Aujourd’hui, avec l’avènement d’internet, les consommateurs sont devenus, en quelque sorte, dépendants de ces innovations technologiques qui leur apportent beaucoup d’avantages et de facilités au quotidien. Certaines entreprises n’ont pas hésité à créer des services diversifiés et attractifs pour capter l’attention du plus grand nombre. On vise notamment les grands comptes dont plusieurs de leurs offres sont proposées sans aucune contrepartie financière. Cet avantage visible a permis à ces entreprises de se développer rapidement et fortement, et de connaître un succès mondial inédit tout en imposant leur propre politique. Les pratiques de ces firmes n’ont toutefois pas tardé à apparaître comme dangereuses et sources de risques divers pour les utilisateurs. Tout mouvement effectué est en effet surveillé et cette collecte continue de données a impliqué, d’une part, un renforcement du pouvoir de ces entreprises et a rendu, d’autre part, difficile pour les européens de contrôler l’ensemble de leurs données.
Un pouvoir existant
Un des apports du RGPD porte sur le renforcement des droits des individus. Ceux-ci peuvent désormais demander l’accès à leurs données, les rectifier, les supprimer, les récupérer dans un format lisible par une machine, limiter leur traitement ou encore s’y opposer. Du fait de ces droits, le législateur a souhaité que les personnes concernées reprennent le contrôle sur leurs données et qu’elles soient en mesure de décider de leur sort.
Cette règlementation a également renforcé les obligations à la charge des organismes tout en encadrant strictement la collecte et le traitement des données. Ainsi, le responsable de traitement doit faire preuve d’une transparence vis-à-vis des personnes concernées et doit leur transmettre les informations permettant d’effectuer un choix éclairé quant à la communication ou pas de leurs données.
Par ailleurs, les données ne peuvent être traitées que dans le cas où le responsable de traitement a le droit de le faire, c’est-à-dire que le traitement se base sur un fondement juridique. Ainsi, dans le cas où le traitement des données n’est pas imposé par un texte légal ou qu’il est nécessaire pour la sauvegarde des intérêts vitaux d’une personne ou pour l’exécution d’une mission d’intérêt public, le consentement de la personne concernée doit être collecté à moins que le responsable de traitement ne démontre qu’il a un intérêt légitime à traiter les données et que cet intérêt ne prévale pas sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Cette volonté de renforcement du pouvoir des européens ressort également du champ d’application large du règlement. Sont concernés non seulement les organismes qui se trouvent en Europe, mais aussi ceux qui ciblent des résidents européens. Ce champ d’application extraterritorial est également assuré par les règles sur les transferts des données. Les articles 44 et suivants du RGPD imposent de vérifier le niveau de protection du pays destinataire avant tout transfert de données et en l’absence d’une décision d’adéquation, de recourir à des garanties suffisantes.
Une dominance risquée
Ce pouvoir que confèrent les dispositions européennes aux individus ne semble pas pleinement effectif. Tout d’abord, plusieurs des outils utilisés par un grand nombre des utilisateurs européens sont proposés par des entreprises non européennes. Les sites Youtube, Google et Amazon figurent parmi les sites les plus utilisés en France. Or, ces entreprises ne présentent pas toujours un niveau de protection équivalent à celui exigé par la règlementation européenne. Avec l’invalidation du Safe Harbor et du Privacy Shield, il paraît de plus en plus difficile de garantir les mêmes pouvoirs aux individus dans le cas où les données sont transférées en dehors de l’Union européenne. Un décret a été signé, il y a quelques jours, pour encadrer les transferts de données entre l’Europe et les Etats-Unis, venant compléter l’accord signé en mars 2022. Bien que le contenu de ces accords n’ait pas encore été révélé, nous pouvons d’ores et déjà nous interroger sur leur efficacité en l’absence d’une réforme de fond aux Etats-Unis.
Ensuite, il paraît que les dispositions européennes ne peuvent produire pleinement leur effet en raison des divergences existantes entre les différents pays quant à la manière dont est perçue la donnée personnelle. Alors que pour certains, les données personnelles constituent des attributs propres à l’individu nécessitant une protection attentive, d’autres les considèrent comme étant des biens commerciaux ou encore des outils qui permettent de contrôler les populations. Ceci implique un affaiblissement du pouvoir qu’ont les personnes. Ainsi, du côté outre-Atlantique, le Patriot Act et le Foreign Intelligence Surveillance Act (FISA) semblent étendre la portée géographique des requêtes des autorités américaines aux données qui se trouvent sur des serveurs indépendamment de leur localisation, dès lors que l’organisme est américain. De telles lois renforcent les pouvoirs des autorités étrangères et constituent une menace à la règlementation européenne. Les données se trouvant entre les mains des entreprises étrangères ne bénéficieront dès lors pas d’une protection parfaitement identique à celle imposée au niveau européen et l’utilisation des données ne se limitera pas forcément à ce qui est strictement nécessaire et proportionné.
Enfin, cet affaiblissement du pouvoir des européens est en quelque sorte dû à la stratégie adoptée en Europe pour assurer la protection des données. La solution repose notamment sur le renforcement du cadre juridique. Mais cela ne semble pas suffire et il est nécessaire d’encourager la création d’outils ayant des fonctionnalités aussi robustes et efficaces que celles proposées par les entreprises étrangères, ce afin de limiter les transferts de données et d’assurer le pouvoir que la règlementation européenne vise à garantir.
Or, en l’absence de telles actions, la dépendance aux grands comptes pourrait constituer un véritable obstacle à la protection des personnes et un frein à une consolidation du pouvoir des individus.
Tribune rédigée par Ola Mohty, Juriste et experte RGPD chez Data Legal Drive
<<< A lire également : Sylvain Staub, fondateur de Data Legal Drive : « Les entreprises européennes défendent désormais une réelle culture éthique de la gestion des données » >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits