Le 22 novembre 2018, l’ANVIE (Association Nationale pour la Valorisation Interdisciplinaire de la recherche en sciences humaines et sociales auprès des Entreprises) organisait une matinée-débat sur le thème " Protection des données personnelles. Le RGPD : et après ? ". Cette session était animée par Claire Levallois-Barth (Coordinatrice de la Chaire et chercheuse en droit à Télécom
ParisTech) et comprenait les interventions de Martin Quinn (Chercheur Postdoctoral à la Chaire VPIP et Télécom ParisTech) et Hugo Zylberberg (chercheur associé à la Chaire VPIP et Fellow à Columbia University).
L’enjeu était triple : organiser un premier retour d’expérience sur la mise en conformité au RGPD en donnant la parole aux acteurs, permettre à des chercheurs d’en exposer les enjeux à la fois juridique, politique et économique, et discuter des textes législatifs en cours d’adoption.
Dans une première partie intitulée « Le RGPD six mois après son entrée en vigueur », les participants ont partagé leur retour d’expérience et échangé sur les modalités de gestion des données personnelles mises en place depuis le 25 mai 2018 à la fois par les multinationales et les petites et moyennes entreprises. Si certaines entreprises ont adopté des stratégies plus élaborées que d’autres, toutes soulignent le coût élevé de la démarche de conformité au RGPD, par rapport au chiffre d’affaires de chacune. Cette démarche entraîne d’importantes transformations dans les structures techniques et organisationnelles des entités. Elle offre également certaines opportunités, notamment en ce qui concerne la gestion du droit à l’oubli ou du droit à la portabilité qui peut être intégrée dans les stratégies d'entreprises.
Ces investissements ne sont pas pris à la légère. On note une inquiétude quant à l'impact que pourrait avoir le RGPD sur les marchés, notamment celui de la publicité en ligne, et ce d’autant plus que des doutes existent quant au respect des obligations légales par certains concurrents. Ainsi, l’association NOYB (None of your business) a déposé dès le 25 mai 2018 quatre plaintes similaires pour « consentement forcé » et traitement illicite contre Google (Android), Instagram, WhatsApp et Facebook, respectivement auprès de la CNIL en France, de l’autorité de protection des données en Belgique, du HmbBfDI à Hambourg et du DSB en Autriche. De son côté, l’association INTERNET SOCIETY France a lancé début novembre 2018 la première action de groupe française contre Facebook pour « non-respect du RGPD » auprès du tribunal de grande instance de Paris. Elle espère faire condamner la multinationale jusqu'à 100 millions d'euros de dommages et intérêts.
La deuxième partie de la matinée a permis de discuter de l’adoption éventuelle de nouveaux textes législatifs, notamment le règlement ePrivacy[1] en cours de négociation au niveau de l’Union européenne. Aux États-Unis, on note parmi les nombreuses lois existantes au niveau des États l’adoption le 28 juin 2018 par les parlementaires de l’État de Californie du California Consumer Privacy Act[2]. Le débat porte désormais sur l’adoption ou non d’une loi fédérale générale sur la protection des données personnelles.
Plus particulièrement, Martin Quinn est intervenu sur le thème « Les régulations sur les données personnelles comme appareil de confiance ».
C’est dans ce contexte que se dessine une question clef : quel impact la mise en place du RGPD peut-elle avoir sur le fonctionnement du marché ? Afin de ne pas désavantager les petites et moyennes entreprises et de stimuler une activité économique saine, il est indispensable de rendre les régulations plus rapidement et facilement applicables. Il est alors nécessaire de décrypter comment le RGPD impacte l’économie numérique.
L’impact du RGPD sur les marchés numériques est généralement vu comme négatif. En effet, on associe généralement protection des données personnelles et baisse de profits des entreprises. Or ce n’est pas toujours le cas et c’est notamment ce que tentent de démontrer les chercheurs en économie de la Chaire VPIP. Ils posent la question suivante : dans un climat de méfiance envers le marché qui ne respecte pas la vie privée des utilisateurs, l’introduction d’une régulation sur les données personnelles peut-elle restaurer un climat de confiance et améliorer les profits des entreprises ?
A travers plusieurs travaux, les chercheurs soulignent une corrélation positive entre activité en ligne et protection des données personnelles. Cette activité peut notamment se traduire par une fréquence d’achat plus élevée, ou un temps passé en ligne plus important. Les travaux soulignent ainsi que les régulations peuvent représenter un levier pour réinjecter de la confiance envers les marchés, générant ainsi un développement économique plus intense. Il conviendrait alors d’anticiper ce regain de confiance afin proposer des biens et des services adaptés qui répondent aux attentes des utilisateurs.
Ceci est d’autant plus important dans un contexte où la protection des données personnelles continue à se développer. C’est le cas en France, avec l’arrivée prochaine du règlement e-Privacy, qui fait encore l‘objet d’intenses discussions concernant les notions clés des pratiques des acteurs actuels du monde numérique. Son implémentation renforcerait la protection des données et les bonnes pratiques sur les marchés numériques, mais représenterait également de nouvelles contraintes importantes pour les entreprises.
C’est aussi le cas aux États-Unis où la protection des données s’exporte en Californie, mais également dans d’autres pays comme l’Uruguay, le Japon ou encore le Brésil. Sur ce sujet, Hugo Zylberberg a pu exposer les fonctionnements des autorités de régulations de ces pays ainsi que leurs manières de collaborer, notamment à travers des « décisions d’adéquation ». Ces dernières permettent une gestion homogène des transferts de données vers les pays bénéficiant d'une telle reconnaissance. Leur développement représente alors un outil clef pour les entreprises évoluant à l’international.
En conclusion, cette matinée a pu souligner de nombreux enjeux relatifs à l’implémentation des textes de protection des données personnelles. A la fois économique, politique et juridique, l’implémentation de la régulation fait l’objet de vives négociations au plan international. Les obstacles rencontrés sont nombreux pour les entreprises, mais pourrait in fine avoir des conséquences vertueuses sur l’activité économique.
----------------------------------------------------
Martin Quinn, post-doctorant en économie à Télécom ParisTech, membre de la Chaire Valeurs et Politiques des Informations Personnelles
----------------------------------------------------
[1] Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»), 2017/0003 (COD), https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52017PC0010.
[2] The California Consumer Privacy Act of 2018, AB-375 Privacy: personal information: businesses. Assembly Bill No. 375, CHAPTER 55, An act to add Title 1.81.5 (commencing with Section 1798.100) to Part 4 of Division 3 of the Civil Code, relating to privacy. [Approved by Governor June 28, 2018. Filed with Secretary of State June 28, 2018. ], https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375