The New York Times (New York)
Deux ans après son adoption, le règlement général sur la protection des données (RGPD) peine à produire des effets concrets, la faute à un manque de moyens pour le faire respecter et aux stratégies de temporisation des géants de la tech. Ses défenseurs appellent à la patience.
En mai 2018, lorsqu’elle s’est dotée de la réglementation la plus stricte du monde en matière de protection de la vie privée, l’Europe a été saluée comme un modèle dans la lutte contre la collecte sauvage de données telle que la pratiquent les plus grandes sociétés technologiques du monde. Aujourd’hui pourtant, la loi peine à tenir ses promesses.
Le règlement général sur la protection des données (RGPD) a défini de nouvelles limites pour les entreprises et leur façon de récupérer et de partager des données d’utilisateur sans leur consentement. Ce texte accorde une large autorité aux gouvernements, qui peuvent imposer des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires d’une entreprise ou l’obliger à modifier ses pratiques. Il a notamment servi de modèle aux dernières lois de protection de la vie privée adoptées au Brésil, au Japon, en Inde et ailleurs.
Pour les internautes, une série de pop-up irritants
Pourtant, depuis la mise en œuvre de ce règlement en mai 2018, seul Google s’est vu infliger une amende de 50 millions d’euros, soit environ un dixième des revenus que le moteur de recherche génère quotidiennement. Aucun autre géant de la technologie – Facebook, Amazon ou Twitter – ne s’est vu imposer de grosse sanction.
Cette inaction est source de tensions au sein des gouvernements européens, alors que certains dirigeants réclament une mise en œuvre plus expéditive de la loi et des changements plus larges. Les associations de défense de la vie privée et les entreprises technologiques plus modestes se plaignent du fait que Facebook et Google échappent à tout véritable contrôle. Dans le même temps, côté internautes, le RGPD se résume trop souvent à une série de pop-up irritants dans lesquels il faut cocher ou décocher des options pour accéder à un site.
Une prise de conscience pour le public
Ces inconvénients pourraient décourager d’autres initiatives internationales visant à mieux protéger les données personnelles, explique Johnny Ryan, qui milite pour la protection de la vie privée. “Si vous ne vous appuyez pas sur des dispositifs de mise en œuvre solides et des investissements, cette loi n’est qu’une illusion”, poursuit Johnny Ryan, responsable de Brave, un organisme qui a créé un navigateur open source limitant la collecte des données et les publicités. “Nous n’avons pas encore exploité tout le potentiel du RGPD”, conclut-il.
Les défenseurs du texte reconnaissent que les débuts n’ont pas été faciles, et que certains dossiers ont pris plus longtemps que prévu alors que les nouvelles procédures étaient mises en place. Ils rappellent toutefois qu’il est encore trop tôt pour tirer des conclusions pertinentes de cette initiative. Car le RGPD a marqué une prise de conscience pour le public et il a obligé bon nombre d’entreprises, y compris Facebook et Google, à adopter de nouvelles politiques. La Californie a d’ailleurs approuvé une loi de protection de la vie privée assez similaire.
Twitter et WhatsApp dans le collimateur
L’heure de vérité pour le RGPD devrait venir dans quelques mois, expliquent ses partisans, avec la publication d’une série de décisions concernant des entreprises technologiques. Twitter devrait être le premier à être pénalisé pour collecte illégale de données. WhatsApp, l’application de messagerie appartenant à Facebook, pourrait également être sanctionnée pour avoir partagé des données avec d’autres services Facebook.
“Le RGPD est un projet de long terme , explique Eduardo Ustaran, responsable de la politique sur la vie privée à Hogan Lovells International, un cabinet d’avocats londonien qui représente de nombreuses grandes entreprises. Ces quelques dernières années nous donnent à peine un aperçu de la potentielle réussite de ce projet. ”
Le coronavirus chamboule tout
De nombreux détracteurs estiment pourtant que, en dépit de certaines sanctions, la mise en œuvre de ce texte reste trop longue et laborieuse et que les législateurs risquent de finir par mener des combats dépassés. Avec les procédures d’appel, le règlement d’une affaire peut s’éterniser. Et alors que leurs moyens financiers sont limités, les autorités sont plus enclines à la prudence et préfèrent éviter les affaires trop complexes.
À cela s’ajoute la pandémie de coronavirus, qui a fait évoluer le débat sur la façon de concevoir des applications mobiles et ce genre de technologies. Des pratiques auparavant jugées invasives en Europe, comme la collecte des données de santé et de localisation, par exemple, sont aujourd’hui au cœur des plans gouvernementaux de lutte contre le virus.
Budgets et nombre d’agents expérimentés insuffisants
Le Comité européen de la protection des données a récemment déclaré que le RGPD offrait “une base légale permettant aux employeurs et aux autorités compétentes en matière de santé publique d’utiliser les données personnelles dans le contexte de l’épidémie, sans le consentement des individus ” . Parmi les conséquences de la pandémie, la Commission européenne a reporté au mois de juin la publication d’un examen complet du RGPD.
Impatient, Ryan a étudié pendant plusieurs semaines les budgets et le personnel des agences de 28 pays européens. Résidant en Irlande, Ryan a déposé une plainte auprès des régulateurs locaux contre Google et ses publicités ciblées. Il a également découvert qu’à l’exception de trois pays – Allemagne, Royaume-Uni et Italie – aucune agence de protection des données ne possédait un budget supérieur à 25 millions d’euros.
Dans son rapport, Ryan écrit que la plupart des pays se sont appuyés sur une poignée d’enquêteurs ayant une expérience du secteur pour étudier la situation. Il a déposé une plainte auprès de l’Union européenne, réclamant que les pays qui ne consacrent pas suffisamment de moyens à leurs agences de protection des données soient sanctionnés.
Mettre en commun les ressources et se répartir les tâches
Les agences reconnaissent l’existence de ce problème et ont demandé davantage de fonds. Dans une enquête menée en février auprès d’agences de protection de la vie privée dans trente pays européens, vingt et une ont répondu qu’elles “manquaient de ressources” pour assurer leurs missions.
“Il y a des carences dans la mise en œuvre”, déclare Ulrich Kelber, président de l’autorité de protection des données allemande, dont le budget – le plus gros de l’Union européenne – s’établit à près de 85 millions d’euros en comptabilisant les agences régionales. “La plupart des gouvernements européens ne consacrent pas assez de ressources aux agences de protection de la vie privée .”
Il plaide pour une approche plus centralisée où les pays pourraient mettre en commun leurs ressources et se répartir les tâches pour enquêter sur les poids lourds du secteur. À l’heure actuelle, chaque pays a la charge de surveiller les activités des entreprises dont le siège se trouve sur son territoire.
L’Irlande seule face aux géants
L’Irlande est en première ligne ; l’île exerce en effet une influence disproportionnée sur la question du fait qu’elle abrite les sièges européens d’Apple, de Facebook, de Google, de LinkedIn et de Twitter. Avec 127 ouvertures d’enquêtes, l’Irlande détient le record européen, d’après Brave. Et pourtant, en presque deux ans, l’Irlande n’a pas imposé la moindre sanction à ces entreprises. Avec un budget de 16,9 millions d’euros, l’agence de protection des données irlandaise se place au sixième rang du classement des agences européennes. L’an dernier, le régulateur irlandais a bien demandé une augmentation de 5,9 millions d’euros de son budget, mais il ne lui a été accordé qu’un tiers de la somme.
Directrice de l’agence de la protection des données irlandaise, Helen Dixon déplore, elle aussi, le manque de moyens de son institution, dont elle défend toutefois le travail. Son agence emploie à présent 140 personnes, contre seulement 27 en 2017. Pour elle, l’Irlande mérite un 20 “pour l’effort” , même si ces résultats concrets sont encore très modestes.
Plusieurs décisions concernant Twitter, Facebook et consorts seront bientôt annoncées, poursuit-elle. Son service a été submergé de plaintes d’avocats comme celle déposée par Ryan et demandant l’ouverture de vastes enquêtes contre des pans entiers de l’industrie, comme la publicité numérique. Selon la loi, son agence doit répondre à toute plainte déposée – elle en a reçu plus de 12 000 depuis 2018.
Les entreprises jouent la montre
Les entreprises comme Facebook ont formulé une kyrielle de questions légales et procédurales auxquelles l’agence doit impérativement répondre avant d’avancer sur des dossiers, rappelle Dixon. Google a notamment fait lanterner les régulateurs en ne précisant pas immédiatement où se trouverait son siège européen.
Nombre de gens ont pensé à tort que le RGPD bouleverserait les pratiques des grandes multinationales sur la collecte des données, explique Dixon.
“Il y aura des amendes, c’est certain ”, ajoute-t-elle, mais la loi “ne permet pas de s’attaquer à tout un secteur ”.
Au-delà des enquêtes, les agences ont d’autres moyens de pression, souligne Dixon. Facebook a reporté la sortie de son application de rencontres après que les autorités irlandaises ont remis en question son système de collecte des données.
“Il y a bien des façons différentes d’avoir des effets positifs , conclut Dixon. Notre arsenal ne se limite pas aux amendes et aux commentaires superficiels que nous voyons parfois. ”
Adam Satariano