Si le groupe de réflexion salue une réglementation utile ayant force de loi, pouvant même servir de modèle pour être retranscrite dans d'autres zones ou pays, il en pointe des carences qui l'affaiblissent.
En un an et demi, le Règlement général sur la protection des données (RGPD) a prouvé son utilité en matière de traitement et de protection des données à caractère personnel, notamment maniées par les opérateurs et entreprises. Outre sa force de loi octroyée par son statut réglementaire, et ce pour les 28 États membres de l'Union européenne, le RGPD pose de nombreuses exigences en matière de consentement, de même pour le traitement des données. Il prévoit aussi une primordiale coopération entre les autorités nationales pour les affaires transfrontalières. Pour autant, le texte possède des inconvénients et souffre de carences, pointées du doigt par l'Institut Montaigne.
Un texte « fourre-tout »
Le think tank français a publié son rapport du mois de décembre dans lequel il souligne les insuffisances du RGPD qui, en cherchant trop l'équilibre entre des objectifs opposés, se transforme en « texte fourre-tout ».Lire aussi :
La CNIL ne tolère pas la vidéosurveillance destinée à localiser des salariés sur leur lieu de travail
La CNIL ne tolère pas la vidéosurveillance destinée à localiser des salariés sur leur lieu de travail
La manque de prescription en matière d'ergonomie (expérience utilisateur) est soulevé. Le groupe indique notamment que la possibilité pour les personnes physiques de contrôler leurs données à caractère personnel pourrait être envisagée. Il déplore aussi l'absence de la mention de l'intelligence artificielle dans le règlement. « Bien qu'elles soient requises, l'anonymisation ou la pseudonymisation ne tiennent pas compte des nouvelles capacités d'apprentissage automatique pour vaincre ces processus », souligne-t-il.
Le droit à l'oubli, prôné par le RGPD, est quelque peu mis à mal par l'archivage des données, important aux yeux des chercheurs, et qui malgré son utilité à des fins historiques, statistiques et scientifiques, met en doute ce fameux droit à l'oubli. L'Institut Montaigne en déduit un élément intéressant, qui se vérifie dans la réalité : le RGPD a été conçu à destination des opérateurs privés et fiduciaires de données, et pas forcément pour les gouvernements et institutions publiques.
Une répression qui intervient trop rarement
Concernant le volet répressif, qui peut aller jusqu'à 10 millions d'euros d'amende ou 2 % du chiffre d'affaires mondial (voire 20 millions et 4 % pour les violations des droits des personnes et les transferts en dehors de l'UE), des dizaines de milliers de requêtes ont été adressées aux autorités nationales européennes, et plusieurs sanctions sont tombées. Au total, sur 56 millions d'euros d'amende infligés au cours de la première année d'exercice du règlement en France, 50 millions ont été demandés à Google par la CNIL.En revanche, le Royaume-Uni, qui s'apprête à sortir de l'Union européenne, est, ironie du sort, le pays à être allé le plus loin dans les sanctions, avec des amendes symboliques de 99 millions de livres sterling contre la chaîne d'hôtels Marriott et 183 millions de livres contre British Airways. Le nombre de plaintes demeure donc encore très faible par rapport à l'utilisation globale du RGPD.
La protection des données et droits des utilisateurs progresse, mais la complexité du consentement aussi
L'Institut Montaigne témoigne aussi de la complexité et des centaines de lignes que l'utilisateur doit surmonter au moment de donner son consentement. On sait que souvent, la politique de confidentialité est tout bonnement... Interminable. Cela incite celles et ceux qui se rendent sur les sites de grosses compagnies ou marques, en lesquelles ils ont confiance, à se dispenser de leur lecture. Il arrive fréquemment que la seule possibilité soit d'accepter la politique de confidentialité, sous peine de devoir quitter le site.Au final, « en exigeant un consentement séparé pour les différentes utilisations des données à caractère personnel, sans imposer un cadre unique pour les questions et les réponses, le RGPD a lui-même contribué de manière involontaire à cette complexité ». Selon la Commission européenne, dans un bilan publié en juillet 2019, 44 % des utilisateurs n'ont pas changé leurs paramètres de confidentialité par défaut, et ce malgré la mise en œuvre du RGPD.
Lire aussi :
RGPD : Futura Internationale, spécialiste de la rénovation énergétique, condamnée par la CNIL
RGPD : Futura Internationale, spécialiste de la rénovation énergétique, condamnée par la CNIL
Pour le think tank, cocher des cases ne représente que la première étape « de ce qui devrait conduire à une relation de confidentialité mutuellement acceptée entre fournisseurs et utilisateurs finaux ». Sous-entendant ainsi que l'utilisateur seul ne peut pas porter la responsabilité de protéger sa propre vie privée.
Source : Rapport - Institut Montaigne
