Le retentissement mondial du RGPD

Le retentissement mondial du RGPD

En novembre 1979, le journal mensuel Le monde diplomatique1, publiait un  inquiétant  dossier : La guerre des données. « Dans la guerre économique et industrielle mondiale, se dégage un nouveau front : celui de l’information. Front difficile à cerner, car il se rapporte aussi bien à l’information comme production immatérielle — de la transaction bancaire à la distribution par correspondance, en passant par la gestion ou l’enseignement — qu’à l’information comme ressource, clé de toute stratégie, prévision ou décision ». Quatre décennies ont passé depuis, mais la problématique des données se situe toujours au cœur d’enjeux politiques internationaux. En effet, nul n’est besoin de rappeler l’ampleur du scandale né des révélations d’Edward Snowden : les « five   eyes » de l’alliance des services de renseignement de l’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis, explorant les données des individus sous couvert de protection d’une menace terroriste, présentée comme une externalité négative justifiant l’exploitation des données personnelles ; et ce jusqu’à faire surveiller les communications de dirigeants européens. Les données personnelles sont donc, plus que jamais, au centre de conflits diplomatiques.

Ces scandales ont formé le terreau d’une nécessaire réforme sur la protection des données personnelles au sein de l’Union européenne : le Règlement Général pour la Protection des Données (RGPD). L’intronisation de ce système novateur, moderne, digne du nouveau millénaire et des nouveaux enjeux que pose la révolution numérique, fait de l’Union européenne un exemple mondial dans la protection des données. Selon le site internet de la Commission européenne2, un marché numérique pleinement opérationnel pourrait rapporter jusqu’à 415 milliards d’euros à l’économie de l’Union européenne chaque année. Entreprendre ces réformes ambitieuses, c’est libérer ce potentiel.

L’Union européenne ne pouvait éluder cette opportunité.

I- Le RGPD, aboutissement d’inquiétudes européennes

Peu avant l’entrée en vigueur du RGPD le 25 mai 2018, le scandale Cambridge Analytica, est venu opportunément rappeler en mars 2018 l’importance d’un cadre règlementaire contraignant en matière de protection des données. Cambridge Analytica est accusée d’avoir utilisé les données de 30 à 70 millions d’utilisateurs de Facebook, recueillies sans leur consentement. Désigné « Projet Alamo », ce système diffusait en moyenne plusieurs dizaines de publicités par jour, déclinées en dizaines de milliers de variations différentes – couleur, design, texte – en fonction des groupes d’électeurs potentiels visés3, données instrumentalisées pour la campagne de Donald Trump, aujourd’hui président des Etats-Unis.

La clef de ce scandale réside dans le verrou de l’absence de consentement. Précisément, le consentement constitue un point d’attention du RGPD. Désormais, pour exploiter des données, les entreprises doivent disposer de l’accord préalable des utilisateurs, par un acte positif  clair. L’internaute néophyte doit pouvoir naviguer sur l’océan numérique en toute sérénité.

De nouvelles contraintes naissent alors pour les entreprises, qui doivent repenser leur rapport aux données personnelles des utilisateurs de leurs sites ou applications, et même de leurs salariés. Emeline Guedes, l’écrivait l’année dernière sur ce même blog, dans un article : RGPD ET ENTREPRISES : AU TRAVAIL !4 : « il s’avère que cette réforme est un vrai bouleversement pour les entreprises. »

Qu’importe, pourrait-on penser : comme le déclarait Michael Porter, professeur de stratégie à la Harvard Business School, « la contrainte règlementaire pousse à l’innovation ». Laure Trottain, responsable du département Données Personnelles, Sécurité et Fraudes chez Orange l’exposait d’ailleurs dans une interview menée par Sarah Meunier,   LE RGPD ET ORANGE, VU PAR  LAURE TROTTAIN5, « pour un acteur qui est soumis au RGPD, s’il le gère correctement, il peut également en faire un réel service et un réel avantage marketing ; toute la question est de savoir comment on le markette ».

II- Sur la voie d’une harmonisation mondiale ?

L’Union européenne constitue un partenaire commercial titanesque, 500 millions de consommateurs avec un fort pouvoir d’achat : ignorer ses nouvelles règlementations serait fermer boutique pour beaucoup d’entreprises. Par ce règlement, l’Union pourrait être à l’origine d’une harmonisation mondiale, un nivellement par le haut, quant à la protection des données. Facebook par exemple, devient l’instigateur de cette tendance en étendant les règles du RGPD appliquées au profit des utilisateurs européens à l’ensemble des utilisateurs du réseau social.

Pourtant, cette réforme n’est pas vraiment consensuelle à l’international. En effet, si 85 % des allemands se prononcent en faveur d’une régulation contraignante en matière de protection des données, leurs homologues états-uniens ne sont pas de cet avis : seulement 29% abondent dans ce sens6. Une étude menée par Dell, une entreprise de matériel informatique, révèle ainsi que les américains sont davantage enclins à céder une partie de leur vie privée pour une offre de services digitaux plus étoffée.

« Le traitement des données personnelles a donné naissance à un conflit entre protection des droits fondamentaux et intérêts économiques, que le règlement tente de concilier » expliquait Marine Buat, le 27 février 2018, dans un article Le RGPD, tentative de conciliation d’intérêts divergents. Une interrogation s’esquisse alors autour de cette constatation. De la même façon que Philip Morris avait attaqué l’Australie pour le paquet neutre au titre d’une violation du droit des marques, si le TAFTA (Transatlantic Free Trade agreement) avait abouti, les entreprises de Big Data auraient-elles pu poursuivre en justice l’Union européenne pour une règlementation entravant leur liberté d’entreprendre ? Ce traité avait en effet pour projet d’établir entre l’Union européenne et les Etats Unis un mécanisme arbitral présent dans de nombreux accords internationaux d’investissement (Investor- State Dispute Settlement). Ce système de règlement de litiges protège les entreprises d’abus de droit perpétrés par les Etats où elles s’installent. Dans la pratique, plusieurs décisions ont tendu à remettre en question les législations environnementales, sociales ou sanitaires des Etats qui allaient à l’encontre des intérêts de certaines entreprises7. Elles auraient pu, peut-être, s’étendre au Règlement Général pour la Protection des Données.

                                                                                  Mathilde Nilsson

1. 1. https://www.monde-diplomatique.fr/1979/11/A/35327
   2. https://ec.europa.eu/commission/priorities/digital-single-market_fr
   3. https://www.lemonde.fr/pixels/article/2018/03/21/quelle-a-ete-l-importance-reelle-de-cambridge-analytica-dans-la- campagne-de-trump_5274423_4408996.html
   4. http://master-ip-it-leblog.fr/rgpd-et-entreprises-au-travail/
   5. http://master-ip-it-leblog.fr/le-reglement-europeen-sur-la-protection-des-donnees-personnelles-et-orange/
   6. https://hbr.org/2018/04/why-the-rest-of-world-cant-free-ride-on-europes-gdpr-rules
   7. https://www.lemonde.fr/les-decodeurs/article/2016/05/19/la-france-promeut-l-arbitrage-prive-du-tafta-au-sei meme-de-l- europe_4921900_4355770.html