Déclaration sur les 4 ans du GDPR
Le GDPR n'a pas changé une culture de non-conformité. Lorsque le GDPR est devenu applicable le 25 mai 2018, il a été perçu comme un moment décisif. Les commentaires se situaient quelque part entre l'UE qui devient sérieuse en matière de protection de la vie privée et l'internet qui tombe en panne à minuit. Les quatre dernières années ont montré qu'une loi ne change pas à elle seule des modèles d'affaires fondés sur l'abus de données personnelles et une culture au sein de la profession de la vie privée qui se concentre souvent sur la couverture de la non-conformité. Après un premier moment de choc, une grande partie de l'industrie des données a appris à vivre avec le GDPR sans réellement changer de pratiques. Cela se fait principalement en ignorant tout simplement les droits des utilisateurs et en s'en tirant à bon compte.
La culture GDPR : moquerie ouverte et hostilité. Cela se traduit souvent par le fait que les droits fondamentaux sont rabaissés. Le droit fondamental à la protection des données n'est pas respecté et perçu comme le résultat d'un long processus démocratique, mais raillé comme fou ou "impossible à respecter". Les autorités et les organisations à but non lucratif qui tentent d'appliquer la loi telle qu'elle existe se heurtent à une hostilité ouverte et à des accusations, comme celle selon laquelle cette application "tuerait l'innovation". Il n'y a guère d'autre domaine du droit qui soit politisé à ce point - au moins, je n'ai jamais entendu dire que les codes de la construction ou des impôts étaient ouvertement ignorés sous prétexte que leur respect "minerait le modèle économique" d'une entreprise. La bulle de la vie privée accepte de tels récits comme un argument légitime.
Dynamique de la conformité au GDPR. Le GDPR n'a pas (encore) réussi à sortir d'une condition préexistante : une spirale descendante de plus en plus de non-conformité et de non-application. Tout comme lorsque certaines parties d'une ville deviennent des zones interdites aux criminels et sont abandonnées par la police, il semble que de nombreuses autorités de protection des données aient perdu la main sur de nombreux domaines de la sphère numérique. Les entreprises se rendent compte que leurs concurrents ne se conforment pas et qu'agir légalement n'est pas rentable. Plus la non-conformité se répand, plus il sera difficile pour les autorités de reprendre le contrôle avec des ressources limitées
Absence de mise en application par les APD. L'absence d'application réelle de la loi et, partant, l'absence d'effet dissuasif sur les autres entreprises ajoutent de l'huile sur le feu. Sur une cinquantaine d'affaires transfrontalières que noyb a déposées au cours des quatre dernières années, aucune n'a encore fait l'objet d'une décision finale. Mois après mois, sans une mise en application adéquate, il sera de plus en plus difficile de remettre la situation sur les rails. Alors que certaines autorités semblent s'inquiéter davantage de la perception du public que de l'application effective de la loi, d'autres semblent avoir pris conscience de la situation et font de leur mieux pour avancer. Néanmoins, le temps presse et il semble que nous approchions d'une situation dans laquelle le GDPR sera totalement ignoré - tout comme la précédente directive européenne sur la protection des données de 1995.
Problèmes techniques. Sur le terrain, les autorités (et les personnes concernées) souffrent souvent de problèmes très techniques créés par des procédures nationales différentes, des ressources limitées, un manque de personnel qualifié ou des tribunaux prompts à annuler les décisions. Ces problèmes ne font pas la une des journaux, mais c'est la raison pour laquelle noyb doit aujourd'hui s'occuper de questions de procédure plus que de questions de vie privée.
noyb: D'abord ils vous ignorent, ensuite ils vous combattent, puis vous gagnez. Dans ce contexte plus large, le rôle de la noyb a connu une évolution très intéressante en 2022. De nombreux acteurs du secteur considèrent comme une insulte le fait que les utilisateurs puissent réellement exiger le respect du GDPR et osent aller devant les tribunaux pour faire valoir leurs droits. Alors que les tribunaux sont généralement l'habitat naturel de tout avocat, nous constatons que les avocats sont de plus en plus outrés par notre travail. J'y vois personnellement un signe de notre succès exceptionnel en tant que petite organisation qui était encore ignorée il y a un ou deux ans.
La voie à suivre. Pour de nombreux droits fondamentaux, il a fallu des siècles pour les établir, les défendre et les mettre en œuvre. Ils sont tous continuellement attaqués et il faut y travailler chaque jour. Il ne faut pas s'étonner qu'il en aille de même pour le droit à la protection des données. Les autorités devront apprendre que personne n'aime les organismes chargés de faire respecter la loi - mais que leur rôle est crucial pour nos sociétés numériques. Les entreprises doivent apprendre qu'il y a des conséquences. Les avocats du secteur devront apprendre que leurs points de vue seront contestés devant les autorités et les tribunaux chargés de la protection des données. Les défenseurs de la vie privée devront apprendre qu'il ne suffit pas d'adopter une loi, mais qu'il faut aussi la faire appliquer. Nous sommes très impatients de travailler sur ce sujet dans les années à venir.