Louables intentions

Internet est à l’origine un réseau décentralisé dans lequel ont éclos, malgré une volonté initiale de neutralité, des oligopoles relatifs à certains services (navigation, vidéos, commerce, plateformes spécifiques) prenant souvent des positions dominantes dans certaines grandes régions du monde : les GAFAM et leurs homologues asiatiques (les BATX) en sont les meilleurs exemples. Leurs modèles économiques ont un point commun : la captation des données personnelles et l’algorithmie de ciblage marketing. Le RGPD vient, en théorie, « siffler la fin du match » pour le territoire européen, avec pour objectif de rendre explicite le consentement de la captation des données personnelles. Auparavant, le processus de consentement implicite était devenu si incolore et inodore que peu de personnes avaient conscience d’ « être le produit » de services « gratuits », en clair de transmettre des données personnelles.

Mais le diable se cache dans les détails

Depuis mai 2018, le RGPD a drainé une série de contraintes pour les sites Internet consultables depuis l’Europe, et les entreprises et institutions qui les mettent en ligne. Une couche technique, administrative et juridique complexe est venue s’ajouter aux organisations pour recenser les données personnelles internes et externes manipulées. On considère pêle-mêle les processus associés à ces données, les risques au regard de la captation potentielle de données par des tiers que ce soit par malveillance ou inadvertance, les impacts des risques, les mesures envisagées, etc. Par ailleurs, les procédés de mise en place d’un consentement éclairé de l’octroi des données personnelles et les procédés visant à permettre à tout un chacun de pouvoir se radier des listes où l’on a été inscrit sont autant de défis qui, s’ils ne sont pas insurmontables, constituent une lourdeur non négligeable dans un contexte français où l’administratif est jugé (probablement à raison dans de nombreux cas) contre-productif et anti-compétitif.

Quant au veilleur, il sera nécessairement freiné dans sa navigation sur le web : les clics liés aux paramétrages des cookies, l’accès réduit à des sources extra-européennes qui ne souhaitent pas se conformer au RGPD, en particulier étatsuniennes, induisent des pertes de temps ou incitent à l’utilisation accrues de VPN (Virtual Private Network) pour ceux qui en ont la possibilité, fonction de la politique de Systèmes d’Informations de l’entreprise. En pratique, cette restriction de l’accès à l’information peut s’apparenter à une forme « soft » de déni de service, et un renoncement à la neutralité du Net. Par ailleurs, il a été peu dit que le RGPD confère à l’Internet européen une dimension protectionniste et extraterritoriale, puisque tous les sites situés hors UE et désirant atteindre un public européen sont tenus de se conformer au RGPD.

Une bataille d’indépendance en filigrane ?

Cependant, il faut bien reconnaitre que le RGPD donne une impulsion forte pour s’émanciper de services Internet américains. De la révélation de PRISM par Edward Snowden en 2013 à celle des vols massifs de données Facebook par Cambridge Analytica en 2018, il est devenu lisible pour tous que la donnée personnelle a une valeur et qu’on ne laisse pas un objet de valeur sans protection. D’ailleurs, il a bien été constaté que la réticence de départ des acteurs du cloud computing européen s’est commuée en opportunité de ravir quelques parts de marché à leurs homologues américains.

Il est encore tôt pour évaluer l’efficacité réelle du RGPD en comparaison avec les grands efforts demandés aux organisations, petites ou grandes, pour se mettre en conformité. On sait toutefois que même les institutions européennes ont du mal à prendre le pas (voir ICI) et que les pays du nord de l’Europe ont moins de difficultés pour l’adopter, probablement du fait de cultures plus promptes à se conformer aux règles. Depuis fin 2018, les sanctions ont commencé à être distribuées. Même si les spectaculaires 50M€ d’amendes administrés à Google par la CNIL pourraient paraitre disproportionnés ou dérisoires en fonction des points de vue, il existe en pratique un système de sanctions graduel, à l’image d’HADOPI. Cependant, si l’on regarde le bilan des sanctions de cette dernière en 2018, au terme de 9 années d’existence, 10 millions de mails de premier avertissement ont été envoyé, 920 000 mails de second avertissement, 3000 comparutions devant le tribunal et…101 contraventions. Même si comparaison n’est pas raison, et que HADOPI était plutôt censée viser les particuliers alors de le RGPD cible davantage les organisations, on peut noter que la taille du système répressif reste comparable.

Comme pour tout changement profond, on comptera des gagnants et des perdants dont la répartition sera redistribuée par rapport à la situation précédente, même s’il est espéré que les gagnants seront européens. Il y a cependant fort à parier que les parties prenantes du Web s’adapteront sans problème à ce nouvel enjeu. Elles sont habituées depuis les années 1990 à des changements incessants des structures de l’Internet alors que celui-ci est devenu un espace majeur des jeux économiques et relationnels. A titre d’exemple et si l’on se replace outre-Atlantique, un journal en ligne tel que celui du Los Angeles Times a choisi de se conformer au RGPD, alors que ce n’est pas le cas pour le Chicago Tribune qui n’est toujours pas accessible. On peut y voir une simple logique de marché : Los Angeles intéresse probablement davantage les européens (notamment ceux de la « Tech ») que Chicago…