Déclaration : 3ème anniversaire du GDPR
Il y a trois ans, le 25 mai 2018, le règlement général sur la protection des données est devenu applicable. Le GDPR était censé donner des droits aux personnes du quotidien qui sont soumises au traitement des données (" personnes concernées "). Chez noyb, nous appliquons chaque jour le GDPR du point de vue de cet utilisateur.
Après trois ans, notre première conclusion intermédiaire est mitigée : le GDPR a clairement attiré l'attention de tous sur cette question, fait en sorte que les entreprises revoient leurs pratiques (souvent pour la première fois) et que les utilisateurs prennent conscience qu'ils ont des droits dans la sphère numérique.
La vie privée sur le papier ?
Avoir des droits et obtenir justice sont deux choses distinctes : Tout comme les règles précédentes de la directive sur la protection des données de 1995 (la directive 95/46), l'UE est parvenue à publier une loi progressiste (si on la compare à l'échelle mondiale). Cependant, les États membres ne parviennent pas à faire appliquer cette nouvelle législation européenne. Cela conduit à une "vie privée sur le papier", mais pas nécessairement sur les téléphones ou les ordinateurs des utilisateurs.
En tant qu'organisation spécialisée dans la protection des données et la vie privée, nos dix avocats appliquent le GDPR au quotidien. Néanmoins, nous voyons régulièrement des cas qui prennent des années à être résolus, en particulier lorsque les utilisateurs veulent faire valoir leurs droits au-delà des frontières nationales. Si certaines autorités de protection des données (APD) font un excellent travail, d'autres n'acceptent même pas le droit des utilisateurs à ce que leur plainte soit examinée, et encore moins à ce que leurs droits soient appliqués. Comme les entreprises déclarent leur siège dans l'État membre le plus pratique ("forum shopping"), les utilisateurs de toute l'UE souffrent de la faiblesse des liens entre les APD.
Dans certains États membres, les tribunaux se sont montrés tout aussi réticents à faire respecter les droits des utilisateurs. Il semble souvent que les juges n'aient reçu aucune formation sur le GDPR, ce qui conduit à des décisions qui relancent des débats juridiques qui auraient dû être dépassés depuis longtemps - par exemple le droit d'obtenir une compensation monétaire pour des dommages émotionnels. De même, les tribunaux appliquent le droit procédural local d'une manière qui rend l'application du GDPR presque impossible.
Cette situation ne conduit pas seulement à des violations flagrantes des droits des citoyens, mais aussi à une concurrence déloyale, car certains acteurs du marché européen peuvent ne pas ressentir le besoin de se mettre en conformité, tandis que d'autres s'inquiètent de l'éventualité d'amendes
Petites et moyennes entreprises
Un autre élément qui devient plus clair maintenant, est que l'approche " taille unique " du GDPR est inadéquate. Les grandes entreprises ont fait pression pour obtenir une loi unifiée, afin de s'assurer qu'elles n'aient à se conformer qu'à des exigences moyennes. Les partis politiques qui se targuent d'être "pro-business" ont particulièrement suivi cette idée. Ces exigences moyennes submergent désormais de nombreuses petites entreprises qui ne traitent pas vraiment les données à une échelle pertinente, alors qu'elles sont trop faibles pour lutter contre les grandes technologies.
Contrairement à d'autres règlements où il existe des catégories d'entreprises, le GDPR exige souvent les mêmes procédures d'une petite boutique et de géants de la technologie comme Google, Amazon ou Facebook. Cela entraîne des charges élevées pour la grande majorité des entreprises, tout en ne réglementant pas de manière adéquate les acteurs concernés. Il semble que les principaux bénéficiaires soient les grands conglomérats de traitement des données et peut-être le secteur du conseil. Néanmoins, il n'y a pas (pour de bonnes raisons) d'appétit pour rouvrir le GDPR, car on craint que les big tech n'utilisent une telle opportunité pour percer davantage de trous dans la loi
Résumé
L'Europe peut s'enorgueillir d'avoir adopté la législation la plus progressiste au monde en matière de protection de la vie privée, mais les petites erreurs dans la loi et le manque d'application entraînent une frustration légitime des utilisateurs et des petites entreprises. Il incombera aux APD et aux tribunaux de surmonter ces problèmes dans le cadre juridique existant pour faire du GDPR un véritable succès. Nous sommes heureux de travailler au déclenchement de tels changements dans notre travail quotidien à noyb.