Entrée en vigueur le 25 mai 2018, le règlement général sur la protection des données à caractère personnel (RGPD) fête ses quatre années d’existence. Pour les autorités de contrôle qui supervisent son respect, le temps de la « tolérance » semble désormais dépassé et laisser place à celui d’une juste exigence. De mieux en mieux identifié par les citoyens, le sujet fait également l’objet d’un écho dans la presse qui justifient les efforts déployés jusqu’à’ présent par les grandes entreprises. Tout est-il alors sous contrôle ou existe-t-il encore des freins au développement de politiques de protection des données personnelles robustes par les entreprises ? A l’heure de la numérisation du monde, comment ce texte participe-t-il d’une véritable éthique du numérique ?
L’heure des comptes
Plus de quatre années après l’entrée en vigueur du désormais célèbre « RGPD » – texte consacrant la vision européenne du droit des données personnelles à rebours du modèle anglo-saxon – l’heure semble advenue d’en tirer un premier bilan. Force est d’abord de constater que la régulation par l’Union Européenne de ce domaine n’a pas entraîné un « suicide » de l’économie numérique européenne, tels qu’annoncé et redoutés par certains.
L’exigence qu’il porte semble même désormais partagée par une grande partie des Français. Ils sont ainsi 70% à affirmer être préoccupés par la collecte de leurs données personnelles dans le cadre de leurs activités en ligne[1]. Plus intéressant encore, s’ils font globalement confiance à leur banque et à l’État (respectivement à hauteur de 70 et 65%), ils sont en revanche méfiants à l’égard des sites de commerce en ligne (pour 54% d’entre eux), et plus encore des GAFAM (près de 70% d’entre eux) et des réseaux sociaux (pour 85%).
Preuve s’il en est que les Français semblent avoir une compréhension plutôt fine de l’enjeu et une conscience certaine des risques portés par les mastodontes américains du secteur qui renâclent à se plier à cette réglementation.
Dans ce contexte, des ONG telles que None Of Your Business (NOYB) entendent bien faire respecter l’esprit et la lettre du règlement et engagent des procédures auprès des autorités de contrôle. Avec parfois de la réussite ! Ainsi, en février 2022, la CNIL française, saisie par NOYB, a conclu que le recours par certains gestionnaires de sites français au géant de l’analyse des données, Google Analytics, était contraire au RGPD, les mettant en demeure de cesser d’y avoir recours[1].
Une décision qui fait écho à une autre décision, arrêtée par le Commission irlandaise de protection des données de condamner Instagram à une amende record de 405 millions d’euros au titre d’une violation du RGPD[2]. La fin d’une période de tolérance durant laquelle les entreprises ont eu le temps de s’organiser ?
Les grandes entreprises s’organisent
Si, en France, la CNIL a paru plus modérée que son homologue irlandaise, il n’en demeure pas moins qu’elle a fait preuve d’une activité soutenue. En 2021 a procédé à 384 contrôles, prononcé 153 mises en demeure et 18 sanctions pour un montant cumulé dépassant les 214 millions d’euros ! Au sein du Cercle d’Éthique des Affaires, un nombre important d’entreprises adhérentes ont eu à faire à leurs représentants.
Pour y répondre, les grandes entreprises ont mis en place des directions dédiées à la protection des données personnelles, assez régulièrement rattachées à la direction de l’éthique et de la conformité avec qui elles partagent une culture de la conformité basée sur la prévention des risques.
Dans ce contexte, les entreprises concentrent généralement leurs efforts sur les activités les plus à risque en leur sein : les directions commerciales, communication, marketing et ressources humaines notamment. Une cible parfois large qu’il convient de former – en théorie et en pratique – de manière à en faire un acteur investi de la politique de protection des données personnelles.
Jusqu’à, bien souvent, créer des réseaux d’ambassadeurs dédiés au sein des différents métiers qui puissent servir de capteurs et de relais des problématiques et des sujet RGPD au sein de l’entreprise. 50% des entreprises du Cercle d’Éthique des Affaires interrogées affirment en disposer tandis que 30% s’appuient sur un réseau également en charge des autres sujets liés à l’éthique et à la conformité.
Si les missions de ces « ambassadeurs » varient en fonction de la taille et de l’organisation de chaque entreprise, la plupart d’entre elles leur réservent le rôle de veiller à ce que la totalité des traitements existants soient renseignés et mis à jour et de relayer les actions du Groupe. La conduite des Analyses d’Impact (AIPD) est quant à elle plus souvent réservée à la direction centrale.
Un sujet réglé ?
Si la gouvernance « RGPD » de la plupart des grandes entreprises semble aujourd’hui bien définie, impossible d’affirmer en revanche que toutes les problématiques y afférentes sont réglées. La matière est mouvante, de nouveaux traitements ne cessent d’être créés et, une fois absorbé « le stock » il est nécessaire d’être capable de gérer le « flux ». D’autant que des traitements de données indépendants d’outils, parfois sur de simples feuillets Excel, peuvent s’ajouter à ceux qui sont traditionnellement envisagés.
De plus en plus connu, le RGPD donne également lieu à de plus en plus de demandes d’exercice de droits au sein des entreprises. Or, là aussi il convient d’avoir une assise suffisante pour traiter l’ensemble des dossiers pendants. Ne pas en être capable expose à des sanctions exemplaires, quoi qu’assez modeste en valeur absolue, comme l’entreprise EDF vient d’en faire l’expérience[1].
A la « bande passante » disponible s’ajoute par ailleurs des problématiques relatives aux éventuels conflits de normes qu’il convient d’arbitrer. Encore jeune, la pratique de la protection des données personnelles se construit aux côtés d’autres pratiques elles aussi parfois récentes… Ainsi, de nombreuses entreprises sont obligées de procéder à des arbitrages complexes lorsque la protection des données personnelles entre en conflits avec des procédures relatives à l’anticorruption, au respect des droits humains ou à la protection des lanceurs d’alerte.
Surtout, malgré la montée en puissance de ces enjeux et les fortes attentes de la société civile en la matière, des efforts de pédagogie et une transformation de la culture doivent encore advenir pour faire de la protection des données personnelles un soucis permanent et indispensable à tout stade du traitement de données. Dans une période de numérisation accélérée du monde, l’injonction à la « minimisation » ou au « privacy by design » peut sembler à certains contradictoire, absurde voire préjudiciable.
Vers une éthique du numérique ?
Alors que le monde numérique ne cesse de s’agrandir et ce jusqu’aux vertiges du Metavers, le volume de données créées, stockées et échangées – personnelles et non personnelles – explose, sous l’effet combiné d’un plus grand accès aux services numériques par le monde et de la numérisation large de tous les pans de l’existence dans les pays développés, du développement des objets connectés aux usines 4.0 en passant par les offres de service des plateformes.
Le « jumeau numérique » du monde réel qui se créé actuellement, est le vecteur de valeurs, autant qu’il peut en être le réceptacle. Consciente de ces enjeux, l’Union Européenne semble bien décidée à ne pas transiger avec un certain nombre d’entre elles, à l’heure où celles-ci semblent bousculées par les usages numériques – l’ONG Amnesty International ayant par exemple pointé du doigt le rôle des réseaux sociaux dans un certain nombre de conflits[2].
Dans ce contexte, la Commission Européenne apparaît proactive sur le sujet, comme l’adoption des règlements DMA (Digital Markets Act) et DSA (Digital Services Act) et leur entrée en vigueur dès 2023 le prouve[3].
Plus encore, la volonté d’adopter prochainement un règlement en faveur du développement d’une intelligence artificielle de confiance fait écho à l’ambition déjà présente dans le RGPD d’assurer aux citoyens européennes l’accès à une technologie numérique respectueuse des principes éthiques fondateurs de l’Europe, fondés d’abord sur la reconnaissance de la dignité humaine et le respect des droits de l’Homme.
A cet égard, le RGPD apparaît comme une base nécessaire et indispensable bien que largement insuffisante. Ainsi si le texte empêche – théoriquement au moins – les citoyens européens de faire « l’objet de décision fondée exclusivement sur un traitement automatisé » (article 22), le rempart juridique semble bien faible face aux risques que font courir les technologies dites de surveillance et le croisement, de plus en plus aisé, des diverses bases de données disponibles.
Des enjeux de protection des données personnelles qui se muent alors en enjeux de surveillance, de manipulation et de risque de perte d’autonomie auxquels il convient d’apporter rapidement des réponses et que les entreprises doivent d’ores et déjà anticiper en menant une réflexion plus fondamentale sur l’éthique du numérique.
[1] Voir la délibération de la CNIL ici : https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf
[2] Voir par exemple : https://www.liberation.fr/international/asie-pacifique/pour-amnesty-facebook-meta-a-joue-un-role-central-dans-la-deshumanisation-des-rohingyas-20220929_ET2X5UIF5NGDTI74KGBWEOTJOE/
[3] Sur le contenu de ces textes voir par exemple : https://www.touteleurope.eu/economie-et-social/numerique-que-sont-le-dma-et-le-dsa-les-reglements-europeens-qui-veulent-reguler-internet/
Dans ce contexte, des ONG telles que None Of Your Business (NOYB) entendent bien faire respecter l’esprit et la lettre du règlement et engagent des procédures auprès des autorités de contrôle. Avec parfois de la réussite ! Ainsi, en février 2022, la CNIL française, saisie par NOYB, a conclu que le recours par certains gestionnaires de site français au géant de l’analyse des données, Google Analytics, était contraire au RGPD, les mettant en demeure de cesser d’y avoir recours[2].
Une décision qui fait écho à une autre décision, arrêtée par le Commission irlandaise de protection des données de condamner Instagram à une amende record de 405 millions d’euros au titre d’une violation du RGPD[3]. La fin d’une période de tolérance durant laquelle les entreprises ont eu le temps de s’organiser ?
[1] Voir le sondage Odoxa publié en 2021, disponible ici : http://www.odoxa.fr/sondage/8838-2/
[2] Voir la décision de la CNIL : https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
[3] Voir par exemple : https://www.lemonde.fr/pixels/article/2022/09/05/donnees-personnelles-instagram-se-voit-infliger-une-amende-de-405-millions-d-euros-par-l-ue_6140309_4408996.html
Crédit photo : Unsplash
