A mesure que se développent les outils numériques, l’ampleur de la collecte et du traitement des données personnelles ne cesse d’augmenter. Chez certains, cela a nourri des craintes d’intrusion dans la vie privée, par les États ou des acteurs privés, mais aussi de discrimination, de surveillance ou de manipulation. La réponse réglementaire européenne, le Règlement Général pour la Protection des Données (RGPD), visant à garantir tant la protection des données que leur libre circulation, a été globalement considérée comme salutaire dans le monde entier. Toutefois, la collecte et le partage de données personnelles continuent à se développer, tirés par les besoins de la publicité en ligne, et restent encore d’une ampleur mal comprise par les citoyens. Si le RGPD a sans aucun doute contribué à faire entrer le sujet un peu plus dans le quotidien des internautes européens, il est pour beaucoup le synonyme d’une expérience dégradée, de lourdeurs administratives ou encore d’une boîte noire réglementaire.

Rarement un règlement de l’Union Européenne aura fait autant débat que ce RGPD. Souvent pris comme exemple par certains de la réussite d’un soft power européen jouant enfin le jeu de l’extraterritorialité, symptomatique pour d’autres d’une culture de la régulation contre celle de l’innovation. Quatre ans après sa mise en application, notre think-tank a souhaité publier une note qui remet en perspective ce règlement controversé avec le nouveau package règlementaire européen en cours de validation (DSA, DMA, DGA,…), afin d’imaginer un acte II du RGPD. Le « Règlement Général sur la Protection des Données » fut en effet chronologiquement, et pas forcément logiquement, le premier règlement à être publié. En étant précurseur et isolé, il a porté seul jusqu’à présent des promesses (comme la portabilité des données ou plus largement la libre circulation des données), créant ainsi un sentiment d’inefficience. N’ayant pas atteint son plein potentiel pour protéger les citoyens et répondre à leurs attentes, il est donc primordial de continuer de parfaire ce règlement fondamental.

Face à un tel sujet totémique, nous avons décidé d’adopter une approche pragmatique en nous tournant vers des auteurs ayant réalisé un véritable travail d’investigation. Julia Roussoulières et Jean Rérolle ont mené plusieurs mois d’enquête, suivant la piste de leurs données personnelles pour constater que de nombreux droits conférés par le RGPD n’étaient pas effectifs et que le consentement individuel était une approche insuffisante.

Les co-auteurs ont pu démontrer que le rapport de force était totalement déséquilibré́ entre l’individu et les entreprises demandant le consentement. L’asymétrie face aux géants numériques et l’opacité entretenue par certains acteurs comme ceux de la publicité en ligne, entravant la bonne exécution du droit. Le consentement étant dévoyé́, il est donc nécessaire de l’améliorer, et de le rendre plus conforme à ses objectifs initiaux. C’est l’objet de cette nouvelle publication « RGPD, acte II : la maîtrise collective de nos données comme impératif » avec ses trois axes de propositions formulés par les auteurs visant à pallier ses dysfonctionnements. D’une part en améliorant l’effectivité des droits ; d’autre part en rendant le consentement réellement libre et éclairé ; et finalement en articulant mieux les droits individuels et choix collectifs en associant davantage la société civile.
Ces propositions visent à créer les conditions pour que le partage de données par le citoyen s’effectue en confiance, en accentuant sa liberté de choix, la transparence des usages qui en sont faits, et en permettant au débat démocratique de s’en emparer. Comme la protection de l’environnement, la protection des données personnelles est un problème collectif, politique, et doit être traité comme tel.

Nous ne voulons surtout pas sonner le glas de la mise en commun de données personnelles. Celle-ci présente de très nombreuses applications souhaitables par la société, dans des domaines comme la santé, l’administration publique, ou la création de nouveaux services. L’objet de nos propositions n’est pas de générer des frictions rendant impossible tout partage de données, mais bien de créer les conditions pour que les partages soient acceptables par les citoyens, ce qui est nécessaire pour la poursuite de l’innovation liée aux partage de données personnelles sur le long terme.

La bonne nouvelle, c’est que les outils existent. En poursuivant la discussion autour du RGPD, en améliorant sa mise en œuvre, mais aussi en osant questionner certaines pratiques, nous pouvons rendre la collecte, le traitement et le partage de données plus responsable.

Arno Pons, think-tank Digital New Deal.

Article publié dans La Tribune le 13 mai 2022 : https://www.latribune.fr/opinions/tribunes/rgpd-quatre-ans-apres-enfin-l-acte-ii-917694.html