Journée européenne de la protection des données : le RGPD tourne-t-il le dos à la globalisation ? | Agoria

Journée européenne de la protection des données : le RGPD tourne-t-il le dos à la globalisation ?

Image
Publié le 28/01/21 par Thomas Van Gremberghe
Ce jeudi 28 janvier est la Journée européenne de la Protection des données. L’Europe entend jouer un rôle de pionnier dans les domaines de la digitalisation et de l’intelligence artificielle, ce dont Agoria ne peut que se féliciter. La digitalisation fait en sorte que le monde se trouve à portée de main, ce qui facilite le dialogue avec les clients et les fournisseurs. Mais l’accès à ce monde semble se restreindre peu à peu, ce qui rend l’accès aux flux de données de plus en plus compliqué.

En mai 2018, le RGPD - Règlement général sur la protection des données ou General Data Protection Regulation (GDPR) - faisait l’objet de davantage de recherches sur Google que la pop star américaine Beyoncé.  Cette époque est déjà bien loin. Il n’empêche que les gardiens du RGPD commencent à occuper le devant de la scène, ce qui conduit à une insécurité juridique quant à la poursuite de la globalisation digitale des services impliquant les données à caractère personnel. Les conséquences de leurs interventions et initiatives sont de plus en plus perceptibles et inquiètent nos entreprises.

Mi-2020, la Cour de justice de l’Union européen a invalidé le mécanisme de Privacy Shield. Le défenseur de la vie privée Max Schrems avait introduit une procédure à l’encontre de Facebook, estimant que les transferts de données vers les États-Unis n’offraient pas suffisamment de garanties au niveau de la protection des données. Le Privacy Shied se voulait un mécanisme permettant à des organisations de partager facilement des données à caractère personnel avec un partenaire ou fournisseur américain, lorsque ce dernier détenait une certification Privacy Shield.

Les grands acteurs digitaux américains possédaient une telle certification, si bien qu’il était possible pour des entreprises européennes, sans mesures (contractuelles) complémentaires, de transférer des données à caractère personnel à des partenaires commerciaux ou fournisseurs. Quelques exemples typiques : fournisseurs de service de stockage dans le cloud, applications techniques utilisées par des développeurs logiciels de l’UE, etc.

L’impact est donc énorme et de nombreuses (petites) entreprises ont sous-estimé les conséquences de ce jugement.

En raison de l’invalidation du Privacy Shield, de nombreux transferts de données vers les États-Unis sont tout à coup devenus illicites et constituaient donc une violation du RGPD.

La Cour de justice de l’UE a posé une condition supplémentaire en imposant aux organisations de réaliser une analyse approfondie des risques avant de pouvoir effectuer des transferts de données. Cette condition a un impact sur tout transfert vers une organisation hors UE pour lequel l’UE ne s’est pas prononcée sous la forme de décisions d’adéquation.

Après l'analyse des risques, l'organisation ou l'entreprise européenne devra toujours prévoir un mécanisme approprié pour les transferts de données, comme des clauses contractuelles types ou des règles d'entreprise contraignantes pour un groupe d'entreprises. Cela requiert des négociations contractuelles supplémentaires après l'analyse des risques.

En raison du Brexit, le Royaume-Uni est désormais considéré comme un pays tiers. Par conséquent, les entreprises qui partagent des données personnelles avec leurs clients ou fournisseurs britanniques devront également procéder à une évaluation des risques et prendre des mesures supplémentaires. Heureusement, il est question - avec quelques réserves - d’une décision d'adéquation entre l'UE et le Royaume-Uni qui pourrait entrer en vigueur après la période de transition de six mois. Une décision d'adéquation signifie que la Commission européenne, après avoir analysé la législation d'un pays tiers, décide que ce pays garantit un niveau de protection des données adéquat. Si tel est le cas, les données peuvent être transférées librement vers ce pays.

Bien que la protection des données revête une grande importance, l’objectif ne peut être de mettre des bâtons dans les roues de la digitalisation, de la globalisation et du progrès.

La plupart des entreprises se sont montrées disposées à mettre le RGPD en oeuvre, mais le transfert international de données est une matière complexe qui apparaît souvent comme une étape trop éloignée. Rendre les transferts de données plus difficiles, surtout en exigeant une analyse des risques, peut conduire à une attitude de résignation ou, pire, augmenter l'appétit pour le risque.

Il n'y a pas d'échappatoire au GDPR : les entreprises non basées dans l'Union européenne devront également se conformer à tous les principes et obligations du GDPR dès qu'elles traiteront des données personnelles de résidents de l'UE. En tout état de cause, il est plus difficile d'appliquer le GDPR aux sociétés étrangères, même s'il prévoit certains mécanismes de garantie tels que la désignation d'un représentant.

Outre ces constats, un certain nombre de questions se posent :

L’Europe souhaite-t-elle une « déglobalisation » des flux de données ? L'UE espère-t-elle que des acteurs européens vont émerger pour remplacer les opérateurs historiques dans le domaine du stockage des données, des outils de marketing, etc. ?  Existe-t-il réellement des acteurs européens qui ont les moyens de faire les mêmes investissements, ou les entreprises américaines en place sont-elles prêtes à s’isoler complètement sur le plan technologique pour exclure tout transfert en dehors de l'UE ?

Dans certains cas, il est difficile de trouver des alternatives européennes ou de mettre celles-ci en oeuvre rapidement et efficacement au sein des entreprises. Une application trop stricte des exigences en matière de flux de données peut, d'une part, avoir un impact négatif sur le rôle que les acteurs européens pourraient jouer sur la scène internationale et sur les investissements en Europe, mais, d'autre part, elle pourrait également entraîner des investissements des acteurs bien établis en Europe si les avantages l'emportent sur les coûts.

Ne serait-il pas préférable pour les Européens de miser sur de nouveaux défis technologiques (AI, blockchain, cybersécurité,...) en s’appuyant sur ce qui existe déjà ? Ne pourrions-nous pas investir dans des technologies permettant de protéger les flux de données et l’accès aux données vis-à-vis de personnes (autorités) non habilitées à le faire ?  Ces technologies ou entreprises ne pourraient-elles pas être soutenues afin qu’elles soient financièrement abordables à toute organisation ?

À l'heure actuelle, une solution structurelle, pragmatique et facilement applicable pour les entreprises, grandes et petites, semble être nécessaire pour pouvoir poursuivre la digitalisation et les échanges de données d'une manière licite, afin que les acteurs européens puissent exporter leurs applications numériques par la grande porte.  

La protection des données et la vie privée sont des droits fondamentaux que chaque individu possède et que les entreprises doivent prendre en compte lors de la conception de leurs applications numériques et de leurs flux de données. La volonté de mettre en œuvre les principes de base du GDPR est clairement présente dans nos entreprises, mais il ne faudrait pas que l'application de ces réglementations soient si stricte qu'elle ralentisse le progrès numérique.

L'Europe devrait agir le plus rapidement possible pour créer des mécanismes visant à faciliter les transferts internationaux de données en les rendant utilisables par tous les types d'entreprises plutôt que de prendre des mesures qui ralentissent inutilement les activités des entreprises. Des décisions d'adéquation ou des mécanismes similaires avec des pays tiers tels que le Royaume-Uni, les États-Unis et d'autres pays avec lesquels nos secteurs font activement des affaires sont indispensables pour les acteurs européens ambitieux qui ont le monde à leur portée.

Cet article était-il utile ?