateur irlandais de la protection des données manque chroniquement de personnel. L’autorité pourrait donc travailler beaucoup plus efficacement. Les amendes qui font la une des journaux servent donc de bougies fumigènes.
Un problème officiel similaire s’applique à l’Allemagne, mais dans le sens opposé. L’Allemagne s’offre un délégué fédéral à la protection des données en la personne d’Ulrich Kelber. Cependant, il a suffisamment à faire pour rendre la communication avec 17 autorités de l’État raisonnablement tolérable et rapide. Parce que le sujet de la protection des données est réglementé au niveau fédéral en Allemagne. En conséquence, chaque État fédéral a sa propre autorité de protection des données, la Bavière s’en autorise même deux. Cela rend au moins difficile une ligne allemande uniforme en termes de RGPD.
Néanmoins, l’expert en protection des données Christof Kolyvas voit l’Allemagne sur la bonne voie en matière de protection des données. « Pour les petites et moyennes entreprises, la mise en œuvre du RGPD signifie dans un premier temps un effort accru. Cependant, les entreprises qui prennent en compte la protection des données à un stade précoce économisent des coûts ultérieurs en raison de mauvaises décisions ou de litiges juridiques. »
L’avocat de Bochum aimerait voir des simplifications pour l’avenir, en particulier pour les petits indépendants et les indépendants. Même après cinq ans, il y a encore beaucoup d’ignorance et d’incertitude au sujet du RGPD.
A lire aussi : Ce sont les implications les plus absurdes du RGPD
Conséquences positives et négatives du RGPD
Le GDPR n’a pas seulement apporté des choses positives aux gens, comme la possibilité de consulter, de modifier ou de supprimer des données stockées ou de s’opposer à leur diffusion. Le fait que les entreprises doivent sécuriser l’utilisation des données a également alourdi la charge administrative. Parce qu’à chaque fois qu’une entreprise veut traiter des données personnelles, elle a besoin d’une base légale comme réserve d’autorisation. Ils l’obtiennent sous la forme de formulaires spéciaux – en ligne et analogiques. Beaucoup peuvent les connaître grâce à des pratiques médicales. Depuis l’introduction du GDPR en mai 2018, les nouveaux patients doivent remplir un formulaire avec lequel ils consentent au traitement de leurs données. Ceci est nécessaire pour pouvoir échanger des diagnostics entre médecins et cliniques. Avec ces formulaires, cependant, les utilisateurs doivent prêter attention au type et à l’étendue de l’utilisation et du traitement des données qu’ils acceptent. Il faut être prudent avec des formulations telles que « intérêt légitime » et plutôt consulter un expert.
Incidemment, «l’intérêt légitime» se retrouve également souvent dans les requêtes de cookies. La question demeure toujours de savoir ce qu’on peut entendre par intérêt légitime. Les utilisateurs doivent s’assurer que l’intérêt légitime du responsable prévaut réellement.
Le RGPD en route vers une norme mondiale ?
Même si la mise en œuvre a initialement fait sensation, le RGPD sert désormais également de modèle dans d’autres régions du monde. L’une des plus grandes craintes des critiques ne s’est pas réalisée : les entreprises américaines n’ont pas tourné le dos à l’Europe à cause du RGPD.
En conséquence, le règlement pourrait devenir un modèle pour d’autres pays en dehors de l’UE. Incidemment, cela serait également dans l’intérêt des entreprises actives à l’échelle mondiale. Parce qu’ils n’ont aucun intérêt pour d’innombrables « normes » car différentes réglementations entraînent des coûts de mise en conformité plus élevés.
Lancé comme un gigantesque projet européen de protection des données, le RGPD a fait avancer beaucoup de choses dans la bonne direction au cours des cinq dernières années. Bien sûr, une telle loi ne peut pas couvrir immédiatement tous les petits détails pourtant importants. De plus, cinq ans dans le domaine de l’informatique en évolution rapide, c’est très long. Certaines évolutions n’étaient pas du tout alarmantes à l’époque.
Comprendre le RGPD comme une stratégie en constante évolution
« Le RGPD doit être considéré comme faisant partie de la stratégie de données de l’UE. Afin de les inclure dans une future stratégie de données de l’UE, des ajustements réguliers seront nécessaires », explique Christof Kolyvas, expert en protection des données. Depuis la mise en œuvre effective du RGPD en 2018, l’avocat de Bochum a enregistré une augmentation du nombre de demandes d’informations émanant d’entreprises. La pratique antérieure a montré que le RGPD a amélioré la protection des données européennes et l’a rendue plus uniforme.
Cependant, il reste encore beaucoup de zones grises. Certaines entreprises en profitent pour interpréter et adapter les dispositions du RGPD selon leurs propres besoins. Mot-clé : « Lavage de la vie privée ». Le terme va dans le même sens que le « greenwashing », bien connu dans le monde des affaires.
Avec le « privacy washing », les entreprises agissent conformément aux dispositions du RGPD. Mais grâce aux zones grises et aux sophismes juridiques, ils utilisent encore les données personnelles initialement à leurs propres fins économiques. La protection des personnes vient en second.
L’IA nécessite des ajustements au RGPD
Dans ce contexte, la thématique de l’intelligence artificielle (IA) joue désormais un rôle prépondérant. Car le RGPD est également entré en jeu pour freiner le soi-disant profilage et la puissance des algorithmes dans les médias sociaux. Les experts en protection des données voient un besoin urgent de se rattraper ici. Parce que l’IA a encore aggravé toute la situation. L’IA permet à Facebook ou à Google de créer encore plus facilement certains « profils de mouvement » de personnes basés uniquement sur de minuscules traces de données.
C’est pourquoi il y a de plus en plus d’appels à affiner le GDPR, en particulier en ce qui concerne l’utilisation de l’IA. Les précédentes lignes directrices pour la création de profils de données datent de 2018 et ne reflètent donc plus les développements actuels dans le domaine de l’IA. Le problème a longtemps été une épine dans le pied de l’UE. Par conséquent, depuis mai 2022, dans le cadre de la soi-disant Loi sur l’Intelligence Artificielle Efforts pour limiter clairement les dérives de l’IA. La nouvelle directive sur l’IA devrait alors s’appliquer en parallèle avec le RGPD. Cela réussira peut-être à faire du RGPD le « gold standard » en matière de protection des données.