RGPD: des principes, des amendes, des bannières, mais le modèle des Gafam perdure
Par Laurence BENHAMOU / AFP
Cinq ans après, le Règlement européen sur la protection des données personnelles (RGPD) a posé des principes, entraîné des amendes record et rempli internet de fenêtres de consentement mais sans modifier le modèle des Gafam de monétisation des données.
L’amende de 1,2 milliard d’euros infligée lundi à Meta, maison mère de Facebook, par l’autorité de régulation irlandaise illustre les efforts de sanction pour faire appliquer un volet du RGPD: le transfert des données hors UE. Sans faire beaucoup évoluer les pratiques et encore moins la législation américaine.
Entré en vigueur en 2018, le RGPD visait non pas à empêcher la collecte de données à caractère personnel mais à encadrer leur utilisation et leur stockage. Notamment en posant le principe de pouvoir y accéder, pour les rectifier ou les effacer, permettre leur « portabilité » (transfert à un autre service), imposer aux organisations de déclarer leurs fichiers et interdire leur transfert dans des pays qui n’ont pas les mêmes protections.
Tous ces principes ont été posés sans mode d’emploi technique, d’où de nombreuses questions encore non résolues. Le règlement a aussi fait tâche d’huile: près de 170 pays ont adopté des textes similaires, selon Ivana Bartoletti, responsable confidentialité de la société de conseil Wipro.
– « Accepter » ou « Refuser » –
Concrètement, le RGPD s’est d’abord traduit par une floraison de demandes de consentement. Les internautes européens doivent en permanence « Accepter » ou « Refuser » l’utilisation de leurs données personnelles et le dépôt de traceurs (cookies). La plupart des sites internet conservent ainsi un modèle de gratuité, fondé sur l’envoi de publicités.
Or les publicités ciblées grâce aux cookies sont bien plus rentables, tant pour les sites que pour les plateformes de placement publicitaire, dont Google.
Paradoxe, malgré une prise de conscience sur la chasse aux données, 60% des internautes français cliquent généralement sur « accepter », selon la Cnil, la plupart des experts évoquant une « fatigue du consentement ».
La demande peut resurgir à chaque visite (il faudrait un cookie pour stocker ce consentement). Le modèle des publicités ciblées n’a donc guère évolué, même si la Cnil constate une hausse du taux de refus. Certains médias obligent même à cliquer sur « Accepter » en échange du maintien de la gratuité.
Rares aussi sont les internautes assez motivés pour réclamer l’accès à leurs données, une démarche compliquée.
Autre domaine non résolu, celui du transfert de données personnelles dans des pays qui n’auraient pas les mêmes protections que l’UE.
L’amende contre Meta résulte d’un vide juridique: le conflit entre le RGPD européen et le Patriot Act américain, qui confère aux agences américaines telles que la NSA ou la CIA des pouvoirs immenses en matière de collecte de données. Sur requête, elles peuvent demander à n’importe quelle entreprise aux États-Unis – dont Meta, Google ou Microsoft – de leur transmettre les données de leurs utilisateurs.
Un accord UE-USA de 2016, le Privacy Shield, a été invalidé en 2020 par la Cour de justice de l’Union européenne, ce qui interdit en principe tout transfert de données mais ceux-ci continuent dans les faits. Cette impasse ne sera pas résolue avant un nouvel accord transatlantique, que Bruxelles promet pour cet été.
– Avantage aux Gafam ? –
En dépit des amendes contre les Gafam, les principales critiques contre le RGPD sont toutefois européennes.
« Loin de ralentir les grandes entreprises numériques, (il) leur a donné l’avantage », car seuls les Gafam disposent de l’armée de juristes nécessaire, avertit Gilles Babinet, président du Conseil national du numérique, aux membres nommés par le gouvernement.
« Pour toutes les entreprises traitant des données personnelles, il a fallu consentir à des investissements importants en matière de sécurité et de mise en oeuvre de la conformité. Mais aussi naviguer à vue entre les interprétations fluctuantes », renchérit dans un rapport La villa numeris, think tank qui a interrogé plusieurs dizaines d’entreprises.
Yves Poullet, professeur à l’Université de Namur, saluait en 2018 un texte où « l’Europe a affirmé à la face du monde un modèle européen de protection des données à caractère personnel » à effet international.
Mais il a regretté dans une récente conférence « une approche uniquement par le consentement individuel » et prône une approche par les risques, imposant a priori certaines contraintes aux acteurs du numérique.
Dernier écueil en date, la difficulté d’appliquer le RGPD aux intelligences artificielles comme ChatGPT. La Cnil italienne en a bloqué l’accès mais l’a réautorisé trois semaines plus tard, en échange de demandes de consentement.