Site icon Petit Web

Quatre ans après son adoption, le non-respect du RGPD devient-il la règle ?

Qui ?
Max Schrems, activiste autrichien militant pour la protection des données privées, qui a co fondé l'association NOYB, obtenu en 2015  l'invalidation par la cours de justice européenne du Safe Harbor, et en juillet 2020, celle du Privacy Shield. Et Mehdi Medjaoui, co fondateur d'Alias.dev (en photo).

Quoi ? 

Le bilan, très noir, de quatre ans de RGPD, par Max Schrems, résumé ici. Et celui, pire encore, dressé par Mehdi Medjaoui, sur la portabilité des données (voir ce rapport).

Comment ?
Max Schrems est un activiste autrichien qui a pris le cheval de bataille de la protection des données. Il a publié le 25 mai dernier ce bilan très noir du RGPD, que nous résumons ici. "Le GDPR  a été adopté le 25 mai 2018. Il n'a pas changé la culture de non compliance.  Les années écoulées ont montré qu'une loi ne peut changer des business model qui sont fondés sur l'abus de data une culture corporate qui souhaite couvrir la désobéissance aux nouvelles règles. La grande partie de l'industrie de la data, après un choc initial, a appris à vivre avec le nouveau règlement, sans changer ses pratiques, en ignorant les droits des utilisateurs. Le droit fondamental à la vie privée n'est pas respecté et perçu comme le résultat d'un long process démocratique, mais moqué comme impossible à respecter. Les autorités et les organisations non profit qui s'efforcent de faire respecter la loi font face à de l'hostilité, et l'accusation selon laquelle le respect du règlement "tuerait l'innovation".  Je n'ai jamais vu un autre pan de la loi aussi ouvertement ignoré, avec cet argument que le respect de la loi , comme les règles sur les impôts ou la construction, compromettrait le business model de sociétés.
C'est un peu comme si une partie d'une ville devenait une no go zone, abandonnée par la police. Beaucoup d'instances de protection de la data ont perdu la main sur beaucoup de zones de la sphère digitale. Les sociétés se rendent compte que leurs concurrents ne se soumettent pas à la loi :  s'y conformer n'est pas rentable. Plus la non compliance s'étend, plus les autorités auront du mal à reprendre le contrôle.
Le manque de moyens réels pour faire respecter la loi alimente encore le mécanisme. Sur les recours lancés par  depuis quatre ans, aucun n'a encore abouti à une décision finale. Certaines autorités se soucient davantage de la perception du public s'ils faisaient respecter la loi, d'autres ont pris la mesure du problème et font de leur mieux. Nous approchons d'une situation où le GDPR sera complètement ignoré, tout comme l'ancienne data protection directive de 1995. Dans le fond, les autorités soufrent de réels problèmes techniques créés par différentes procédures nationales, de moyens limités, d'un manque de professionnels compétents et formés.
Le rôle de NOYB a fortement évolué en 2022. Beaucoup d'acteurs considèrent le fait d'exiger le respect de la GDPR et d'aller faire respecter ce droit auprès des tribunaux  comme une insulte. Les avocats voient notre travail comme une insulte . Nous considérons cela comme un succès majeur pour notre petite organisation." Fermez le banc.

Le casse-tête de la portabilité des données
La situation de la portabilité des données, introduite par le RGPD, est encore plus critique. Ce rapport , co-écrit par Mehdi Medjaoui, souligne que les entreprises ne respectent pas, pour la plupart, le délai d' un mois inscrit dans la loi. Et leurs documents sont souvent vides ou inexploitables. Le rapport s'appuie sur 1 000 demandes envoyées à 230 sociétés, plateformes et acteurs du digital. "Le règlement n'est pas très précis sur le type de données que doivent envoyer les acteurs pour assurer la portabilité. Les données fournies par l'utilisateurs en cliquant, ne sont pas inclues. Les fichiers envoyés sont souvent inutilisables. certains acteurs menacent l'impétrant de fermer son compte." Et les plateformes ? Google et Facebook renvoient les données de manière  automatisée. Mais cela représenterait  5 à 10 % de la vraie valeur des données. Les amis sont renvoyés sans leurs identifiants, ce qui empêche l'autre application de retrouver votre réseau. Idem pour les like."
Conclusion ? "Le RGPD est un succès politique, puisque 60 pays ont adopté une réglementation dans ce domaine. Mais c'est un fiasco technique. Et les sociétés qui ont gagné le défi technique du RGPD, comme One Trust, sont américaines ! "
Du coup, la société de Mehdi Medjaoui a piloté. "Nous aidions les sociétés à récupérer les données, mais cela ne fonctionne pas. Du coup, nous avons développé des outils pour que les développeur incorporent le RGPD à partir du code. Ce sont les développeurs qui vont implémenter le RGPD".
Le sujet est crucial, car l'ouverture des entreprises aux données des plateformes  peut permettre une véritable révolution dans les entreprises, décrites par ce papier : How APIs Create Growth by Inverting the Firm

Quitter la version mobile