RGPD, quatre ans après, enfin l'acte II

Rarement un texte européen aura fait autant débat que le RGPD. Pris comme exemple de la réussite du soft power européen par certains, dénoncé pour ses dysfonctionnements par d’autres. Quatre ans après son entrée en vigueur, il était temps de faire un bilan sur ce règlement et de le mettre en perspective avec le package règlementaire européen (DSA, DMA, DGA, Data Act,…). Et sur cette base de faire des propositions concrètes pour qu’il atteigne son plein potentiel afin de mieux protéger les citoyens..

Arno Pons, think-tank “Digital New Deal”

13 Mai 2022, 9:40

A mesure que se développent les outils numériques, l'ampleur de la collecte et du traitement des données personnelles ne cesse d'augmenter. Chez certains, cela a nourri des craintes d'intrusion dans la vie privée, par les États ou des acteurs privés, mais aussi de discrimination, de surveillance ou de manipulation.

La réponse réglementaire européenne, le Règlement Général pour la Protection des Données (RGPD), visant à garantir tant la protection des données que leur libre circulation, a été globalement considérée comme salutaire dans le monde entier. Toutefois, la collecte et le partage de données personnelles continuent à se développer, tirés par les besoins de la publicité en ligne, et restent encore d'une ampleur mal comprise par les citoyens. Si le RGPD a sans aucun doute contribué à faire entrer le sujet un peu plus dans le quotidien des internautes européens, il est pour beaucoup le synonyme d'une expérience dégradée, de lourdeurs administratives ou encore d'une boîte noire réglementaire.

Rarement un règlement de l'Union Européenne aura fait autant débat que ce RGPD. Souvent pris comme exemple par certains de la réussite d'un soft power européen jouant enfin le jeu de l'extraterritorialité, symptomatique pour d'autres d'une culture de la régulation contre celle de l'innovation.

Quatre ans après sa mise en application, notre think-tank a souhaité publier une note qui remet en perspective ce règlement controversé avec le nouveau package règlementaire européen en cours de validation (DSA, DMA, DGA,...), afin d'imaginer un acte II du RGPD. Le « Règlement Général sur la Protection des Données » fut en effet chronologiquement, et pas forcément logiquement, le premier règlement à être publié. En étant précurseur et isolé, il a porté seul jusqu'à présent des promesses (comme la portabilité des données ou plus largement la libre circulation des données), créant ainsi un sentiment d'inefficience. N'ayant pas atteint son plein potentiel pour protéger les citoyens et répondre à leurs attentes, il est donc primordial de continuer de parfaire ce règlement fondamental.

Face à un tel sujet totémique, nous avons décidé d'adopter une approche pragmatique en nous tournant vers des auteurs ayant réalisé un véritable travail d'investigation. Julia Roussoulières et Jean Rérolle ont mené plusieurs mois d'enquête, suivant la piste de leurs données personnelles pour constater que de nombreux droits conférés par le RGPD n'étaient pas effectifs et que le consentement individuel était une approche insuffisante.
Les co-auteurs ont pu démontrer que le rapport de force était totalement déséquilibré́ entre l'individu et les entreprises demandant le consentement. L'asymétrie face aux géants numériques et l'opacité entretenue par certains acteurs comme ceux de la publicité en ligne, entravant la bonne exécution du droit. Le consentement étant dévoyé́, il est donc nécessaire de l'améliorer, et de le rendre plus conforme à ses objectifs initiaux. C'est l'objet de cette nouvelle publication « RGPD, acte II : la maîtrise collective de nos données comme impératif » avec ses trois axes de propositions formulés par les auteurs visant à pallier ses dysfonctionnements. D'une part en améliorant l'effectivité des droits ; d'autre part en rendant le consentement réellement libre et éclairé ; et finalement en articulant mieux les droits individuels et choix collectifs en associant davantage la société civile.

Ces propositions visent à créer les conditions pour que le partage de données par le citoyen s'effectue en confiance, en accentuant sa liberté de choix, la transparence des usages qui en sont faits, et en permettant au débat démocratique de s'en emparer. Comme la protection de l'environnement, la protection des données personnelles est un problème collectif, politique, et doit être traité comme tel.

Nous ne voulons surtout pas sonner le glas de la mise en commun de données personnelles. Celle-ci présente de très nombreuses applications souhaitables par la société, dans des domaines comme la santé, l'administration publique, ou la création de nouveaux services. L'objet de nos propositions n'est pas de générer des frictions rendant impossible tout partage de données, mais bien de créer les conditions pour que les partages soient acceptables par les citoyens, ce qui est nécessaire pour la poursuite de l'innovation liée aux partage de données personnelles sur le long terme.

La bonne nouvelle, c'est que les outils existent. En poursuivant la discussion autour du RGPD, en améliorant sa mise en œuvre, mais aussi en osant questionner certaines pratiques, nous pouvons rendre la collecte, le traitement et le partage de données plus responsable.

________________________

Retrouvez ici la note de la fondation Digital New Deal

3 AXES DE PROPOSITIONS

Mieux articuler le consentement et les droits individuels avec les choix politiques et les actions collectives :

En renforçant les dispositions de l'action de groupe (à l'heure actuelle, seules trois associations ont le droit d'ester en justice...)
En donnant davantage de place à la société civile dans la gouvernance des plateformes structurantes (les citoyens pourraient par exemple être davantage associés aux évolutions en matière de CGU, participer à des institutions telles que le Cnnum et la CNIL)

Améliorer l'effectivité des droits

En mettant fin au statut de co-traitants pour la publicité en ligne
En facilitant l'exercice du droit d'accès (ex de l'outil Signal Conso mis en place par la DGCCRF pour les plaintes de non-conformités de produits )
En renforçant la coopération entre régulateurs européens (éventuel mécanisme de subsidiarité avec un régulateur européen pour les entreprises les plus structurantes en matière de gestion des données personnelles)

Rendre le consentement véritablement libre et éclairé

- En donnant les moyens de ce choix à l'utilisateur (soutien public à l'écosystème innovant des "tiers de confiance" pour jouer à plein de la portabilité)
- En améliorant l'expérience utilisateur (nudger en mettant en place un "Blue button" permettant l'export des data santé sous Obama)
- En régulant davantage le design et interdisant le cookie wall

Sujets les + lus

Sujets les + commentés

Emploi : les vraies raisons des vagues de départs des salariés français

Affaire Abbé Pierre : « Ceux qui minimisent se trompent » (Christophe Robert, délégué général de la Fondation Abbé Pierre)

Les énergies renouvelables coûteront six fois plus cher que prévu à l'Etat en 2024

En France, les prix de marché de l’électricité resteront déterminés par ceux du gaz, affirme RTE

La chaîne C8 paye au prix fort ses dérapages et perd sa fréquence TNT

Commentaire 1

Non mais à écrit le 14/05/2022 à 11:24

Signaler

Bref! On trace et on laboure ce que l'on veut nous imposer, c'est dire "le numérique" a toute les sauces! Une aliènation de plus!

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

Tribunes

RGPD, quatre ans après, enfin l'acte II

Newsletter - Votre Tribune de la semaine