Il y a cinq ans, le règlement général sur la protection des données (RGPD) entrait en vigueur. Sur le terrain, informaticiens, juristes et sociologues rapportent une compréhension et/ou une application contrastée de ce texte phare de la protection de la vie privée.
Sept ans après son adoption, cinq ans après son entrée en vigueur, dans quelle mesure le règlement général sur la protection des données est-il respecté ? En pratique, les internautes savent-ils et peuvent-ils, même, protéger leur vie privée en ligne ?
Ces questions ont sous-tendu une partie des présentations et débats qui ont eu lieu, le 14 juin, lors du riche Privacy Research Day organisé par la CNIL et son laboratoire d’innovation numérique LINC.
Professeur assistant à l’Université Ouverte des Pays-Bas, René Mahieu est, le premier, revenu sur le règlement européen encadrant l’usage fait des données personnelles des internautes. Plus précisément, il s’est penché sur l’efficacité des politiques répressives des Autorités de protection des données (DPA, pour data protection authorities).
Le RGPD expliqué ligne par ligne
Le RGPD, un an après
La CNIL publie une nouvelle version de son « guide pratique RGPD »
Augmenter l’effet dissuasif des sanctions des DPA
Aux Pays-Bas, le juriste s’est en effet penché sur un phénomène particulier : celui du nombre croissant de plaintes enregistrées par l’autorité locale, qui n’entrainait pourtant aucune hausse particulière des sanctions prononcées. Interrogeant des délégués à la protection des données (DPO), René Mahieu s’est régulièrement entendu raconter les demandes des supérieurs et collègues de ses interlocuteurs. En substance, les entreprises ont une interrogation principale : « Quel risque court-on à ne pas être conforme aux obligations du RGPD ? »
Et René Mahieu de rappeler le principe de la théorie de la dissuasion, « ancré dans le RGPD » : il faut que le coût attendu de la mise en conformité soit plus bas que celui de la non-conformité pour qu’elles aient un réel effet sur les comportements. « Autrement dit, résume le juriste, il faut que se conformer à la loi vale quelque chose. » En l’état, le risque est trop faible pour que les entreprises hollandaises agissent.
Sa conclusion a été claire : les DPA ont besoin de trouver des manières plus dissuasives de faire appliquer la loi. Autrement, elles s’enferment dans un cercle vicieux : moins les entreprises se conforment aux textes, plus le nombre de plaintes augmente ; plus les plaintes augmentent, plus les DPA risquent une surcharge de travail ; plus ces dernières sont surchargées, moins elles peuvent contrôler la conformité.
La Commission européenne va surveiller les enquêtes transfrontalières relatives au RGPD
Près de 3 milliards d’euros d’amendes ont été infligées en 2022 pour infraction au RGPD
Autre texte européen pour un même type d’acteurs visés : les auteurs du Digital Markets Act (DMA) ont déjà tiré la leçon du problème, puisqu’ils ont prévu des sanctions susceptibles de grimper jusqu’à 10 % du chiffre d’affaires annuel mondial d’une entreprise condamnée (contre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour non-respect du RGPD).
Design déceptif… jusque dans le texte lui-même ?
Mais les problèmes du RGPD ne se logent pas seulement dans la menace que font planer les sanctions pour non-respect du texte. Doctorante au Max Planck Institute for Security and privacy et membre du comité européen de la protection des données (EDPB), Lin Kyi a en effet présenté un travail mené sur le design des bandeaux de recueil du consentement des utilisateurs. Résultat des courses : une démonstration empirique que le design de ces éléments joue sur le taux d’acceptation ou de refus des internautes d’être tracés.
Autre point peut être moins évident à débusquer : le flou qui entoure la notion d’ « intérêt légitime », l’une des bases légales prévues par le RGPD pour permettre le traitement des données personnelles. Quand on parle d’intérêt légitime, s’agit-il de celui de l’utilisateur ? De celui de l’entreprise ? À défaut de certitude, ces dernières utilisent le concept de manière variable, plutôt à leur avantage, et souvent sans donner d’explication claire aux utilisateurs.
Des adaptations aux règlements… souvent faites au dernier moment
Signal plus positif, Yana Dimova, doctorante en informatique à l’université de Louvain, a présenté l’évolution des pratiques de Facebook en matière de dépôt de cookie auprès des non-utilisateurs de la plateforme depuis 2015. Cette année-là, la DPA belge avait intimé à l’entreprise de cesser de déposer le cookie « Datr », qu’elle avait identifié comme servant à tracer toutes sortes d’internautes, y compris non-membres du réseau social.
Au fil du temps – et des amendes, notamment infligées par la CNIL –, Facebook a bien adapté ses pratiques. En revanche, note l’informaticienne, la définition donnée aux utilisateurs des cookies et de leur utilité reste vague. Et les internautes restent « nudgés » (instrumentalisés, sans contrainte, ndlr) vers l’acceptation des traceurs.
Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics
Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire
Autre enseignement pour les travaux futurs : en s’appuyant sur les données open source disponibles sur Github, le doctorant en informatique à l’école polytechnique de Zürich Karel Kubicek s’est de son côté penché sur la manière dont les développeurs implémentent des évolutions d’outils pour se conformer au RGPD.
Résultat des courses : un pic net d’activité est apparu en 2018, autour de l’entrée du texte en vigueur, et après deux ans de quasi-inactivité, ce qui « pose la question de l’utilité de cette période de grâce ». Après étude des actions des développeurs californiens, l’informaticien rapporte par ailleurs un relatif entremêlement des modifications réalisées pour se conformer au RGPD et à la loi californienne sur la protection des données. « Il semblerait que la communauté open source s’intéresse plus à la simplicité qu’au fait de chercher à récupérer un maximum de données », note-t-il.
Enfin, que ce soit directement au sujet des effets du RGPD, pour Lin Kyi, ou à propos de sujets connexes de protection de la vie privée, pour la représentante de la Security and Privacy Research team de Google Sunny Consolvo ou la doctorante en sociologie Laurianne Trably, plusieurs intervenantes ont souligné le besoin de créer des espaces de discussion plus mixtes, intégrant notamment les utilisateurs finaux.
Exposant les résultats d’une étude menée auprès d’internautes français vivant en milieu rural, cette dernière a en effet montré que la compréhension de la vie privée qu’ont les utilisateurs peut s’éloigner, ou a minima varier, de l’idée que s’en font les experts du sujet, tant du côté juridique que du côté technique.
Source : nextinpact.com