Il y a cinq ans, le règlement général sur la protection des données (RGPD) entrait en vigueur. Sur le terrain, informaticiens, juristes et sociologues rapportent une compréhension et/ou une application contrastée de ce texte phare de la protection de la vie privée.
Sept ans après son adoption, cinq ans après son entrée en vigueur, dans quelle mesure le règlement général sur la protection des données est-il respecté ? En pratique, les internautes savent-ils et peuvent-ils, même, protéger leur vie privée en ligne ?
Ces questions ont sous-tendu une partie des présentations et débats qui ont eu lieu, le 14 juin, lors du riche Privacy Research Day organisé par la CNIL et son laboratoire d’innovation numérique LINC.
Professeur assistant à l’Université Ouverte des Pays-Bas, René Mahieu est, le premier, revenu sur le règlement européen encadrant l’usage fait des données personnelles des internautes. Plus précisément, il s’est penché sur l’efficacité des politiques répressives des Autorités de protection des données (DPA, pour data protection authorities).
- Le RGPD expliqué ligne par ligne
- Le RGPD, un an après
- La CNIL publie une nouvelle version de son « guide pratique RGPD »
Augmenter l’effet dissuasif des sanctions des DPA
Aux Pays-Bas, le juriste s’est en effet penché sur un phénomène particulier : celui du nombre croissant de plaintes enregistrées par l’autorité locale, qui n’entrainait pourtant aucune hausse particulière des sanctions prononcées. Interrogeant des délégués à la protection des données (DPO), René Mahieu s’est régulièrement entendu raconter les demandes des supérieurs et collègues de ses interlocuteurs. En substance, les entreprises ont une interrogation principale : « Quel risque court-on à ne pas être conforme aux obligations du RGPD ? »
Et René Mahieu de rappeler le principe de la théorie de la dissuasion, « ancré dans le RGPD » : il faut que le coût attendu de la mise en conformité soit plus bas que celui de la non-conformité pour qu’elles aient un réel effet sur les comportements. « Autrement dit, résume le juriste, il faut que se conformer à la loi vaille quelque chose. » En l’état, le risque est trop faible pour que les entreprises hollandaises agissent.
Sa conclusion a été claire : les DPA ont besoin de trouver des manières plus dissuasives de faire appliquer la loi. Autrement, elles s’enferment dans un cercle vicieux : moins les entreprises se conforment aux textes, plus le nombre de plaintes augmente ; plus les plaintes augmentent, plus les DPA risquent une surcharge de travail ; plus ces dernières sont surchargées, moins elles peuvent contrôler la conformité.
- La Commission européenne va surveiller les enquêtes transfrontalières relatives au RGPD
- Près de 3 milliards d'euros d'amendes ont été infligées en 2022 pour infraction au RGPD
Autre texte européen pour un même type d’acteurs visés : les auteurs du Digital Markets Act (DMA) ont déjà tiré la leçon du problème, puisqu’ils ont prévu des sanctions susceptibles de grimper jusqu’à 10 % du chiffre d’affaires annuel mondial d’une entreprise condamnée (contre 20 millions d’euros ou 4 % du chiffre d'affaires annuel mondial pour non-respect du RGPD).
Design déceptif… jusque dans le texte lui-même ?
Mais les problèmes du RGPD ne se logent pas seulement dans la menace que font planer les sanctions pour non-respect du texte. Doctorante au Max Planck Institute for Security and privacy et membre du comité européen de la protection des données (EDPB), Lin Kyi a en effet présenté un travail mené sur le design des bandeaux de recueil du consentement des utilisateurs. Résultat des courses : une démonstration empirique que le design de ces éléments joue sur le taux d’acceptation ou de refus des internautes d’être tracés.
Autre point peut être moins évident à débusquer : le flou qui entoure la notion d’ « intérêt légitime », l’une des bases légales prévues par le RGPD pour permettre le traitement des données personnelles. Quand on parle d’intérêt légitime, s’agit-il de celui de l’utilisateur ? De celui de l’entreprise ? À défaut de certitude, ces dernières utilisent le concept de manière variable, plutôt à leur avantage, et souvent sans donner d’explication claire aux utilisateurs.
Des adaptations aux règlements… souvent faites au dernier moment
Signal plus positif, Yana Dimova, doctorante en informatique à l’université de Louvain, a présenté l’évolution des pratiques de Facebook en matière de dépôt de cookie auprès des non-utilisateurs de la plateforme depuis 2015. Cette année-là, la DPA belge avait intimé à l'entreprise de cesser de déposer le cookie « Datr », qu’elle avait identifié comme servant à tracer toutes sortes d’internautes, y compris non-membres du réseau social.
Au fil du temps – et des amendes, notamment infligées par la CNIL –, Facebook a bien adapté ses pratiques. En revanche, note l’informaticienne, la définition donnée aux utilisateurs des cookies et de leur utilité reste vague. Et les internautes restent « nudgés » (instrumentalisés, sans contrainte, ndlr) vers l’acceptation des traceurs.
- Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics
- Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire
Autre enseignement pour les travaux futurs : en s’appuyant sur les données open source disponibles sur Github, le doctorant en informatique à l’école polytechnique de Zürich Karel Kubicek s’est de son côté penché sur la manière dont les développeurs implémentent des évolutions d’outils pour se conformer au RGPD.
Résultat des courses : un pic net d’activité est apparu en 2018, autour de l’entrée du texte en vigueur, et après deux ans de quasi-inactivité, ce qui « pose la question de l’utilité de cette période de grâce ». Après étude des actions des développeurs californiens, l’informaticien rapporte par ailleurs un relatif entremêlement des modifications réalisées pour se conformer au RGPD et à la loi californienne sur la protection des données. « Il semblerait que la communauté open source s’intéresse plus à la simplicité qu’au fait de chercher à récupérer un maximum de données », note-t-il.
Enfin, que ce soit directement au sujet des effets du RGPD, pour Lin Kyi, ou à propos de sujets connexes de protection de la vie privée, pour la représentante de la Security and Privacy Research team de Google Sunny Consolvo ou la doctorante en sociologie Laurianne Trably, plusieurs intervenantes ont souligné le besoin de créer des espaces de discussion plus mixtes, intégrant notamment les utilisateurs finaux.
Exposant les résultats d’une étude menée auprès d’internautes français vivant en milieu rural, cette dernière a en effet montré que la compréhension de la vie privée qu’ont les utilisateurs peut s’éloigner, ou a minima varier, de l’idée que s’en font les experts du sujet, tant du côté juridique que du côté technique.
Commentaires (12)
#1
C’est effectivement un des points régulièrement attaqué, les sanctions sont en déphasage avec l’économie des entreprises ciblées. Si pour une plus petite entreprise ça peut inquiéter, une avec des profits énormes comme les géants de la Tech pourrait être considérée comme moins inquiète. Surtout avec le fait qu’elles sont en capacité de faire durer les recours aussi longtemps que possible.
C’est pour ça que perso je considère qu’au delà des amendes, c’est leur capacité à exercer sur l’espace Européen qui devrait être attaquée pour les manquements les plus graves. Si on prend l’exemple des règles en Russie, elle oblige à ce que les données personnelles de ses ressortissants soient traitées sur le sol russe. Ca engendrait de belles difficultés dans les projets IT quand le Corp est consommateur de Cloud américain qui est persona non gratta chez eux. Et pour le coup, ces projets IT prenaient bien plus de pincettes que les autres quand ils traitaient avec ce pays vu que le risque était une interdiction d’exercer là bas.
Perso ça me désole de voir quasi systématiquement des présentations de projets botter en touche dans la question RGPD (vu qu’elle fait partie des dossiers d’architecture) car ils ne connaissent même pas la définition de la donnée personnelle.
#2
Physique Quantique: un bilan mitigé.
Blague à part, j’avais déjà défendu mon point de vue - fortement controversé - sur NXI.
A savoir que le RGPD est davantage une protection de l’économie européenne qu’une protection de la vie privée de ses citoyens.
Data is the new oil !
En interdisant la collectes des données personnelles sans justification et sans consentement, l’Europe limite le pompage massif et gratuit de cette ressource à forte valeur. Surtout que les entreprises hors-UE utilisent ces données pour valoriser des services qu’ils facturent ensuite à leurs clients européens.
#2.1
Sauf que le RGPD s’applique également aux services publiques, donc ça ne semble pas juste être une protection d’une ressource économique.
Je pense même que les services publiques ont moins de marge que les entreprises privées (DPO obligatoire quelque soit la taille, …)
#2.2
L’UE? ce truc dont la présidente de la commission corrompue U VDL, exfiltrée du gouvernement allemand, qui refuse Toujours de donner les SMS échangés entre elle et Pfizer, vient de s’octroyer une augmentation de 3800 euros (salaire mensuel 33 000 euros !) ?
Vous avez bien raison :)
#3
Ah sinon, dans la catégorie ils l’ont pas vue venir.
#4
Je dirais que c’est un effet malencontreux du cadre juridique: une loi doit s’applique à tous.
Tout comme lorsque tu fais une prime pour aider la vente des voitures électriques UE, bah elle profite aussi à la ventre de voitures chinoises.
#4.1
Il suffisait de mettre une exception pour les services publiques, je crois qu’il y a une exception pour les enquêtes de police ou un truc dans le genre.
Clairement, un des but était de s’attaquer aux grosses entreprises US, mais pas uniquement.
Si le but était uniquement de protéger le marché la loi aurait pu se limiter aux entreprises qui font plus de 1 milliard de CA.
#5
C’est ce qui est fait indirectement avec des amendes en % du chiffre d’affaires annuel mondial.
Sinon comment expliquer que ce ne soit pas un montant fixe, ou en fonction du volume de données, ou de la gravité des dommages, ou etc. ?
#5.1
C’est un point sur lequel tu as raison. L’amendes en % du chiffre d’affaire c’est par ce qu’ils voulaient un effet dissuasif pour les grosses entreprises.
Mais je crois que le montant est en partie en fonction du niveau de l’infraction, c’est la limite qui est en fonction du CA 20 Millions (ce qui me semble déjà élevé) ou jusqu’à 4% du CA Mondial.
Je pense que la majorité (si pas toutes) des amendes sont en dessous de ce maximum.
#5.2
Les sanctions du RGPD c’est 10 millions d’euros ou 2% du CA mondial de l’exercice précédent pour violation des obligations incombant au responsable du traitement ou au sous traitant, à l’organisme de certification ou celui chargé du suivi des codes de conduite.
Ou 20 millions d’euros ou 4% du CA mondial de l’exercice précédent pour les violations du type principes de base du traitement, violation des droits, transfert des données dans un pays non adéquat, non respect d’une injonction d’une autorité..
Dans tous les cas, c’est la valeur la plus élevée qui doit être retenue par l’autorité de protection.
A ma connaissance il n’y a jamais eu de sanction égale à l’amende maximale. Celle de Meta Inc. de 1.2 milliards d’euros représente à peine plus de 1% de son exercice 2022 (116 milliards de dollars)
#6
Je ne suis pas sur qu’il faille augmenter le montant des sanctions. Plutôt leur fréquence.
Le bilan 2022 de la CNIL signale qu’il n’y a eu que 345 contrôles et 21 sanctions. Autant dire que le probabilité pour une entreprise de se faire choper est extrêmement faible.
SI on fait le parallèle avec la sécurité routière, la limitation de vitesse sur autoroute n’a pas diminué quand on a augmenté les amendes, mais quand on a mis des radars automatiques, avec lesquels la possibilité d’échapper aux contrôles a drastiquement chuté.
#7
Certes. Mais mon raisonnement est que
Dans le même esprit, on voit pointer des restrictions concernant la collecte des données pour faire l’apprentissage des IA.
Quand un site/entreprise prend cette décision de restreindre les accès, est-ce pour protéger les données ? Ou, n’est-ce pas plutôt pour empêcher un tiers/concurrent de “valoriser” gratuitement des données ?
Je suis d’avis que ces sites/entreprises se sont dit: “houla, nos données valent de l’or. On va empêcher les autres de les collecter gratuitement”.
Et bah pour le RPGD, je pense que c’était pareil. Les données ont de la valeur, on ne va pas les laisser filer pour rien.