Le régulateur français des données a, à certains égards, contourné le processus international du RGPD en poursuivant directement l’utilisation des cookies par les entreprises. Malgré les idées reçues, les pop-ups de cookies gênants ne proviennent pas du RGPD – ils sont régis par la loi européenne sur la confidentialité en ligne, et le régulateur français en a profité. Marie-Laure Denis, responsable du régulateur français CNIL, a infligé à Google, Amazon et Facebook de lourdes amendes pour mauvaises pratiques en matière de cookies. Peut-être plus important encore, cela a forcé les entreprises à changer leur comportement. Google modifie ses bannières de cookies dans toute l’Europe suite à l’application de la loi française.
“On commence à voir des changements vraiment concrets dans les écosystèmes numériques et une évolution des pratiques, c’est vraiment ce que nous recherchons [for]», explique Denis. Elle explique que la CNIL se penchera ensuite sur la collecte de données par les applications mobiles dans le cadre de la loi E-Privacy, et les transferts de données cloud dans le cadre du RGPD. L’effort d’application des cookies n’était pas pour éviter le processus prolongé du GDPR, mais c’était plus efficace, dit Denis. “Nous croyons toujours au mécanisme d’application du RGPD, mais nous devons le faire fonctionner mieux et plus rapidement.”
À la fin année, il y a eu de plus en plus d’appels pour changer le fonctionnement du RGPD. “L’application devrait être plus centralisée pour les grandes affaires”, a déclaré Viviane Redding, la politicienne qui a proposé le RGPD en 2012, à propos de la loi sur les données en mai de l’année dernière. Les appels ont été lancés alors que l’Europe a adopté ses deux prochains grands textes de réglementation numérique : la loi sur les services numériques et la loi sur les marchés numériques. Les lois, qui se concentrent sur la concurrence et la sécurité sur Internet, gèrent l’application différemment du RGPD ; dans certains cas, la Commission européenne enquêtera sur les entreprises Big Tech. Cette décision est un clin d’œil au fait que l’application du RGPD n’a peut-être pas été aussi fluide que les politiciens l’auraient souhaité.
Il semble y avoir peu d’appétit pour rouvrir le RGPD lui-même ; cependant, des ajustements plus petits pourraient aider à améliorer l’application. Lors d’une récente réunion des régulateurs des données organisée par le Comité européen de la protection des données, un organe qui existe pour guider les régulateurs, les pays ont convenu que certaines affaires internationales travailleraient selon des délais et des délais fixes et ont déclaré qu’ils essaieraient “d’unir leurs forces” sur certaines enquêtes. Le Norvégien Judin dit que cette décision est positive mais s’interroge sur son efficacité dans la pratique.
Massé, d’Access Now, affirme qu’un petit amendement au RGPD pourrait résoudre de manière significative certains des plus gros problèmes d’application actuels. La législation pourrait garantir que les autorités de protection des données traitent les plaintes de la même manière (y compris en utilisant les mêmes formulaires), énoncer explicitement le fonctionnement du guichet unique et s’assurer que les procédures dans chaque pays sont les mêmes, a déclaré Massé. En bref, cela pourrait clarifier la manière dont l’application du RGPD devrait être gérée par chaque pays.
Le point de vue est également partagé par les régulateurs de données, au moins dans une certaine mesure. Denis, de France, affirme que les régulateurs devraient partager plus d’informations, plus rapidement sur les cas transfrontaliers afin qu’ils puissent construire un consensus informel autour d’une décision potentielle. “La Commission pourrait également, par exemple, examiner les ressources accordées aux autorités de protection des données”, explique Denis. “Parce que c’est l’obligation d’un État membre de donner des ressources suffisantes aux autorités de protection des données pour s’acquitter de leurs fonctions.” Le personnel et les ressources que les régulateurs doivent enquêter et appliquer sont éclipsés par ceux de Big Tech.
“Potentiellement, s’il y avait la possibilité d’une sorte d’instrument spécifique au RGPD – étant un instrument juridique – qui préciserait certains processus et problèmes de procédure, cela pourrait aider”, déclare Dixon de l’Irlande. Elle ajoute que les complications qui pourraient être aplanies comprennent les problèmes d’accès aux dossiers pendant les enquêtes, la question de savoir si les personnes qui portent plainte ont accès au processus d’enquête et les problèmes de traduction. “Il y a toute une série d’incohérences autour de cela, ce qui entraîne des retards et de l’insatisfaction de tous les côtés”, déclare Dixon.
Sans quelques changements – et une application stricte – les groupes de la société civile avertissent que le GDPR pourrait ne pas arrêter les pires pratiques des entreprises Big Tech et améliorer le sens de la vie privée des gens. “La chose immédiate à laquelle il faut s’attaquer, ce sont les entreprises Big Tech”, déclare Ryan. “Si nous ne pouvons pas faire face à la Big Tech, nous créerons une permanence au fatalisme que les gens ressentent à propos de la vie privée et des données.” Quatre ans plus tard, Massé dit qu’elle a toujours de l’espoir pour l’application du RGPD. « Ce n’est vraiment pas ce que nous espérions. Mais ce n’est pas non plus dans un endroit où je pense que nous pouvons commencer à creuser une tombe pour le RGPD et l’oublier. »