« En poursuivant votre navigation, vous acceptez l'utilisation de cookies. » La plupart des internautes ne remarquent même pas le petit bandeau discret situé en bas des pages Web, parfois sur fond gris, qui vise à obtenir, sans même un clic, le « consentement libre et éclairé » (sic) des utilisateurs pour la collecte et l'exploitation de leurs données personnelles. Si vous ne faites pas attention, tant pis pour vous : vous êtes quand même « consentant » aux yeux de la loi. Tel est le paradoxe du Règlement général sur la protection des données (RGPD), qui fêtera le 25 mai 2019 le premier anniversaire de son entrée en vigueur.
Sur le papier, le RGPD est un séisme : chaque entreprise ou organisation qui utilise des données personnelles de citoyens européens, de la TPE au grand groupe, doit désormais savoir recenser et justifier chaque traitement de données, en fonction « d'intérêts légitimes » encadrés par des exigences éthiques et de sécurité. Et ce, partout dans le monde, ce qui donne au texte une ampleur inédite. Pour le consommateur, ces traitements doivent être décrits de manière simple afin d'être acceptés ou refusés en toute connaissance de cause : c'est la notion de « consentement libre », l'une des principales avancées du texte.
Si le RGPD crée, dans le fond, peu de nouveaux droits pour le consommateur - si ce n'est la portabilité des données et la possibilité de mener des actions collectives auprès du régulateur -, il change quand même la donne. La crainte des sanctions, qui peuvent s'élever jusqu'à 4% du chiffre d'affaires mondial, est enfin dissuasive.
« Le principal effet du RGPD n'est pas tant de modifier le droit, car la plupart des dispositions existaient déjà, que d'en permettre enfin l'application », résume Alexis Fitzjean Ó Cobhthaigh, avocat et membre de l'association de défense des libertés La Quadrature du Net.
Et pourtant, depuis le 25 mai 2018, nous ne sommes pas entrés dans une nouvelle ère où les entreprises sont toutes devenues « data responsables ». Vous recevez toujours autant de courriels provenant de destinateurs qui n'ont pas obtenu votre accord pour vous solliciter. Le bandeau discret qui manipule le consentement sur Internet est une réalité. Certains sites affichent bien une fenêtre d'information en pleine page, mais l'utilisateur doit souvent cliquer sur « J'accepte » ou « OK » pour accéder au service, alors qu'il est aussi censé pouvoir refuser sans être pénalisé.
Dans le cas où il peut fouiller dans la jungle des conditions d'utilisation pour interdire, par exemple, les « cookies tiers » qui transmettent ses données à d'autres acteurs à des fins publicitaires, la démarche se révèle souvent complexe, voire dissuasive.
« Consciemment ou inconsciemment, beaucoup trop de sites proposent encore une conformité de façade », déplore Sylvain Staub, avocat spécialisé en droit du numérique au sein du cabinet Staub & Associés.
La Cnil débordée mais encline à sanctionner
La faute, en partie, à un régulateur débordé. À la fin de son mandat, Isabelle Falque-Pierrotin, l'ancienne directrice de la Commission nationale de l'informatique et des libertés (Cnil), avait déploré le manque de moyens de son institution au regard de ses nouvelles responsabilités. « Là où, dans des pays comparables à la France, nos homologues ont des équipes de 500 personnes, nous n'en avons que 200 », lâchait-elle au Monde. Ainsi, certaines entreprises profitent du fait que la Cnil n'a ni le temps ni les moyens humains de contrôler l'application du RGPD pour repousser le chantier de leur conformité ou faire du « RGPD washing », à savoir se dire conforme sans l'être vraiment.
Mais la Cnil sait aussi réagir aux violations les plus graves, comme le prouvent les 48 mises en demeures prononcées en 2018 - seulement 13 ont été rendues publiques - et les 11 sanctions (dont 9 pécuniaires) qui en ont découlé. La plus importante est, bien sûr, celle de Google, condamné en janvier 2019 à 50 millions d'euros d'amende pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Ce montant représente une goutte d'eau pour le moteur de recherche (0,04% de son chiffre d'affaires mondial de 136,22 milliards de dollars en 2018), loin des 4% théoriques (5,4 milliards d'euros). Mais son ampleur est une première, d'autant que l'amende est la réponse à une action de groupe menée par les associations None of Your Business (NOYB) et La Quadrature du Net.
« Nous sommes assez mitigés, car le montant est faible et l'essentiel de nos plaintes contre les géants du Net n'a pas encore été traité. Mais cette action collective a été soutenue par 12.000 mandataires, ce qui est un record en France et le signe que la protection des données devient un enjeu sociétal », se réjouit Alexis Fitzjean Ó Cobhthaigh.
Pour lui et d'autres experts, la sanction contre Google envoie le signal qu'il ne faut plus faire n'importe quoi avec les données personnelles et annonce des amendes à venir beaucoup plus salées, comme celle qui pend au nez de Facebook après la révélation des nombreux scandales qui entachent le groupe depuis deux ans.
Les grandes groupes s'adaptent, les TPE et PME "résistent"
« Le RGPD n'a pas fait "pschitt", bien au contraire », affirme même Sylvain Staub. L'avocat estime qu'il a créé un « nouveau standard mondial » qui pousse de nombreux pays à élever leur niveau de protection des données pour s'aligner avec l'Europe. De plus, si le grand public perçoit peu l'impact du RGPD, les entreprises, elles, « vivent un changement structurel profond », poursuit l'avocat.
Effrayés par les sanctions, les grands groupes de tous les secteurs sont au travail. « Le CAC 40 est globalement en conformité car au-delà des sanctions possibles, il est important de montrer patte blanche aux clients, fournisseurs et salariés, et soigner son image », précise Alexandre Lazarègue, le fondateur du cabinet Lazarègue Avocats.
Pour Sylvain Staub, si le RGPD est un peu lent au démarrage, son impact sera profond :
« Le grand public ne voit pas que les entreprises s'organisent pour limiter les failles de sécurité et les violations de confidentialité. C'est toute la culture de la donnée qui change, car le RGPD est le premier texte qui concerne tous les niveaux de l'entreprise, dans tous les secteurs. »
Restent les TPE et les PME, clairement en retard. Certaines entreprises du SBF120 sont même loin de la conformité.
« Il y a une vraie résistance au RGPD, y compris de la part d'entreprises qui vivent de la collecte de données », estime Alexandre Lazarègue. « Le RGPD est une source de coûts qui peut mettre en péril la petite et la moyenne entreprise », déplore-t-il.
Recruter un délégué à la protection des données (DPO) en interne ou en externe, payer plusieurs milliers d'euros pour un diagnostic des traitements de données et, surtout, changer ses pratiques marketing, commerciales et de sécurité paraissent des chantiers insurmontables à de nombreuses TPE et PME. Un vrai défi pour les prochaines années.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés