RGPD : un dispositif encore peu efficace et qui affaiblit les entreprises européennes<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
RGPD : un dispositif encore peu efficace et qui affaiblit les entreprises européennes
©LIONEL BONAVENTURE / AFP

Un cookie ?

Entré en vigueur en mai 2018, le RGPD (Règlement Général de Protection des Données) est un texte européen censé pour encadrer le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Six mois après, quel premier bilan en tirer ?

Etienne  Drouard

Etienne Drouard

Etienne Drouard est avocat spécialisé en droit de l’informatique et des réseaux de communication électronique.

Ancien membre de la CNIL (Commission nationale de l'informatique et des libertés), ses activités portent sur l’ensemble des débats de régulation des réseaux et contenus numériques menés devant les institutions européennes, françaises et américaines.

Voir la bio »

Atlantico: Six mois après son entrée en vigueur, où en est l'application du RGPD ?

Etienne Drouard : Il est en train d'être appliqué par les entreprises. On sait aujourd'hui que 85% d'entre elles n'ont pas encore bouclé leur inventaire des données personnelles qu'elles traitent. Elles ont énormément travaillé sur la pédagogie, la formation, elles se sont dotées d'une gouvernance avec les moyens qu'elles ont pour définir comment se coordonner sur le sujet. Elles ont rendu visibles sur internet les politiques modifiées, des informations adaptées au RGPD, elles mettent en place dans leur service client des réponses lorsque les personnes veulent exercer leur droit.

Par ailleurs les régulateurs courent derrière la montre. On peut dire que, et les entreprises, et les régulateurs ont pu observer la négociation du texte pendant 4 ans et ils travaillent désormais à l'interprétation comme  si le texte était incomplet. Par exemple jeudi dernier, les entreprises ont publié des lignes directrices qu'elles soumettent à une consultation publique pour savoir quel est le périmètre géographique du RGPD. Il était temps que ça vienne.

Est-ce qu'une entreprise extra-européenne va déclencher l'application du RGPD du seul fait qu'elle ait un sous-traitant européen ? La réponse est que si vous êtes un sous-traitant européen, cela va nécessairement déclencher l'application du RGPD. Cela montre que les régulateurs travaillent, les entreprises aussi et qu'on en est 6 mois plus tard encore dans un processus d'interprétation. Cela va encore durer.

Des plaintes ont récemment été déposées contre Google pour infraction au RGPD. Assiste-t-on déjà à des fraudes de certaines entreprises ?

Ce sont les régulateurs qui le diront. Mais pour l'instant ils ont un énorme travail: ces enquêtes sont lourdes et prennent du temps. Les plaintes ont été déposées le jour de l'entrée en vigueur, ce qui me laisse songeur quant à leur validité. Déposer une plainte le jour de l'entrée en vigueur d'une loi pour dénoncer le fait qu'une entreprise n'est pas conforme à cette même loi, ça ne peut que faire référence à une situation qui datait de la veille, donc lorsque le texte n'était pas encore en vigueur.

Dans l'application de la loi, si le dépôt de ces plaintes est intervenu un peu plus tard, il aurait pu se reposer sur une certaine réalité postérieure à l'entrée en vigueur. C'est tout ce que les régulateurs doivent démêler et ils doivent le faire ensemble. Aujourd'hui ce qui me parait essentiel, ça n'est pas tant que l'on décide de cibler de grandes entreprises fraudeuses mais plutôt que, si on les sanctionne, cela doit être solide comme du béton. Sinon c'est la protection des données personnelles qui sera fragilisé.

C'est pourquoi les régulateurs ne se précipitent pas. Ils doivent se mettre d'accord sur une même lecture des sujets. Parce que la promesse du RGPD, c'est l'harmonisation absolue de l'interprétation par les régulateurs. Tout cela prend du temps pendant lequel chacun fait ce qu'il peut pour avancer: les régulateurs sont extrêmement actifs, ils ont une hausse des plaintes, une hausse de devoirs d'interprétation.

Nous sommes dans une phase de fourmillement sur le plan réglementaire qui laisse passer une instrumentalisation du RGPD dans les rapports de force économiques. Lorsqu'on a peur du RGPD et qu'on se retrouve dans un contrat dans une position dominante, on demande une assurance-vie à son contractant, lui expliquant qu'en cas d'accord sur des données, il s'engage à respecter le RGPD ou alors sa responsabilité pourra être enclenchée. Aujourd'hui ce sont plutôt des rapports de force économiques dans les rapports contractuels qui nous montrent que pour être caricatural certains géants américains font payer le RGPD à des sociétés européennes en leur demandant des garanties qui les obligent ou à mentir ou à mourir. Elles apportent des garanties qu'elles ne sont pas capables de tenir sous peine de ne pas signer de contrats pourtant vitaux pour elles.

Le RGPD a été critiqué notamment parce qu'il désavantagerait les entreprises européennes comparées à certaines entreprises, notamment nord-américaines. Peut-on déjà constater ce désavantage, un écart qui se creuserait ?

Je ne peux pas donner de noms mais certaines sociétés européennes perdent  effectivement plus d'un million d'euros par semaine parce qu'elles ne peuvent plus pratiquer leur activité, par exemple de la publicité digitale si elles ne signent pas un accord de responsabilité totale. Aujourd'hui 43 Etats non-européens ont adopté une discussion de texte sur la protection des données personnelles.

On peut y voir une inspiration européenne envers le reste du monde. En réalité ces textes sont destinés à être des remparts au RGPD. Par exemple la Californie a mis une au point une loi de protection des données…  Le Japon, la Chine et la Russie ont fait de même. Cela leur permet d'affirmer que le RGPD s'arrête à leur frontière, puisqu'ils n'ont pas de niveau de protection nul. L'écart entre la loi locale et les endroits où le RGPD sera appliqué feront de ces pays des lieux où les sociétés seront plus compétitives.

La réaction du reste du monde à notre texte ne montre aucune critique envers le RGPD. Simplement on est dans la géopolitique et dans la compétition économique.

Les entreprises européennes risquent donc d'être les principales impactées par ce nouveau règlement ?

Oui. Il ne s'agit pas de souhaiter un nivellement par le bas des règles de protection des données personnelles mais le premier exemple que l'on a des interprétations du RGPD européen sont tellement strictes – plus strictes même que le RGPD – que forcément cela créé de l'insécurité et de la perte de valeur économique pour les entreprises européennes. C'est immédiat, mécanique. La manière dont le texte est interprété aujourd'hui n'est pas celle dans laquelle il a été adopté. 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !