Le RGPD six ans apres: bilan d'une revolution inachevee

Lorsque le Reglement general sur la protection des donnees est entre en application en mai 2018, les reactions ont ete extremes. D’un cote, les partisans d’un nouveau droit du numerique voyaient dans ce texte une revolution copernicienne: pour la premiere fois, les individus allaient disposer de droits effectifs sur leurs donnees personnelles. De l’autre, les entreprises, notamment les petites structures, s’alarment d’une charge administrative et juridique insupportable.

Six ans plus tard, le bilan est plus nuance que ce que les deux camps anticipaient.

Ce que le RGPD a change

Le RGPD a indiscutablement transforme certaines pratiques. La notion de consentement eclaire s’est imposee dans le discours et, partiellement, dans les pratiques. La plupart des sites web europeens affichent desormais des banniers de cookies - meme si leur conception est souvent pensee pour obtenir un consentement par defaut plutot que pour informer reellement l’utilisateur.

Les amendes prononcees par les autorites de protection des donnees ont atteint des niveaux significatifs. La CNIL francaise a condamne Google, Amazon et Facebook a des amendes records. L’autorite irlandaise de protection des donnees (DPC), competente pour la plupart des grandes plateformes americaines dont le siege europeen est en Irlande, a prononce des sanctions considerables, notamment les 1,2 milliard d’euros infligees a Meta en 2023.

Les limites structurelles

Ces succes ne doivent pas masquer des limites fondamentales. La premiere est institutionnelle: le systeme de “guichet unique” qui fait de l’autorite du pays d’etablissement principal le chef de file pour les grandes entreprises transnationales a produit une asymetrie problematique. L’Irlande, avec ses avantages fiscaux, est devenue le pays d’etablissement de la quasi-totalite des grands acteurs numeriques americains. La DPC irlandaise, sous-financee par rapport a sa charge de travail, a ete critiquee par ses homologues europeens pour la lenteur de ses procedures.

La deuxieme limite est epistemologique: le RGPD repose sur un modele de consentement individuel qui suppose un utilisateur informe, rationnel et disposant du temps necessaire pour lire et comprendre les politiques de confidentialite. Cette hypothese est largement fictive. Des etudes montrent que la lecture integrale des politiques de confidentialite auxquelles un utilisateur moyen est confronte chaque annee representerait des centaines d’heures.

L’economie de la surveillance malgre tout

La persistance des modeles economiques fondes sur la collecte et la monetisation des donnees personnelles revele la limite fondamentale du RGPD: il cherche a reformer des pratiques tout en preservant les structures economiques qui les engendrent. La publicite ciblee, qui constitue la majeure partie des revenus des grandes plateformes, repose sur une collecte massive de donnees comportementales. Tant que ce modele economique n’est pas fondamentalement remis en cause, les entreprises trouveront des moyens de le perpetuer dans les marges du texte.

La question qui se pose desormais est de savoir si l’on peut aller plus loin, vers une regulation qui s’attaque non pas seulement aux pratiques mais aux structures incitatives qui les produisent. C’est ce que cherchent a faire, partiellement, le Data Act et le Data Governance Act, qui tendent a redefinir les conditions d’acces et de partage des donnees. Mais la route est longue et les resistances considerables.