Laurence Farreng : "Trouver un équilibre entre la recherche de l'innovation et la protection de nos données et de notre société."
Le RGPD, Règlement général sur la protection des données, fête aujourd'hui son cinquième anniversaire ! Laurence Farreng, Députée européenne et Vice-Présidente du MoDem, revient sur les avancées qu'à entrainé ce texte européen, et les nouveaux enjeux autour des données.
Quels ont été les objectifs initiaux du RGPD lors de sa promulgation en 2018 ? Où en est-on aujourd'hui ?
Le RGPD a été une grande avancée car il venait réformer un cadre mis en place en 1995, alors qu'Internet en était encore à ses balbutiements. Non seulement le cadre de 1995 n'était plus adapté, mais des scandales tels que l'affaire Cambridge Analytica, où les données personnelles de millions d'utilisateurs de Facebook ont été utilisées pour les influencer dans de futurs votes (élections américaines, vote du Brexit), rendaient le RGPD urgent.
Le RGPD avait pour but d'unifier les régimes européens de protection des données, de renforcer le contrôle des citoyens sur leurs données personnelles, et de responsabiliser les différentes organisations traitant nos données personnelles, pour éviter que de tels scandales éclatent de nouveau.
Le RGPD est en vigueur depuis 2018, et est devenu un standard mondial pour la protection des données.
De nombreuses plaintes ont été reçues par les autorités nationales de protection des données : cela montre que le RGPD a sensibilisé les citoyens aux droits qu'ils ont sur leurs données, mais aussi que du traitement illégal de données personnelles persiste. Le RGPD est donc bien actif. L'un des principaux enjeux réside dans son application, il faut notamment s'assurer que la CNIL et ses équivalents européens aient suffisamment de moyens pour remplir leurs missions.
Pourquoi la souveraineté sur les données est-elle importante ?
Si nous ne sommes plus maîtres de nos données, nous ne pouvons plus les protéger efficacement. Beaucoup d'entreprises font appel à des solutions de cloud via des prestataires externes pour stocker des données, parfois sensibles, et peuvent avoir des problèmes d'accès si les serveurs du cloud en question sont dans un pays trop laxiste avec la protection des données.
De plus, n'oublions pas que nos données ont une valeur économique, et qu'elles peuvent être vendues à des tiers que nous ne connaissons pas.
De nombreuses amendes pour les entreprises non conformes ont été dressées depuis l'instauration du RGPD, sont-elles assez dissuasives ou faut-il aller plus loin ?
Évidemment, on ne peut que penser à l'amende record (1,2 milliards d'euros !) infligée par la DPC, la CNIL irlandaise, à Meta, ce lundi 22 mai. Meta a en effet transmis illégalement des données personnes aux Etats Unis, alors que le cadre régissant les échanges de données avec ce pays est expiré.
Néanmoins les amendes ont un but dissuasif, et on ne saurait faire fonctionner ce texte par une succession d'amendes.
Pour les compléter, nous pouvons aller plus loin en matière de coopération internationale, sur des accords régissant les transferts entre les autorités nationales de protection des données, pour assurer un cadre mondial plus vertueux.
Enfin, nous devons également poursuivre les efforts de formation à l'importance des données personnelles, afin de responsabiliser les citoyens et les acteurs publics et privés de notre continent.
Est-ce que cette règlementation a été imitée hors de l'Europe ?
Le RGPD est une source d'inspiration pour d'autres Etats. Par exemple, le Brésil a adopté une législation en la matière quelques mois après l'entrée en vigueur du RGPD, et l'Afrique du Sud a mis en place une législation de protection de données en 2021.
Si ces deux initiatives ne sont pas des copies exactes du RGPD, on y retrouve des grands principes similaires.
Et n'oublions pas que le RGPD s'applique toujours au Royaume-Uni.
Les mutations continuelles du numérique, entre développement de nouveaux réseaux sociaux étrangers ou de l'Intelligence Artificielle, posent-elles des nouveaux besoins d'adaptation ?
Bien sûr, les progrès vertigineux d'IA génératives comme ChatGPT ou Midjourney doivent nous amener à repenser en permanence notre cadre juridique et notre politique du numérique.
Elles posent notamment des questions en matière de droit d'auteur et d'utilisation de contenus protégés, du fait de la quantité gigantesque de données dont ont besoin ces IA pour perfectionner leur algorithmes.
Il nous faut trouver, toujours, un équilibre entre la recherche de l'innovation et la protection de nos données et de notre société.
Tout est affaire de principes, nous devons, avant de légiférer en urgence, réfléchir sur le modèle de société que nous souhaitons, et sur la place que doivent y tenir les intelligences artificielles, afin d'établir les principes que nous devront mettre en place dans une législation future.