Le règlement général sur la protection des données personnelles : symbole d’une Europe qui protège

Le règlement général sur la protection des données personnelles (RGPD) n’est pas une législation européenne comme les autres. La preuve, vous en avez sûrement entendu parler, ne serait-ce que par la vague de « changement de conditions d’utilisation pour se conformer au RGPD » qui a envahi votre boîte mail ces dernières semaines. Et pour cause, les droits qu’il crée pour les citoyens et les obligations qu’il impose aux entreprises et associations obligent tout le monde à se mettre au diapason comme nous le décrivions dans cet article. On parle donc d’Europe sans que la Commission ne dépense des millions dans une campagne de communication, sans réunions de chefs d’Etat à Bruxelles et sans pétition en ligne pour défendre le camembert au lait cru contre les attaques d’eurocrates hors-sol. C’est déjà une révolution en soi. Ce n’est cependant que la partie immergée de l’ambitieuse politique européenne pour la protection de notre vie privée.

A Bruxelles, comme dans toute capitale où la législation est débattue, la formule est convenue « il faut protéger les consommateurs sans pour autant restreindre la capacité des entreprises à innover ». La plupart des législations qui régulent le secteur économique sont généralement un compromis entre ces deux injonctions : protection des consommateurs et innovation, synonyme de croissance des entreprises et donc de l’économie.

Le débat sur la protection des données personnelles s’affranchit de cet axiome binaire pour une raison simple : la protection de la vie privée et la protection des données personnelles sont consacrées par la Charte européenne des droits fondamentaux. Elles sont respectivement prévues aux articles 7 et 8 entre le droit à la liberté et la sûreté et le droit de se marier et de fonder une famille.

Jacques Toubon, Défenseur des droits français, le rappelait récemment aux députés LaREM lors du débat sur la loi Asile. « Les droits fondamentaux ne peuvent être relatifs ». [1] Les autres considérations, notamment économiques viennent après. Le RGPD n’est donc qu’un outil pratique mettant en œuvre les principes consacrés par nos Traités. C’est un signal fort envoyé à tous les Européens. Vos droits fondamentaux seront respectés, l’Union européenne en est la garante.

Le fait que l’aspect économique soit secondaire lorsque l’on parle de droits fondamentaux veut-il pour autant dire que le RGPD dessert l’économie européenne ? Malgré les cris d’orfraies poussées par les Cassandres s’opposant au règlement au moment où il était débattu, le secteur des nouvelles technologies en Europe pourrait bien en bénéficier. En l’absence de régulation, les nouvelles technologies ne parvenaient pas à gagner la confiance des utilisateurs, émoussée par les scandales à répétition (Prism, Cambridge Analytica) et les cyberattaques et fuites de données (Yahoo, WannaCry). D’après un baromètre Harris Interactive dont la dernière édition est parue en décembre 2017, la confiance dans les services en ligne reste constamment faible depuis 2009. Les principales craintes citées par les Français concernant leurs données personnelles sont leur usage à des fins commerciales et les risques de piratage. [2]

Les entreprises n’ayant pas réussi à apporter des garanties suffisantes, il était donc normal que le régulateur se saisisse du sujet pour restaurer la confiance, facteur essentiel pour garantir le développement des nouvelles technologies. Le RGPD ne devrait pas être vu comme une contrainte par les entreprises. Il est essentiel pour que les consommateurs adoptent leurs services de demain. L’exigence du règlement est une chance, il confère un bonus à ceux qui s’y conforment. Plus encore que les amendes et sanctions prévues, le règlement conduira à différencier les bons et mauvais élèves avec potentiellement un impact sans précédent sur le choix des consommateurs et des entreprises lors du choix des services auxquels ils souscrivent. Respecter la vie privée ne serait plus alors qu’une contrainte, mais au contraire un argument commercial.

Peut-être que l’élément le plus remarquable des nouvelles règles européennes est leur portée. Le règlement s’applique aux traitements de données réalisés par toute organisation (entreprise, association, etc.) exerçant une activité dans l’Union européenne (UE) et au traitement des données personnelles relatives à des personnes physiques (individus) qui se trouvent dans le territoire de l’UE. Toute entreprise voulant fournir ses services numériques sur le marché de l’Union devra donc s’adapter, où qu’elle soit, plutôt que de prendre le risque de se voir fermer la porte d’un marché de 500 millions de consommateurs.

Cependant, l’impact du RGPD sera en réalité plus large. Pour de nombreuses entreprises, il est plus cohérent d’appliquer les règles du RGPD a toutes leurs activités, partout dans le monde. Cela peut être motivé par le fait que mettre deux systèmes différenciés selon l’origine des données peut s’avérer plus couteux, ou pour garantir plus de certitude juridique. Néanmoins, en lisant le communiqué de Microsoft [3] qui a décidé d’appliquer les règles européennes de protection des données à tous ses utilisateurs, on se rend vite compte qu’il s’agit là d’un argument de communication. Comment justifier auprès des clients situés hors d’Europe qu’ils seraient des utilisateurs de seconde classe ?

L’Union européenne est en train de définir les standards mondiaux de la réglementation en ligne. Après avoir frappé les géants mondiaux du numérique au portefeuille sous l’angle de la concurrence, elle les oblige désormais à respecter les citoyens, pas seulement en Europe. Le tour de force est de ne plus faire dépendre cela de la volonté d’une Commissaire particulièrement déterminée comme Margrethe Vestager. L’UE donne les moyens aux citoyens de se défendre devant les tribunaux. Ils s’approprient le règlement et font valoir leur droit, à plusieurs via des actions de groupes si nécessaire. [4]

Bien entendu, la protection de la vie privée est un processus inachevé. Le règlement européen ePrivacy [5] actuellement en discussion au Parlement et au Conseil viendra bientôt renforcer la protection des communications électroniques. Les développements de nouvelles technologies comme les blockchains ou l’intelligence artificielle nécessiteront certainement d’ajuster la réglementation, mais ce sont autant d’opportunités de l’améliorer.

Le projet européen a été créé pour garantir la paix, il a été approfondi pour contribuer à la prospérité économique. S’il veut continuer à exister, il doit protéger les citoyens. La protection de notre vie privée est donc une brique essentielle pour la reconstruction dont l’Union européenne a tant besoin.