Protection des données et guerre commerciale

Stéphane Montabert
Suisse naturalisé, Conseiller communal UDC, Renens

La GDPR est là.

Si vous résidez quelque part sur le continent européen - voire même si vous résidez ailleurs - vous ne pouvez pas ne pas être au courant. Les courriers électroniques de notification de changement des conditions générales inondent toutes les boîtes aux lettres. Avec tambours et trompettes, la GDPR s'impose à tous et toutes.

règlementation,ue,justiceQu'est-ce que la GDPR? Le Règlement Général sur la protection des données, ou RGPD en français. Outre sa page Wikipédia, une vaste littérature a été rédigée sur le sujet, souvent dans l'urgence. Même le résumé a été écrit mille fois, mais mentionnons-le encore pour mémoire: la GDPR vise à changer la façon dont les entreprises gèrent les données de leurs clients, employés et utilisateurs. Le texte, long d'une centaine de pages, vise à instaurer des "droits" comme le droit à l'effacement, le droit au transfert de données, le droit au consentement explicite, le droit à une notification en cas de fuite de données et bien d'autres choses encore.

On peut discuter à l'infini de l'intérêt de la GDPR. Outre les bons sentiments qui ont, espérons-le, amené à son existence, aura-t-elle des conséquences positives? L'harmonisation des réglementations nationales est-elle une bonne idée? L'agitation qui saisit les entreprises en ce moment débouchera-t-elle sur une amélioration réelle du traitement des données utilisateurs, ou tout ceci ne sera qu'un énième coup d'épée dans l'eau?

La date du 25 mai 2018 est à marquer d'une pierre blanche, puisque c'est la date à partir de laquelle la GDPR entre en force. En coulisses, les entreprises ont eu du temps pour se préparer. Outre les tractations législatives, le texte fut publié le 4 mai 2016 dans le Journal officiel de l'Union européenne. Il entra en vigueur le vingtième jour suivant celui de sa publication, amenant un délai de deux ans pour l'alignement des entreprises face à la nouvelle norme (comprenant la transposition du règlement dans les législations nationales de chaque pays membre). Et nous y sommes finalement.

Le côté obscur de la GDPR

Comme souvent dans le domaine privé face aux changements législatifs, certaines sociétés ont été longues à la détente. Mais aujourd'hui, toutes sont prêtes autant qu'elles puissent l'être ; il en va de leur survie économique. La GDPR ne vient pas qu'avec une longue liste de "droits" à l'intention des consommateurs, mais aussi avec une énorme massue.

Une organisation reconnue coupable de manquements à la GDPR pourrait être ainsi amendée à hauteur de 4% de son chiffre d'affaire annuel mondial, ou 20 millions d'euros, selon la valeur la plus grande. Ce sont des montants absolument gigantesques.

Ces amendes - 20 millions d'euros minimum, je rappelle - peuvent instantanément tuer toute PME sur le continent pour un "crime" dont la létalité mérite franchement d'être discutée. Il est probablement moins pénalisant financièrement d'empoisonner ses clients. L'amende en pourcentage du chiffre d'affaire est quant à elle destinée aux grands groupes (les GAFAM comme on les appelle parfois pour Google, Apple, Facebook, Amazon et Microsoft). S'ils ont la puissance organisationnelle pour faire face à la GDPR, nul doute que le législateur européen a conçu son texte en se léchant les babines à l'idée "d'amender" un gros poisson et d'en retirer une véritable manne (la question de l'entité qui encaissera le montant de l'amende n'est d'ailleurs pas clairement définie dans le texte, ce qui augurera de jolies empoignades lorsqu'il y aura un magot à partager).

Pour faire simple, les Européens ont reproduit à travers l'Union Européenne exactement les mauvaises pratiques qu'ils reprochent continuellement aux Américains: des amendes aux montants confiscatoires associés à l'incertitude du droit. La GDPR n'offre en effet aucune garantie à travers le temps. Il suffit qu'une fuite de donnée survienne, et elles semblent inévitables sur une période suffisamment longue, pour que les autorités de surveillance décrètent que le règlement a été enfreint.

Même si toutes les mesures raisonnables sont prises, il sera toujours possible aux autorités de plaider que les choses n'ont pas été faites assez vite, ou assez bien, ou assez complètement, ou que la fuite de données trahit une carence coupable en amont. Les prétextes disponibles pour écarter toute défense sont virtuellement infinis, dégageant le chemin pour les amendes confiscatoires.

Impérialisme européen?

Les Européens ont poussé le vice (et l'hypocrisie) jusqu'à copier la fameuse extraterritorialité qu'ils reprochent aux Américains, comme les menaces de sanctions économiques américaines dans le dossier iranien. La GDPR s'impose à toute société faisant commerce en Union Européenne, ou stockant les données de citoyens membres de l'Union. La Suisse est donc naturellement touchée:

Il suffit que des marchandises ou services aient pour destinataire une personne dans l'UE. Les nouvelles règles seront donc directement applicables à de nombreuses entreprises suisses, y compris celles qui n'ont ni siège ni filiale dans un pays de l'UE.

Selon la faîtière des entreprises economiesuisse, les exportateurs suisses, les entreprises de vente par correspondance et les exploitants de plate-formes de commande en ligne sont notamment touchés. Toutes les firmes qui analysent le comportement des visiteurs d'un site ou d'une application de téléphone intelligent sont également concernées.

Même l'envoi d'une lettre d'informations entraîne souvent le passage par un prestataire à l'intérieur de l'UE, souligne economiesuisse. Un boulanger de village ou l'exploitant d'une petite boutique en ligne ou d'autres services sur la Toile peuvent ainsi déjà entrer dans la zone d'application du RGPD.

De par sa nature même, la GDPR tourne toute marge d'interprétation possible en sa faveur. On se doute bien que la Suisse aurait de toute façon adopté la GDPR avec l'enthousiasme servile dont elle est coutumière, mais la GDPR vise bien au-delà. Des sociétés asiatiques, africaines ou américaines, qui n'ont parfois pas le moindre lien commercial direct avec l'Union Européenne, se conforment à la règlementation juste au cas où. Il ne s'agit aucunement d'une démarche d'adhésion mais simplement de la peur, et de la contrainte distillée par des fournisseurs ou des clients qui sont plus directement soumis à la GDPR.

Jamais l'impérialisme législatif n'a mieux porté son nom.

Singularité ou galop d'essai?

La GDPR est lancée ce 25 mai. L'oiseau de proie prend son envol. Nul ne sait encore ce qu'il ramènera dans ses serres. Mais si la chasse est bonne, on peut s'attendre à ce que la GDPR soit suivie de nombreux avatars bâtis sur le même modèle: des règlementations communautaires forçant sur un prétexte ou un autre à adapter le comportement des entreprises dans le monde entier, avec à la clef des pénalités financières ahurissantes.

Je ne peux m'empêcher de penser que ceci n'augure rien de bon. Les risques d'escalade législatifs sont réels avec d'autres pays (comme la Chine) ou groupes de pays, et le risque de fermeture pure et simple de certains liens économiques l'est tout autant. Ni l'un ni l'autre ne bénéficieront au consommateur, et pourraient déboucher sur de véritables conflits - qu'on espère seulement commerciaux.

Stéphane Montabert - Sur le Web et sur LesObservateurs.ch, le 26 mai 2018

Et vous, qu'en pensez vous ?

Poster un commentaire

Votre commentaire est susceptible d'être modéré, nous vous prions d'être patients.

* Ces champs sont obligatoires

Avertissement! Seuls les commentaires signés par leurs auteurs sont admis, sauf exceptions demandées auprès des Observateurs.ch pour des raisons personnelles ou professionnelles. Les commentaires sont en principe modérés. Toutefois, étant donné le nombre très considérable et en progression fulgurante des commentaires (259'163 commentaires retenus et 79'280 articles publiés, chiffres au 1 décembre 2020), un travail de modération complet et exhaustif est totalement impensable. Notre site invite, par conséquent, les commentateurs à ne pas transgresser les règles élémentaires en vigueur et à se conformer à la loi afin d’éviter tout recours en justice. Le site n’est pas responsable de propos condamnables par la loi et fournira, en cas de demande et dans la mesure du possible, les éléments nécessaires à l’identification des auteurs faisant l’objet d’une procédure judiciaire. Les commentaires n’engagent que leurs auteurs. Le site se réserve, par ailleurs, le droit de supprimer tout commentaire qu’il repérerait comme anonyme et invite plus généralement les commentateurs à s’en tenir à des propos acceptables et non condamnables.

Entrez les deux mots ci-dessous (séparés par un espace). Si vous n'arrivez pas à lire les mots vous pouvez afficher une nouvelle image.