Dans la presse ou sur les réseaux sociaux, plusieurs mauvaises informations circulent au sujet du RGPD. Il est grand temps de rétablir la vérité.
«Catastrophe», «colossale erreur», «usine à gaz». Telles sont les idées véhiculées dans la presse et sur la toile depuis l’entrée en vigueur le 25 mai dernier du règlement européen sur la protection des données personnelles (RGPD). Par des consultants à la recherche de clients. Par des essayistes en manque de followers. Par des lobbyistes et même par des gouvernements étrangers. Ça suffit ! Il est temps de tordre le cou aux fausses informations et de rétablir les faits.
«Sur-réglementation» ? Non, le principe de base du droit européen reste le même : l’utilisation des données personnelles est conditionnée au consentement de la personne concernée. Le vrai changement, c’est le remplacement de contrôles a priori basés sur des formalités administratives par une logique de responsabilisation a posteriori basée sur un dialogue continu avec les autorités nationales. Ce sont aussi les sanctions. Alors qu’elles étaient quasi inexistantes jusqu’à aujourd’hui, elles pourront atteindre 4 % du chiffre d’affaires d’une entreprise, soit plusieurs milliards d’euros.
«Surcoût pour les PME» ? Non, contrairement à celles en vigueur depuis 1995, les règles sont calibrées en fonction de la taille et de la nature de l’entreprise, ainsi que du volume et de la sensibilité des données traitées. Les entreprises de moins de 250 salariés, dont le traitement des données n’est pas l’activité principale, sont exemptées de la plupart des obligations. Les artisans et les commerçants devront simplement noter les caractéristiques élémentaires des données qu’ils collectent avec l’accord de leurs clients, de leurs fournisseurs, de leurs employés etc. Vu l’importance des données dans la gestion et le développement d’une entreprise, c’est avant tout du bon sens.
«Frein pour les start-up européennes» ? Non, elles pourront exercer leur activité partout en Europe en appliquant une législation unique sous le contrôle d’une autorité unique, sans avoir à remplir 28 obligations différentes auprès de 28 autorités différentes. Les mêmes règles s’appliqueront enfin aux entreprises établies hors d’Europe qui opèrent sur notre territoire, mettant ainsi un terme à une distorsion de concurrence qui désavantageait jusqu’à aujourd’hui les entreprises européennes.
«Fin du Big Data» ? Non, les techniques d’anonymisation et de pseudonymisation sont reconnues afin de faciliter le traitement des mégadonnées et le développement de l’intelligence artificielle. De nombreux fondements juridiques sont inscrits dans la loi: l’intérêt public d’une commune ou légitime d’une association, le respect d’une obligation légale ou contractuelle d’une entreprise, la recherche scientifique ou historique etc. Loin de l’univers kafkaïen décrit par beaucoup de commentateurs qui n’ont manifestement pas lu le texte législatif.
« Cadeau aux Gafa » ? Non, s’ils ne changent pas certaines de leurs pratiques, visant à collecter, utiliser et vendre sans votre accord le maximum de vos données, ils s’exposent à des sanctions très élevées. Uber ne pourra plus attendre un an avant d’informer ses millions de clients du vol de leurs données. Facebook ne pourra plus transférer la totalité de vos données personnelles ainsi que celles de vos amis à des tierces parties comme les fabricants de smartphones. Google ne pourra plus tracer vos moindres déplacements. Les paramètres par défaut, des applications mobiles, des réseaux sociaux et des moteurs de recherche, devront être respectueux de la vie privée. Notre continent n’est pas un libre-service et le monde numérique ne peut être un terrain de jeu sans foi ni loi.
«Spams pour les internautes» ? Non, le marketing direct par SMS ou par e-mail sans consentement exprès est interdit. L’Europe redonne aux citoyens le contrôle sur leurs propres données. Vous avez certes reçu des centaines de demandes d’autorisation récemment, mais elles vous permettent justement d’objecter à l’envoi de nouvelles publicités. Désormais, vous pourrez aussi : savoir qui traite leurs données, lesquelles et pourquoi, y accéder de manière simple et pratique, être informé en cas de violation, transmettre vos données d’un réseau social à un autre, ou encore en demander la suppression. En cas de non-respect, vous pourrez aussi faire un recours devant la CNIL ou devant les tribunaux. Autant de droits que neuf Européens sur dix exigeaient.
«La pire face de l’Europe» ? Non, c’est au contraire ce que l’Union européenne fait de mieux. Elle écrit les règles du jeu international. Parce que les entreprises étrangères vont devoir l’appliquer pour conserver l’accès au marché européen et à ses 500 millions de consommateurs. Certaines multinationales comme Microsoft ont déjà fait savoir qu’elles le feraient partout dans le monde. Parce que les gouvernements étrangers seront également incités à adopter une législation équivalente, s’ils veulent faciliter les transferts de données transnationaux. Certains pays comme le Japon ou l’Argentine sont en train de le faire. Comme d’habitude, entre l’ultra-protectionnisme chinois et l’ultra-libéralisme américain, l’UE défend une troisième voie réconciliant innovation et valeurs.
« Censure » ? Non, les journalistes et les photographes, dont la liberté d’information et d’expression est explicitement protégée, pourront continuer à faire leur travail. « Fruit du travail de fonctionnaires anticapitalistes » ? Non, le règlement est le résultat d’années de débats et de milliers d’amendements adoptés à la quasi-unanimité des 28 gouvernements nationaux et des 751 eurodéputés que nous élisons. Combien de fois faudra-t-il encore le répéter ?
Le RGPD est une chance. Pour une Europe qui protège. Pour une souveraineté numérique retrouvée. Pour un marché numérique véritablement unique. Pour une révolution technologique au service de l’humain. Il est ce que l’Union européenne fait de mieux : plus de droits pour les citoyens, moins de bureaucratie pour les PME, une norme de référence internationale. Telles sont les promesses qui sont devenues réalités.
Bertrand L’Huillier
Pour en savoir plus : https://ec.europa.eu/info/law/law-topic/data-protection/reform_fr
