Un an après, l’illusion du RGPD

Le 25 mai 2018, le RGPD entrait en vigueur au sein de toute l’UE. Un an après, quel bilan en tirer ? Quel constat dresser ? Force est de constater que son efficacité reste très limitée du fait d’un cadre trop large et imprécis, et d’un manque de moyens.

6 mois après son application, il était encore permis d’être optimiste vis-à-vis de l’efficacité du RGPD : 66 % des Français se sentaient en effet plus sensibles qu’auparavant quant à la protection des données. La CNIL accusait alors déjà réception de quelque 6 000 plaintes, concernant principalement l’exercice des droits tel que le droit d’accès, soit une augmentation de 34 % par rapport à 2017. 

Un RGPD en trompe-l’œil  

Mais l’espoir fut de courte durée ! Certes, nous avons gagné en transparence grâce à l’obligation de déclaration des piratages ou failles de données. Désormais, plus besoin d’attendre des mois voire des années avant de prendre connaissance d’un vol ou d’une perte de data de la part d’une entreprise. Pour autant, le spam représente aujourd’hui encore entre 55 et 95 % du trafic total de l’e-mail. Au final, le RGPD n’a rien changé à notre quotidien et l’accès à nos données personnelles reste toujours aussi compliqué.  

En décembre dernier, une enquête menée auprès de plus de 400 000 sites révélait ainsi qu’à peine 1 % d’entre eux respectaient cette obligation ! 83% des personnes contactées n’étaient pas en mesure de confirmer qu’elles détenaient ou non des données associées à un email, et 16 % disposaient d’une adresse électronique de contact invalide. 

Donner des droits, c’est bien… mais des moyens, c’est mieux 

Voilà ce qu’il manque au RGPD : des moyens réels de maîtriser les données, d’accéder rapidement au service concerné, de contacter facilement le responsable et d’accompagner correctement les utilisateurs dans leur démarche ! Autre constat d’inefficacité : les citoyen.nes ne disposent pas aujourd’hui de la possibilité d’utiliser un service en cas de refus d’utilisation de leurs données. En somme, ils n’ont pas d’autre choix que d’accepter ou de renoncer à utiliser ce service ! L’entreprise peut en toute légalité imposer la collecte et le traitement des données personnelles en contrepartie de l’accès à son site.  Alors non, le RGPD n’a pas changé la donne ni améliorer la protection des informations « sensibles » et se montre même particulièrement conciliant avec certains géants du web. Facebook a ainsi reconnu avoir « involontairement » conservé les données email d’1,5 million de ses utilisateurs. Ce même Facebook qui s’attend néanmoins à payer une amende record entre 3 et 5 milliards de dollars à la Commission fédérale du commerce (FTC) dans le cadre du scandale Cambridge Analytica l’an dernier. Si le système de pénalités financières est la bonne option pour faire bouger les lignes, il n’en reste pas moins que les entreprises qui exercent depuis les États-Unis par exemple, même avec des données européennes, ne risquent rien ! C’est pourquoi le système doit être appliqué de manière intelligente selon l’importance des données dans le business model de l’entreprise.  

Et si on créait un RGPD II ? 

C’est pourquoi, il est temps d’envisagé un RGPD II, plus poussé et mieux pensé. Par exemple, il faudrait rendre obligatoire un système de requêtes API qui vérifie très rapidement si un site possède des données personnelles et lesquelles. Chaque individu devrait avoir la possibilité de savoir facilement et rapidement si son email figure dans la base de données de l’entreprise sans avoir à faire une longue démarche auprès des responsables de traitement ! De plus, un service même gratuit devrait pouvoir être utilisé sans renseigner obligatoirement ses informations personnelles. L’ensemble des comportements n’ont pas à être trackés en permanence quitte à avoir un niveau de personnalisation moindre. Les utilisateurs doivent avoir véritablement le choix au lieu d’être pris en otage constamment ! 

Se pose alors la question de l’échelle à laquelle travailler. En effet, si certaines mentions telles que les API doivent être diffusées globalement, la dimension multiculturelle européenne impose d’aborder les sujets de manière large. Résultat, dans sa forme actuelle, le texte rédigé se contente de donner de simples orientations ouvrant alors la porte à l’interprétation et à l’appréciation de chaque pays. Deux options s’ouvrent alors à nous : soit changer la philosophie du texte en définissant précisément les devoirs, les droits et les moyens ; soit offrir la possibilité de le modifier à l’échelle locale. En attendant, les hackers et autres organismes de collecte de données ont encore de beaux jours devant eux !