Le RGPD a globalement un bilan plutôt positif, ainsi que le souligne la CNIL. Il a eu des effets bénéfiques notamment lors des transferts internationaux des données, sur la mise en place d’une meilleure gouvernance de la donnée ou le développement de la cyber-résilience (savoir vivre avec le risque). Contrairement à certains préjugés, il a favorisé l’innovation, précisément parce qu’il a fallu développer des solutions techniques pour son application. Les entreprises ont cependant encore des difficultés de mise en conformité. Celles-ci sont liées à la charge de travail, la complexité du Règlement et à son coût.
D’un point de vue macro-économique, le RGPD est une réussite européenne que ce soit au plan politique ou législatif. Politiquement, son extraterritorialité est un message fort face à des pays qui s’octroyaient des droits et imposaient leurs lois dans le monde entier. Législativement, le RGPD est le premier pas vers une harmonisation des législations nationales et des droits des citoyens (numériques) européens.
D’un point de vue micro-économique, les résultats sont (beaucoup) plus contrastés. Perçu comme un ensemble de règles complexes, contraignantes et coûteuses pour la majorité des TPE, PME, associations et même des administrations. Fort de ce constat, beaucoup n’ont même pas débuté leur mise en conformité. L’incompréhension est d’autant plus forte dans les activités B2B où la raison d’être du RGPD est pour le moins incomprise…Voir suspicieuse au vu du détournement manifeste qui se développe aujourd’hui, notamment, autour du droit d’accès des salariés. L’exemple est le suivant : dans le cadre d’un procès entre un salarié et son employeur devant le Conseil de prud’hommes, l’employeur n’est pas obligé de verser aux débats les emails qu’il aura échangés avec le supérieur hiérarchique de son salarié ou le responsable des ressources humaines, la partie au procès choisit les éléments de preuve qu’elle entend produire. Or, par l’exercice du droit d’accès, le salarié peut contraindre l’employeur à communiquer TOUS les éléments qu’il détient sur lui et notamment par exemple les emails qu’il aurait échangés avec d’autres personnes, même si le salarié n’était pas nommément désigné, dans la mesure où on peut deviner son identité. Comment adhérer à des principes qui permettent d’inverser la charge de la preuve et de fournir des éléments contre soi-même ?
Le caractère général du RGPD, qui s’applique à Amazon comme à votre boulanger, est mal reçu et ce d’autant que son entrée en vigueur a fait naître non seulement un sentiment de frustration (nous n’avons pas tous les moyens humains et techniques de Google) mais aussi, en parallèle, un marché et de nombreux « experts » plus ou moins avertis.
Mais plus encore, le RGPD n’a pas eu tous les effets concrets escomptés. Logiquement, il aurait dû nous amener à proposer des solutions de cloud souverain, ou mieux encore, selon le principe éprouvé de subsidiarité, conduire à des solutions locales spécialisées d’hébergement de données. Des initiatives voient le jour mais sont bien seules face à des entreprises liées contractuellement aux GAFAM depuis bien trop longtemps, ou des États éloignés de ces sujets.
Il n’en demeure pas moins que certaines mesures organisationnelles imposées par le RGPD ont permis de mieux affronter le contexte sanitaire et la multiplication des cyberattaques. Cartographie des traitements, informations préalables et consentements, politique de gestion des données personnelles, registre des traitements, …Toutes ces notions sont encore peu maîtrisées, budgétées et appliquées par une très grande majorité.
Ce règlement est sans doute un des textes législatifs européens les plus importants. Il est précurseur et sa pertinence a éveillé l’intérêt de plusieurs gouvernements du monde entier qui s’en sont déjà inspiré ou envisagent de s’en inspirer. Comment ce texte va-t-il évoluer ? Comment doit-il le faire ?
La question doit se poser rapidement : nos libertés individuelles sont en jeu que ce soit dans le monde réel ou dans le (les) métaverse(s).
L’Institut travaille actuellement sur l’élaboration d’une charte des droits fondamentaux du numérique et ce n’est que par ce prisme que nous parviendrons à encadrer la défense du principe de liberté notamment celui de la liberté d’expression, et à contrôler l’impact négatif que ces mécanismes ont engendrés sur nos vies privées. Nous nous devons de parvenir à un équilibre entre les intérêts économiques nouvelle génération et la protection de nos droits fondamentaux tels qu’ils s’inscrivent dans nos sociétés démocratiques.
Benjamin Martin-Tardivat
Avocat spécialiste du numérique
Membre du comité Europe iDFrights
Colette Bouckaert
Secrétaire Générale iDFrights
Membre du comité Europe iDFrights