Un peu plus d’un an après son entrée en vigueur, le Règlement Général sur la Protection des Données Personnelles est appliqué à la lettre : il a servi d’appui à des dizaines de milliers de plaintes ou déclarations en Europe. Au-delà du continent, c’est son esprit qui souffle un vent de renouveau. Inspiration ou référence, pas de doute : le RGPD joue sur la scène mondiale.

Nous prenons votre vie privée très au sérieux

Il y eut les messages préparant le terrain : « Nos politiques de protection des données évoluent » ; « À nos lecteurs, mise à jour de notre politique de confidentialité ». Il y a désormais les messages de réassurance : « Votre vie privée est importante. Nous protégeons vos données » ; « Nous prenons votre vie privée très au sérieux »… Pour les internautes et utilisateurs d’applis mobiles, le Règlement Général sur la Protection des Données personnelles (RGPD) se limite bien souvent à la lecture d’une mention de quelques lignes (quand elle est lue!), suivie du clic rapide sur un bouton « J’accepte »… Les avancées en terme de consentement restent donc assez pauvres pour ce cadre légal européen, entré en vigueur le 25 mai 2018, qui était pourtant censé donner de l’épaisseur.

Pour les utilisateurs, le RGPD a tout d’une version plus compacte et plus visible des Conditions Générales d’Utilisations, ces textes longs et abscons que les utilisateurs ne consultent pas. Mais pour les entreprises et les autorités nationales, il en va tout autrement. Car si ce règlement a fait couler tant d’encre dans la presse économique et occupé tant de sessions dans les conférences professionnelles des secteurs de l’informatique et du droit des affaires, ce n’est pas tant par son effet immédiat sur les utilisateurs que sur les transformations qu’il installe, lentement mais sûrement, dans les stratégies et les organisations : nouvelles responsabilités, nouvelles obligations, nouvelles gouvernances... Son influence se joue en profondeur.

A l’heure de son premier anniversaire, son bilan semble, certes, modeste. Citoyens et associations auraient, en un an, déposé quelque 100 000 plaintes. Mais alors que le règlement prévoit une amende comprise entre 2 et 4 % du chiffre d’affaires pour les entreprises qui ne le respectent pas, le montant des sanctions appliquées par les autorités nationales en charge de la protection des données, en Europe, tournent autour de quelques milliers d’euros. Seul fait d’arme notable : l’amende administrative infligée par la CNIL, en France, à l’encontre de Google LLC.

L’esprit du RGDP : un succès à l’export

Si le RGPD peut prétendre à une influence importante, c’est moins sur l’ampleur des sanctions applicables qu’à la diffusion, rapide et marquée, de l’esprit qui en a guidé la rédaction. Qu’on en juge : le CEO de Facebook lui-même, Mark Zuckerberg, déclarait, de passage à Paris au printemps 2019, « Ce que je défends c’est que le RGPD soit adopté par davantage de pays ». Même son de cloche chez Google, dont le président Sundar Pichai a souligné dans une tribune publiée dans le New York Times que « l’Europe a élevé le niveau en matière de loi sur la vie privée. Nous pensons que les Etats-Unis bénéficieraient de l’adoption de leur propre loi ». Microsoft, par la voix de son Président Satya Nadella, s’exprimant lors du dernier forum de Davos, est sur la même longueur d’onde : « de mon point de vue, le RGPD est un fantastique point de départ vers l’inclusion dans les droits de l’homme du droit à la vie privée. [...] J’espère qu’aux Etats-Unis, nous prendrons une décision dans le même sens. »

66 % des citoyens américains déclarent ainsi être favorables à une loi inspirée par le RGPD

Surprenant ? Pas autant qu’il n’y paraît. Le scandale Cambridge Analytica est passé par là, comme la multiplication des fuites de données. Les internautes sont devenus bien plus attentifs à la protection de leurs données… et les entreprises comme les autorités en ont pris acte. Selon un sondage conduit par Akamai, 66 % des citoyens américains déclarent ainsi être favorables à une loi inspirée par le RGPD. Un souhait déjà exaucé... en Californie ! Le berceau de la Silicon Valley vient de se doter d’une loi dont la rédaction résonne étroitement avec le Règlement européen.

Davantage qu’une inspiration, le RGPD prend, même, la forme d’un modèle à suivre. Le Règlement représente de facto un levier stratégique pour accéder au marché numérique européen : un mécanisme de correspondance est prévu pour garantir que, lorsque les textes encadrant la protection des données personnelles dans un pays sont équivalents aux dispositions du RGPD, les échanges commerciaux de données entre ce pays et l’Europe soient facilités. Ce mécanisme, dit « décision d’adéquation », a notamment été activé par l’Europe pour le Japon. Pour les Européens et leurs partenaires commerciaux, le RGPD est, dans ce cadre, une référence dont il faut se rapprocher le plus possible.

132 cadres légaux dans le monde

Mais le Règlement européen n’est, en aucun cas, le seul référentiel disponible. Et le fait de disposer d’un cadre légal qui s’en inspire ne préjuge pas de la réalité des usages. Ainsi la Chine s’est-elle dotée d’un nouveau standard de protection des données personnelles en janvier 2018… Alors même qu’elle prévoit de déployer en 2020 un système national de notation des citoyens, le « crédit social », basé sur une exploitation intensive des données personnelles.

A l’échelle mondiale, des dizaines de lois différentes encadrent, plus ou moins strictement, le traitement des données personnelles. Elles ont parfois été établies il y a plus de trente ans. Qui se souvient, d’ailleurs, que le RGPD est né d’un cadre européen existant, la Convention 108, datant de 1981 ? Le spécialiste de la protection des données Graham Greenleaf, Professeur de Droit et Systèmes d’information à l’université de Nouvelle-Galles du Sud (Australie), décompte 132 pays disposant d’une loi encadrant la protection des données. « Il semble clair que le RGPD européen a établi un nouveau référentiel global pour la protection des données personnelles, résume l’expert, auquel les pays non européens aspiraient déjà, au travers de leurs lois respectives, à des degrés divers. »