Deux ans plus tard, le RGPD a-t-il tenu ses promesses?

« Compter sur le gouvernement pour protéger votre vie privée, c'est comme demander à un voyeur d'installer vos stores »
- John Perry Barlow, EFF (juillet 1992).

Toute personne qui s'engage le moins du monde à protéger la confidentialité de ses données personnelles en ligne sera probablement sympathique à Barlow. Deux ans se sont écoulés depuis la mise en œuvre du règlement général sur la protection des données (RGPD), le règlement de l'UE sur la protection des données et de la vie privée qui visait à donner aux individus le contrôle de leurs données personnelles et à simplifier les exigences imposées aux entreprises.

Y a-t-il moins de violations des données? Les entreprises prennent-elles plus au sérieux la protection de la vie privée et le consentement? Les particuliers s'engagent-ils davantage dans la protection de leurs informations personnelles? Il est difficile de déterminer si le RGPD a constitué une réussite, car nous ne savons pas quel aurait été l'état des lieux sans le règlement sur la protection des données.

Mais il ne fait aucun doute que le paysage mondial de la protection de la vie privée a changé avec la GDPR. La législation a placé la conversation sur la protection de la vie privée au premier plan dans les capitales et les salles de conseil du monde entier. Il existe aujourd'hui plus de 100 pays et États dotés d'une réglementation sur la protection de la vie privée, certains plus stricts que d'autres, et certains d'entre eux, comme l'Argentine, le Brésil, le Chili, le Japon, le Kenya, la Corée du Sud et la Californie, ont clairement pris la RGPD comme modèle de base pour leur propre législation.

Le nombre croissant de réglementations dans le monde démontre à la fois la nécessité et la volonté des organes directeurs d'intervenir, mais cette croissance du nombre de législation amène son lot de complexité, que j'ai abordé dans un récent billet de blog. La complexité d'un si grand nombre de réglementations signifie probablement que les entreprises chercheront à harmoniser leur approche de la vie privée pour se conformer à la majorité et avoir une position défendable si elles enfreignent par inadvertance un règlement.

Les entreprises, j'en suis sûr, ont pris bonne note lorsque les régulateurs chargés de faire appliquer la RGPD ont commencé à faire preuve de souplesse et à infliger des amendes ou à annoncer les amendes prévues. La première amende importante, de 50 millions d'euros (54 millions de dollars US), a été infligée en janvier 2019 à Google par la CNIL, l'autorité française chargée de la protection des données, pour avoir fait preuve d'un contrôle, d'un consentement et d'une transparence insuffisants quant à l'utilisation de données personnelles à des fins de publicité behaviorale.

Elle a été éclipsée par une énorme amende de 183 millions de livres sterling (221 millions de dollars US) infligée par le bureau du commissaire à l'information britannique (ICO) à British Airways en juillet 2019 pour des problèmes de sécurité qui ont entraîné une attaque malveillante qui a affecté 380 000 transactions sur le site web. En comparaison, Facebook a été condamné à une amende de seulement 500 000 livres sterling (605 000 $ US) par l'ICO concernant le scandale Cambridge Analytica, qui s'est produit peu avant la mise en œuvre du RGPD. C’était, à l’époque, l’amende maximale pour le non-respect de la protection des données privées.

Quel est le rapport avec la loi?

En tant que consommateur, si vous vous trouvez dans un pays où la législation sur la protection de la vie privée a adopté une approche similaire à celle du RGPD, vous vous habituerez rapidement aux nombreuses fenêtres de consentement que les entreprises sont désormais tenues d'afficher lorsqu'elles collectent vos données personnelles. La position audacieuse consistant à exiger un consentement de type « opt-in » a fixé la barre pour la législation future d'autres autorités. Même si l’option « opt-out » était finalement choisie, la proéminence du message, qui peut probablement, en partie, être attribuée au RGPD, permet au consommateur de prendre une décision éclairée.

Le développement des produits et services a également connu un changement radical, qui peut probablement être attribué en partie à la RGPD. Lors de la création d'un nouveau produit de service, le respect de la vie privée dès la conception et par défaut est désormais une approche relativement standard que toute équipe doit prendre en compte lorsque les projets se concrétisent. Les consommateurs attendent désormais une relation de confiance avec un fournisseur et ce dernier comprend que cela lui apportera un succès commercial à long terme.

Je ne peux vraisemblablement pas terminer cet article sans aborder la situation actuelle, alors que la pandémie incite à de nombreuses applications de recherche de contacts et que les données de cartographie de localisation sont fournies aux gouvernements par les opérateurs de télécommunications. Si la protection de la vie privée a pu être mise en veilleuse dans certains cas, ou du moins modifiée au point d'être inacceptable dans des circonstances normales, la visibilité sur la protection des informations personnelles que le RGPD et le scandale de Cambridge Analytica ont créé a suscité un examen minutieux de l'utilisation des données dans le monde entier pour aider à résoudre la pandémie actuelle. Cet examen a vu les gouvernements revenir sur leurs propositions et les entreprises technologiques innover de nouvelles méthodes pour garantir l'anonymat. On constate également qu’il y a consensus général quant au fait qu'une application de recherche de contacts doit respecter le droit à la vie privée de l'utilisateur.

Le RGPD a légitimé la cause des défenseurs de la vie privée dans le monde entier en leur donnant la possibilité de s'exprimer et de faire en sorte que leurs préoccupations soient également prises en compte et écoutées. Mais la grande question demeure : Les citoyens ont-ils la propriété de leurs informations confidentielles? Je vous laisse sur une citation inspirée de feu Steve Jobs...

« La vie privée signifie que les gens savent dans quoi ils s’engagent, dans un langage simple et de manière répétée. Je crois que les gens sont intelligents. Certaines personnes veulent partager plus que d'autres. Demandez-leur!  »
- Steve Jobs