Le 3 mai 2019, Claire Levallois-Barth est intervenue à l’Université Catholique de Louvain La Neuve en Belgique sur le thème « Le RGPD : une réelle avancée pour les utilisateurs ? », dans le cadre d’une conférence organisée par Mark Hunyadi, Professeur de philosophie sociale, morale et politique. En effet, un an après l’entrée en application du Règlement Général sur la Protection des données, il convient de s’interroger sur l’effectivité de ce texte complexe.
Certes, celui-ci entend permettre aux utilisateurs de décider, en connaissance de cause, de l’utilisation de leurs données personnelles, ce que l’on désigne par le terme français d’encapacitation ou l’anglicisme « empowerment ». À cette fin, il renforce des droits déjà reconnus comme le droit d’information et leur en accorde de nouveaux, en particulier en matière de transparence et de portabilité des données personnelles. Le RGPD semble également affermir les conditions du consentement, notamment pour les mineurs. On constate ainsi que son entrée en application a donné lieu à de nombreuses demandes d’opt-in. Mais en pratique les utilisateurs disposent-ils d’une réelle capacité d’agir lorsqu’ils sont (sur)sollicités par les demandes de consentement ? Le RGPD leur permet-il d’exercer réellement leur autodétermination informationnelle ? Ne sont-ils pas, dans un certain sens, manipulés par des organismes de plus en plus puissants pour lesquels les données personnelles sont une denrée commerciale de premier ordre et dont la survie réside dans la connaissance approfondie de leurs habitudes ? Les consommateurs sont l’objet d’effets de conformisme les conduisant à suivre l’avis majoritaire1 et subissent une forme de pression sociale dans leur vie professionnelle et personnelle. Ils sont également soumis à des envies irrépressibles de satisfaire un désir immédiat, le souci de protection et de contrôle s’effaçant au profit du confort de l’esprit2. La manipulation prend aussi la forme du « nudge »3, ou « coup de pousse », une façon d’organiser les choix sans les forcer, d’inciter en douceur à pencher vers le « bon » comportement.
Une approche par la gestion des risques
En réalité, l’analyse du RGPD démontre que la rupture avec l’ancien cadre juridique semble plus liée à l’introduction d’une nouvelle approche, l’approche par les risques. Désormais les organismes ne peuvent plus se contenter d’accomplir quelques formalités préalables auprès de l’autorité de contrôle nationale. Ils sont tenus, en amont, de limiter les risques dès la conception d’un traitement de données personnelles et par défaut (Data Protection by Design and by Default) et d’effectuer une analyse d’impact lorsque le traitement est susceptible d'engendrer un « risque élevé » pour les droits et libertés des personnes physiques. En aval, ils doivent notifier les violations de données à l’autorité de contrôle lorsque l’incident de sécurité est susceptible d’engendrer un « risque », voire d’avertir l’utilisateur en cas de « risque élevé ». En outre, on bascule avec le RGPD vers l’obligation de responsabilité, à savoir l’obligation pour un responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer que le traitement est effectué conformément au RGPD et être en mesure de démontrer que ce dernier est conforme. Cependant, on se demande si le concept clé n’est pas finalement celui d’une approche caractérisée plus par la limitation des risques laissée à l’appréciation de chaque organisme que le respect des droits fondamentaux, reconnus par la Charte des droits fondamentaux de l’Union européenne. Une atteinte à ces droits serait « acceptable » si, in fine, elle n’entraîne pas un risque trop important au regard de la protection des personnes physiques. Si l’on admet que l’approche par les risques est « acceptable », se pose alors la question de la mise en place de méthodologies pertinentes, en particulier pour prendre en compte l’addition des conséquences de chaque analyse de risques et parvenir à une réduction globale des risques, à une véritable analyse systémique.
L'adaptation des acteurs au nouveau cadre juridique
La protection des utilisateurs résulte enfin du rôle qu’entendent jouer les autorités de contrôle nationales. Si les plaintes déposées par les citoyens européens et les notifications de violation de données personnelles sont en hausse, si les actions de groupe commencent à être déposées, l’effectivité du RGPD dépend aussi des sanctions prononcées4. À cet égard, Google LLC a fait l’objet le 21 janvier 2019 de la part de la CNIL d’une amende post-RGPD record de 50 millions d’euros5. On peut néanmoins se demander si la CNIL n’a pas fait un usage trop modéré de son pouvoir de sanction, à la fois au regard du montant retenu (la Federal Trade Commission étasunienne a prononcé une amende de 5 milliards de dollars contre Facebook le 24 juillet 20196), des faits reprochés et du déséquilibre concurrentiel engendré par les pratiques de captation tout azimut des données personnelles par la multinationale.
On le perçoit donc, cette première année d’application du RGPD n’est qu’une étape.
La conférence s’est ensuite poursuivie par une table ronde dirigée par Mark Hunyadi, avec Alain Ninane, responsable du Service général du système d’information de l’Université catholique de Louvain, le professeur en droit Christophe Lazaro de l’Université catholique de Louvain et Gwenaël Laurent, doctorant en philosophie de l’Université catholique de Louvain. Il a été souligné que le RGPD participe à un renforcement de la contractualisation des relations responsable de traitement/sous-traitant de données personnelles et responsable de traitement/personne concernés. Mark Hunyadi a insisté sur la résignation des usagers dans le sens où ils ressentent une perte de contrôle inévitable. Il s’est interrogé sur la pertinence du recours au consentement des utilisateurs dans un contexte où le « nudge » est omniprésent.
Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom Paris
1 Voir à ce propos la célèbre expérience du psychologue Solomon Asch, https://explorable.com/fr/experience-dasch
2 Ce que Marc Hunyadi désigne comme le « principe de commodité ». M. Hunyadi, « Du sujet de droit au sujet libidinal : L’emprise du numérique sur nos sociétés », revue « Esprit », 2019/3 mars, pp. 114 à 128, > ">https://www.cairn.info/revue-esprit-2019-3-page-114.htm
3 Cette méthode qualifiée aussi de « paternalisme libertarien » a été popularisée dans le livre Nudge : la méthode douce pour inspirer la bonne décision, écrit en 2008 par Cass Sunstein, professeur de droit à Harvard, et Richard Thaler, économiste à la Chicago University
4 Pour rappel, avec le RGPD, les amendes administratives peuvent aller jusqu’à 20 millions d’euros ou pour une entreprise 4% de son chiffre d’affaires annuel mondial pour les violations aux principes de base, aux droits des personnes, aux obligations découlant des transferts de données, au non-respect d'une injonction émise par l'autorité de contrôle ….