Les Européens sont contents du RGPD, un instrument juridique qui rayonne dans le monde et sur tous les continents. Une belle démonstration de soft power européen ! Ce texte a inspiré des lois étrangères, et même les Américains nous l’envient, sauf peut-être les Gafa. Trois ans après son application, il n’est cependant pas certain qu’il ait atteint sa cible : protéger les données personnelles des Européens notamment contre les géants du numérique. Il ne semble pas que la puissance des Gafa ait beaucoup diminué depuis l’entrée en application du RGPD. Il ne semble pas non plus que les transferts de données personnelles vers les États-Unis aient tellement chuté, malgré l’invalidation du Privacy Shield. Cet accord apportait quelques garanties, pas assez, mais son annulation a laissé place à de l’incertitude juridique. Sans cet accord, la logique du RGPD ne fonctionne plus bien, même si les entreprises peuvent recourir aux clauses contractuelles types. Et puis, il est difficile d’imposer ses principes quand les données sont transférées, stockées et exploitées dans des pays qui ne disposent pas d’un tel socle ou qui n’ont pas fait l’objet d’une décision d’adéquation de la Commission européenne. Ces pays ne répondent tout simplement pas aux demandes des Cnil européennes.

En gros, le règlement européen s’applique surtout en Europe à l’égard des organisations européennes qui doivent dépenser beaucoup de temps et d’argent pour démontrer la conformité de leurs traitements de données au règlement. Ce texte a le mérite de créer de l’emploi et de procurer un cadre pour une bonne gouvernance des données. Mais ce sont des coûts que seules les entreprises européennes supportent, donnant ainsi un avantage concurrentiel aux autres, considèrent certains.

Et puis d’autres reprochent aux autorités de contrôle européennes de ne pas se battre assez pour le respect du règlement. La Quadrature du net est très critique. Selon elle, « ce total échec résulte d’une multitude d’irrégularités, qui toutes ou presque, révèlent le rôle coupable de la Cnil pour protéger les Gafam ». En cause, l’extrême lenteur des instructions de plaintes. Une fois le règlement applicable, en mai 2018, la Quadrature du net a déposé cinq plaintes contre chaque Gafam auprès de la Cnil, pour défaut de base légale de leurs traitements, notamment concernant le consentement pas réellement libre de l’internaute. Trois ans après, aucune décision n’est intervenue. La Cnil irlandaise (Data Protection Commission) en porte une certaine responsabilité. Les sièges européens de trois Gafam sont en Irlande, ce qui rend compétente la DPC, et donc pour les traitements transfrontaliers, autorité chef de file. La Cnil renvoie la balle à la DPC mais, comme l’indique la Quadrature du net, elle aurait pu établir une mesure provisoire, en cas de nécessité, comme le rappelle l’arrêt du 15 mai 2021 de la CJUE dans l’affaire YouTube. C’est tout le mécanisme du guichet unique qui devient inopérant quand une autorité de contrôle est laxiste ou ne dispose pas des moyens de son action. Google ne s’y est pas trompé. Le géant qui n’avait pas de siège social en Europe, la Cnil étant dans ce cas compétente, en a ouvert un en Irlande.

Quant aux sanctions, elles n’ont pas encore fait la démonstration de leur efficacité. 100 millions d’euros est la plus lourde condamnation prononcée contre Google par une autorité de contrôle, la Cnil en l’occurrence. Nous sommes encore très loin des 4% du chiffre d’affaires mondial ou des sanctions en matière de concurrence.

Mais le RGPD est un très jeune texte, les autorités de contrôle doivent davantage avoir confiance dans leurs prérogatives et les citoyens doivent se sentir plus concernés. A suivre.