Site icon Petit Web

RGPD : quand l’Europe inspire le reste du monde

Qui ?

Guillaume Coulomb, Data quality lead chez fifty-five.

Quoi ?

[Article partenaire] Le tour du monde des pays RGPD compatibles... Et de ceux qui se tâtent.

Comment ?

Le RGPD aurait pu  être perçu  comme une énième régulation de Bruxelles, imposant tout un tas de contraintes inutiles aux entreprises comme aux internautes. Mais depuis 2016,  les fuites massives de données et les scandales à répétition ont  imposé le RGPD au centre des discussions à l'international... Les Etats veulent tous leur propre RGPD. Mais plusieurs visions s’opposent.

En Europe, l’exploitation des données personnelles n'est pas considérée comme une simple opportunité pour la publicité ciblée ou l'uberisation d'un secteur. Elle s'oppose au droit fondamental à la vie privée. Malgré le Brexit, le Royaume-Uni se range plus du côté de la vision européenne qu’américaine.

Et dans le reste du monde ? Les Etats-Unis sont tiraillés entre une approche très libérale de la donnée, perçue comme marchandise, et la nécessité de réguler face aux enjeux. La Chine, la Russie, le Brésil, la Syrie, l'Ouzbekhistan, Le Belarus, Cuba voient la rétention d’informations comme un outil de contrôle des populations et un instrument de puissance, et utilisent la protection des données comme prétexte pour renforcer leur pouvoir.

Entre libéralisation et protection, le coeur des Etats-Unis balance

D'un côté, le Congrès américain a voté, en mars 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui facilite l’obtention des données venant de l’étranger, notamment via les opérateurs et FAI, lors d’une procédure judiciaire américaine. Depuis l’entrée en application du RGPD, des éditeurs de logiciel et des médias ont bloqué l’accès à leurs contenus et services aux utilisateurs européens, par mesure de précaution : le site dataverifiedjoseph.com recense tous les sites inaccessibles depuis l’UE .

De l'autre, les scandales d’Equifax et les soupçons d’ingérence russe via les réseaux sociaux ont occasionné une prise de conscience chez les Parlementaires. En avril 2018, le PDG de Facebook, Mark Zuckerberg, était auditionné par le Congrès américain à propos de l’affaire Cambridge Analytica. 87 millions d’utilisateurs avaient alors vu leurs données personnelles être exploitées de manière abusive... et c’est toute l’Amérique (élus compris) qui a pris conscience des enjeux liés à la protection des données.

Le Congrès mène ainsi plusieurs enquêtes sur les pratiques opaques des géants du web et plusieurs sénateurs ont évoqué, lors des auditions de Facebook, Google et Twitter de mai dernier, la nécessité d’un « RGPD à l’américaine » : en effet, les États-Unis ne disposent d'aucune loi fédérale liée à l'utilisation des données personnelles, comme la loi Informatique et Libertés en France, ou le RGPD, à l'échelle européenne.

La Californie a adopté en juin dernier le « California Consumer Privacy Act » dans le sillage du scandale Facebook - Cambridge Analytica. Cette loi est la première étape d’une régulation plus stricte de l’exploitation des données aux Etats-Unis, et s’inspire directement du RGPD, même si elle est plus souple que le règlement européen. Elisa Braun, journaliste du Figaro ajoute : « Les géants du web et des télécoms ont voulu s’opposer à la ratification de la loi, sans succès ». Ils souhaitent que Washington crée une loi fédérale plus souple qui supplanterait la législation californienne. « Cela pourrait créer un patchwork de réglementations, où chaque État américain veut son propre cadre en matière de vie privée », défendait début septembre au Sénat l'avocat d'Amazon, Andrew DeVore. Si les géants du web s’unissent avec les opérateurs télécoms, il y a  peu de chance de voir aboutir aux Etats-Unis une régulation aussi stricte qu’en Europe. Même si, selon Axios, des discussions seraient en cours autour d’une loi sur la protection de la vie privée à la Maison Blanche…

L’Asie, déjà en marche vers le modèle européen

Les acteurs basés en Asie sont déjà contraints de protéger les données personnelles. Et bonne nouvelle, une partie des principes définis par le RGPD se rapproche des législations locales  :

En Chine, la loi sur la cybersécurité est entrée en vigueur en juin 2017. Celle-ci limite de manière drastique la collecte, le transfert et toute autre utilisation des données personnelles, en les soumettant aux principes de « légalité, légitimité et nécessité ». De plus, les données « importantes » et les données à caractère personnel doivent désormais être stockées sur des serveurs localisés sur le territoire chinois. Paradoxalement, avec la mise en place prochaine d’un système de « crédit social », permettant de noter la réputation des citoyens, les données personnelles deviennent un moyen de mieux garantir la gouvernance de la société, à travers un « outil de surveillance de masse » (voir ici). Connu pour son interventionnisme fort, le gouvernement chinois protège donc les données personnelles de ses citoyens... mais détient le privilège de leur utilisation !

L’Inde commence également à se positionner sur les sujets liés à la vie privée, après avoir longtemps été tentée par les dérives totalitaires du projet “Aadhaar” (la plus grosse base de données biométrique au monde, qui sert à 1,3 milliards d’Indiens à prouver leur identité, à se faire rembourser leurs soins de santé mais aussi payer leurs courses ou s’inscrire à la fac). En 2017, les juges de la Cour suprême indienne ont sanctuarisé le droit à la vie privée et mis fin aux tentatives d’expansion du projet Adhaar, largement soutenu par des grandes entreprises de la donnée. Elisa Braun ajoute : « L'Inde n'a pas de législation unifiée et se montre particulièrement intrusive en cas de procédure judiciaire ».

Enfin, Tokyo applique des normes de protection des données similaires à celles de l’UE et les deux puissances ont entamé des négociations pour une décision d’adéquation. Ce processus juridique garantit que le Japon applique un niveau de protection des données conforme au RGPD. L’adoption de la décision d’adéquation avec le Japon a été actée en septembre dernier. Le Maroc souhaiterait aussi entamer les pourparlers pour un régime d’adéquation avec l’UE.

Ce grand tour d'horizon le démontre : le RGPD a créé un référent mondial, et place ainsi l’Europe en chef de file de la protection de la vie privée.

Guillaume Coulomb

Quitter la version mobile