Dans un premier temps, le RGPD renforce l’information des individus sur le traitement de leurs données personnelles. Les responsables du traitement doivent ainsi leur fournir des informations précises, claires et aisément accessibles sur les caractéristiques du traitement qu’ils mettent en œuvre.
Considérant l’importance du marché européen et les risques de sanctions sous-jacents, les GAFAM se sont volontairement mis en conformité avec le RGPD pour leurs activités mondiales (et pour certains d’entre-deux, dès avant l’entrée en vigueur du RGPD) illustrant ainsi un certain soft power européen.
Cependant, le RGPD n’est pas seulement un élément du soft power européen. Compte-tenu de la possibilité de sanctions à l’encontre de personnes privées non européennes, il offre également une portée extraterritoriale à la loi européenne. Le RGPD prévoit ainsi habilement que les mastodontes du net, comme Google, qui garderont leur centre décisionnel aux États-Unis, ne pourront pas bénéficier du guichet unique instauré par le RGPD et seront ainsi exposés à de potentielles procédures dans chacun des 28 États membres, permettant notamment l’imposition de sanctions à l’initiative d’un seul Etat de l’Union européenne et donc, même en l’absence de consensus européen.
C’est d’ailleurs ce que rappelle la CNIL – dans sa délibération n° SAN-2019-001 du 21 janvier 2019, en rejetant la compétence de l’autorité irlandaise en tant qu’autorité chef de file en précisant que « la qualité d’établissement principal suppose […] l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement ».
C’est ainsi que la CNIL, a condamné Google à une amende de 50 millions d’euros, rien que pour le territoire français, pour avoir disséminé, fragmenté et rendu certaines informations difficilement trouvables et peu claires, ne permettant pas à la personne concernée de consentir de manière éclairée au traitement de ses données.
Le RGPD en s’imposant comme une norme de référence mondiale constitue un outil de soft power européen indéniable qui, du fait des possibilités de sanctions à l’initiative de chaque pays européen, revendique clairement ses ambitions extraterritoriales.
Si certains géants américains se sont volontairement conformés au RGPD (en acceptant ainsi la limitation des transferts de données personnelles hors de l’Union européenne) et si les modalités de cette mise en conformité sont d’ores et déjà scrupuleusement étudiées par les autorités compétentes en Europe, le RGPD a aussi suscité une réaction de la part de certains États, notamment les États-Unis.
Les États-Unis ont ainsi adopté le 23 mars 2018 le Clarifyng Lawful Overseas Use of Data Act (le « CLOUD Act« ). Le CLOUD Act permet aux autorités judiciaires américaines de contraindre leurs ressortissants à transférer des données personnelles aux autorités états-uniennes, même si celles-ci sont stockées en Europe, et ce sans nécessairement respecter les modalités d’un tel transfert selon le RGPD.
Le CLOUD Act risque ainsi de remettre en cause la décision d’équivalence partielle accordée aux États-Unis suite à la conclusion de l’accord Privacy Shield en 2016, de la même manière que la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques avait entrainé l’invalidation de l’accord Safe Harbour qui reconnaissait l’octroi d’un niveau de protection adéquat.
La riposte législative des États-Unis fait par nature obstacle au respect intégral des exigences du RGPD par les sociétés américaines qualifiées de responsables de traitement au titre du RGPD. Partant, les européens pourraient être tentés de se tourner vers des prestataires de services venant d’États bénéficiant d’une décision d’adéquation. Toutefois, cela reviendrait pour l’heure à se limiter au recours d’acteurs néo-zélandais, israéliens, suisses, argentins ou uruguayens… D’aucun pourrait alors se prendre à rêver que cette situation favorisera l’émergence de nouveaux acteurs économiques européens dans des pays par définition adéquats : les États membres de l’Union.
Cependant, la conformité au RGPD constitue une charge financière lourde pour les opérateurs de données personnelles, charge qui peut être excessive pour des structures en croissance. Ainsi, à ce jour, nombre de petites entreprises européennes ont sans doute fait le choix de ne pas respecter leurs nouvelles obligations et prennent le risque de se voir sanctionnées pour traitement non-conforme.
Là où le montant rehaussé des amendes peut avoir un effet dissuasif sur les grosses entreprises, et donc bénéfique pour les utilisateurs, il peut aussi avoir des conséquences financières délétères sur les nouvelles ou petites sociétés.
Ainsi, le RGPD en créant une couche de règlementation supplémentaire et particulièrement lourde, pourrait aussi constituer un frein à l’émergence de nouveaux acteurs économiques ne laissant subsister que les sociétés qui auront la surface financière et les capacités techniques d’assurer leur conformité, assurance du maintien de la position dominante des GAFAM.
Cependant, les autorités de contrôle disposent d’une latitude importante dans la détermination du montant des amendes leur permettant un usage raisonnable de leur pouvoir de sanctions en assurant la prise en considération de la taille de l’entreprise et son stade de développement.
* * *
En résumé, si le RGPD arme les européens pour protéger leurs données personnelles et constitue un élément de soft power indéniable s’opposant à la toute-puissance des GAFAM, il devra être utilisé avec mesure par les européens pour éviter de favoriser le maintien de la situation oligopolistique actuelle en empêchant l’émergence de nouveaux acteurs économiques.
Iris Fréret,