Le RGPD a cinq ans : nos données privées sont-elles mieux protégées qu’avant ?

Cinq ans après son instauration, le RGPD a-t-il fait ses preuves ? Les avis des experts sont nuancés. Romain Robert, par exemple, de l’association Noyb, à la base de la plainte contre Meta pointe le manque de gendarmes. "Cela fonctionne comme cela pourrait fonctionner dans un Etat où, quand on édicte une règle, par exemple une règle de circulation routière, on met trois policiers dans la ville pour la faire respecter", explique Romain Robert.

L’efficacité des autorités de protection de la vie privée varie ainsi d’un Etat à un autre. Tous les Etats membres n’allouent pas les mêmes moyens au contrôle de la protection de la vie privée. "On a des autorités de protection des données qui sont sous-staffées. 82% des autorités de protection des données, dans un sondage récent, disent qu’elles devraient avoir au moins 30% de personnel en plus", relève Jacques Folon, professeur à l’ICHEC et spécialiste du RGPD.

Au rayon "efficacité", Romain Robert range la CNIL, la Commission nationale de l’informatique et des libertés, en France. C’est "une autorité qui existait bien avant le RGPD et qui a une expérience, une compétence et une expertise qui permettent de bien comprendre les enjeux de la donnée et qui sanctionne assez lourdement les entreprises", explique Romain Robert. Et la Belgique, selon Romain Robert, elle "fait avec les moyens qu’elle a". "On n’est pas du tout dans la fin de la liste. Je trouve qu’on ne s’en sort pas mal en Belgique", estime Romain Robert. Rappelons cependant qu’en 2021, l’APD, l’Autorité belge de Protection des Données, a été secouée par la démission d’une de ses directrices qui estimait que cette autorité était "un chien de garde qui ne mord pas".

Jacques Folon apporte une autre nuance à l’efficacité du RGPD : il n’est pas respecté de la même manière par tous ceux à qui il s’impose. "Le problème dans les entreprises, c’est qu’elles ont souvent l’impression que c’est fait pour les gros. C’est plutôt les PME, les TPE, les indépendants, les avocats, les architectes, les médecins qui sont aussi soumis au RGPD qui considèrent que c’est pour Facebook et que ça ne les concerne pas", résume Jacques Folon. "Est-ce que votre médecin de famille vous a fait signer une déclaration de vie privée ?" demande ainsi Jacques Folon. "Il n’y en a quasiment aucun qui le fait. Or, c’est obligatoire. Ils traitent des données de santé", poursuit-il.

Le risque d’amende incite-t-il ceux qui récoltent les données personnelles à la prudence ?

Le groupe Meta, la maison mère de Facebook, vient de se voir infliger une amende d’1,2 milliards d’euros pour non-respect du RGPD. Le procès a mis des années avant d’aboutir, "10 ans", explique Romain Robert. "Et le revenu annuel de Meta est de 116 milliards d’euros pour l’année dernière", précise-t-il. Bref, une amende équivalente à 1% du revenu annuel est-ce dissuasif ?

"Le montant maximum va, soit jusqu’à 20 millions d’euros, soit jusqu’à 4% du chiffre d’affaires annuel", précise Jacques Folon.

Dans un autre dossier, en France, la plateforme Doctissimo s’était passée du consentement des utilisateurs pour utiliser les données privées. Elle vient d’écoper d’une amende de 380.000 euros.

"L’idée, c’est d’avoir des sanctions dissuasives", explique Jacques Folon. "Maintenant, quand on regarde dans la réalité, il y en a relativement peu", nuance-t-il. "Quand on regarde le total des sanctions pour l’Europe, on est à des montants relativement ridicules", ajoute-t-il, craignant qu’on n’ait pas encore "pris conscience véritablement de cet enjeu de protection".

"Le consentement n’est pas tout !", résume Romain Robert. Si l’on donne malgré tout son consentement à la collecte et l’usage des données, ce qui n’est pas toujours le cas, "il faut encore que ce consentement soit spécifique et éclairé", rappelle Romain Robert. "On ne peut pas vous forcer à consentir. On ne peut pas dire pour utiliser mon service, vous consentez à l’utilisation des données que je décide unilatéralement de faire", poursuit Romain Robert.

Il faut donc savoir comment le consentement est obtenu et comment le consommateur est informé de ce qui sera fait des données. "Toutes les utilisations ne sont pas permises. On ne peut pas faire tout ce qu’on veut avec les données", ajoute Romain Robert. "Le consentement n’est pas la voie royale à faire ce qu’on veut avec les données", poursuit-il.

On l’a dit, le RGPD est européen. "Il s’applique non seulement aux entreprises européennes mais à toutes les organisations dans le monde qui ont des clients, des prospects ou des contacts avec des gens en Europe", résume Jacques Folon. En théorie donc, Facebook, Google, TikTok et autres sont obligés de respecter le RGPD avec leurs clients européens. C’est sur cette base que Meta a été condamné.

La notion de protection des données privée a tendance à s’étendre à d’autres zones en Europe. "Des pays comme l’Inde, le Canada, le Japon ont mis en place des règlements quand même relativement semblables", explique Jacques Folon.

Les Etats-Unis constituent le principal pays où cette philosophie du respect de la vie privée n’est pas mise en avant. "C’est un des énormes trous noirs", estime Romain Robert. Pour lui, c’est préoccupant en raison de "la domination économique" des Etats-Unis et parce que les GAFAM, les Google, Apple, Facebook, Amazon et Microsoft, gros collecteurs de données sont américains. TikTok, chinois, est à peu près la seule exception à cette mainmise américaine.

Cette puissance économique américaine en matière de données privées est renforcée par "la force de frappe des pouvoirs de surveillance américains, la NSA", explique Romain Robert. "La réglementation américaine permet aux services secrets américains d’avoir accès à toutes les données des sociétés américaines où qu’elles soient dans le monde", ajoute Romain Robert. Quand on sait que "70% des sociétés qui traitent nos données sont américaines, vous comprenez que les services de surveillance américains sont extrêmement bien placés pour surveiller la planète entière", poursuit Romain Robert.

Europe et Etats-Unis sont d’ailleurs bien en difficulté pour mettre en place un nouveau cadre au transfert de données entre les deux entités.