Depuis l'affaire Cambridge Analytica qui est tombée à pic, peu avant l'entrée en vigueur du RGPD, le fameux règlement général de protection des données, l'Europe baigne dans une douce euphorie. Elle a vu juste, elle a anticipé, elle va révolutionner Internet avec plus de considération pour la vie privée et, au final, offrira un pacte renouvelé entre le consommateur et le Net, la confiance retrouvée de l'utilisateur final qui ne doit plus forcément avancer nu et sacrifié sur Internet.

Mais c'est quoi la confiance dans la protection de sa vie privée ? C'est un subtil équilibre entre la confiance dans des institutions, la CNIL en France, qui vont la faire respecter, c'est la confiance qu'on place aussi dans les acteurs d'Internet à qui on confie sa vie privée en acceptant de partager des données personnelles, c'est une (certaine) maîtrise des technologies pour protéger sa vie privée. C'est enfin être conscient qu'on a sa vie privée entre ses mains et que beaucoup dépend de notre comportement sur le net. De ces quatre composants, le RGDP n'en adresse que deux : la punition sous forme d'amende en cas de fuite de données et la mise en conformité avec le RGPD, comme si le but n'était finalement que de collecter des amendes pour les caisses de l'Etat. Rien n'est dit pour encourager la recherche, aucune exception n'est évoquée pour les sociétés qui voudraient expérimenter les techniques innovantes pour protéger la vie privée, comme les anonymiseurs au fil de l'eau, les identités virtuelles, les technologies qui filtrent les données personnelles, les détections d'intrusion. Le RGPD n'évoque que la pseudomisation ou le chiffrement des données. C'est maigre quand le RGPD érige comme principe fondateur le « privacy by design », à savoir que la protection de la vie privée doit être imaginée à la conception du service ou de la technologie, pas à la fin quand tout est figé. Avec une amende à la clé en cas de brèche, une société serait bien téméraire de tester des technologies non encore éprouvées.

C'est la critique féroce qu'on entend de la part de certains consultants qui n'hésitent pas à s'éloigner du politiquement correct pour convaincre des clients américains de les prendre, dans une approche très « je vous ai compris »

Les vautours du RGPD

Autre nouveauté qui pourrait se retourner contre les vertus supposées du RGDP: les class actions, la possibilité pour les citoyens de se regrouper pour porter plainte sous l'égide d'associations qui vont en faire leur business juteux. On est mal à l'aise, de fait, quand on voit que Maximilien Schrems, celui-là même qui avait réussi à faire voler en éclat l'accord d'échange de données entre les USA et l'Europe, a constitué une association en ce sens: NOYB. Comme c'est souvent le cas aux Etats-Unis, ces activistes pourraient n'avoir finalement pour but que d'extraire de l'argent de ces class actions, n'en rétrocéder qu'une partie aux plaignants qui auront dû de toute façon payer leur écot au début de la procédure. Bienvenu aux colombes de la vie privée devenues vautours du RGPD.

Pour faire respecter le RGPD, on compte sur les commissions de vie privée comme la CNIL qui se sont muées en véritables régulateurs sauf que selon leur histoire, leur compétence technique, et Dieu sait comme il en faut, varie du tout au tout. Et qui peut garantir que ces régulateurs souvent fraichement constitués n'ont pas comme but de justifier leur nouveau statut et, donc, de ne rien faire pour promouvoir la prise de conscience des consommateurs ou la promotion des technologies « vie privée ». Car, on l'oublie, la régulation n'a pas pour but d'exister pour toujours, elle est là pour résoudre une distorsion et n'a donc pas vocation à durer.

L'ENISA, l'agence européenne pour la sécurité des réseaux, a publié des travaux de grande valeur qui met en avant toutes ces techniques qui, aux mains des utilisateurs seraient si efficaces : Qui les connait ? Qui les promeut ? Pourquoi n'incite-t-on pas les utilisateurs à se prendre en main, pourquoi le RPGD ne met-il l'accent que sur la responsabilité des entreprises qui manipulent les données.

Faire juste ce qu'il faut pour être en règle

Le risque du RGPD comme de toute régulation prescriptive est d'amener les entreprises à faire juste ce qu'il faut pour être en règle au lieu d'en vouloir. Dès qu'un cadre est défini, dès qu'on peut prouver qu'on est dedans, c'est si confortable au lieu d'aller plus loin selon le principe « as low as reasonably reachable ».

Et au final, le comportement des utilisateurs sur le net ne montre pas vraiment qu'ils font plus attention à leurs données même s'ils prétendent le contraire dans les enquêtes. On ne peut pas dire que Facebook a perdu beaucoup de clients après Cambridge Analytica. Pourtant le RGPD a bon dos pour justifier sa perte en bourse : ce serait le consentement devenu obligatoire qui aurait diminué la croissance des nouveaux clients, à l'origine de ses malheurs.

Ne balayons pas ces critiques : elles donnent un éclairage intéressant sur des dérives potentielles du RGPD. Oui, les activistes pourraient prendre le pouvoir via les class actions ? Non, c'est n'est pas acquis que le RGPD va promouvoir la protection de la vie privée. Oui, le RGPD pourrait au final que le bâton pour frapper les entreprises? Verra-t-on grâce (ou malgré) au RGPD l'émergence de nouvelles technologies pour mieux protéger sa vie privée ? Verra-t-on l'Europe prendre le leadership sur ces technologies ou ce seront les Etats-Unis qui une fois de plus inventeront ces technologies ? Voilà la vraie mission des commissions de vie privée depuis le 25 mai dernier.

Pour en savoir plus :

Understanding the GDPR and Its Unintended Consequences, Strand Consult.