Le Règlement Général pour la Protection des Données : l’Europe peut-elle faire plier les GAFA ?
Depuis quelques semaines les utilisateurs d’applications sont submergés d’emails leur demandant d’accepter leurs nouvelles conditions d’utilisation. Ces mises à jour sont désormais une obligation depuis l’entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD). Si toutes les entreprises mondiales traitant avec l’Europe doivent s’y conformer, on trouve au premier rang des intéressés les fameux GAFA (Google, Amazon, Facebook et Apple), des entreprises américaines qu’elle peine à réguler financièrement et juridiquement.
Le RGPD est un règlement européen qui a remplacé une directive de 1995, encadrant l’utilisation des données personnelles des consommateurs européens. A l’heure du tout numérique, ce règlement a pour ambition de créer un cadre juridique européen uniformisé en matière d’utilisation de ces données. Le parcours de ce texte a commencé en 2013 lorsque les révélations d’Edward Snowden ont motivé la décision de la Cour de Justice de l’Union européenne de rendre illégale la pratique du Safe Harbor. Cette pratique permettait auparavant aux entreprises américaines d’importer les données des utilisateurs européens pour s’en servir aux États Unis. Ensuite en 2014, la Cour a statué sur l’obligation d’un droit à l’oubli pour les utilisateurs de Google.
Concrètement le RGPD implique un droit à l’oubli et au déréférencement ; la protection des personnes les plus vulnérables aux réseaux sociaux, comme les jeunes enfants ; et la responsabilité des entreprises.
L’Europe, pionnière dans l’encadrement des GAFA ?
L’entrée en vigueur du texte survient dans un contexte marqué par la volonté européenne de réguler le commerce très lucratif des données personnelles et les retombées financières qu’il génère, tout en se soustrayant à l’impôt. Or, le RGDP pourrait bien faire du Vieux Continent le pionnier de l’encadrement des indomptables GAFA. L’Europe est en effet le second marché de consommateurs devant les USA et les sommes consacrées par les GAFA au lobbying européen représentent plusieurs millions d’euros chaque année*.
Les sanctions s’appliquent aux entreprises et à leurs sous-traitants et s’élèvent à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, la somme la plus élevée étant retenue. Même si certains points du règlement préexistaient dans la loi française comme le consentement à la collecte de données personnelles par exemple, c’est l’argument des lourdes sanctions économiques qui a véritablement poussé les entreprises à se mettre en conformité avec le RGPD, sujet sur lequel elles travaillent depuis plusieurs mois.
Les premières applications du RGPD, entre sanctions et opportunités
Depuis le 25 mai 2018, des associations de consommateurs comme None of Your Business (NOYB) ont porté plainte auprès des autorités de protection des données contre Google, WhatsApp ou encore Instagram. NOYB réclame 8 milliards d’euros pour ce qu’elle dénonce comme l’absence d’un choix libre et éclairé des utilisateurs. D’après elle, ces derniers n’auraient pas d’autre option que d’accepter l’utilisation de leurs données personnelles, sous peine de voir leurs comptes supprimés, ce qui constitue une sorte de chantage.
D’un autre côté, Google a profité du RGPD pour supprimer ses contrats avec des publicitaires européens et conservé seulement ses propres pubs, en arguant de sa mise en conformité. Pour autant, certains y voient une utilisation dévoyée du RGPD et une entrave à la concurrence destinée à faire de Google l’unique détenteur des publicités sur YouTube.
Le RGPD est donc le point de départ d’une nouvelle stratégie européenne pour le numérique qui défie son adaptabilité face aux nouveaux acteurs de la technologie mondiale. L’entrée en vigueur de ce texte, dont la mise en œuvre est lourde, risque cependant de mettre en difficulté les petites entreprises face au montant des éventuelles sanctions économiques, tout en favorisant les plus grandes, comme Google.
*2,5 millions d’euros pour Facebook en 2017 d’après le registre de transparence de l’Union européenne