Executive (dis)order
En moins d’une semaine, l’association noyb a enchainé sur deux sujets : les dangers que fait courir le nouveau gouvernement Trump sur les échanges de données avec les États-Unis et le trop faible nombre d’amendes pour les entreprises contrevenant au RGPD.
Le 23 janvier, l’association noyb (none of your business, « ce ne sont pas vos affaires ») alertait sur les risques posés par certains ordres exécutifs signés par Donald Trump, fraichement arrivée à la Maison-Blanche. L’un d’eux engendre le réexamen de toutes les décisions prises en matière de cybersécurité nationale prise durant le mandat de Joe Biden au cours des 45 jours suivants.
Un maillon important du Data Privacy Framework
Parallèlement, les membres démocrates du PCLOB (Privacy and Civil Liberties Oversight Board) ont été démis de leurs fonctions et leurs comptes de messagerie bloqués. En conséquence, souligne l’association, le Board ne peut plus fonctionner correctement, car le nombre minimal de membres nécessaire n’est plus atteint.
Or, le PCLOB est un maillon essentiel du Data Privacy Framework. Ce cadre établit une adéquation entre les législations européenne et américaine sur la protection de la vie privée. Il permet l’envoi des données personnelles européennes vers les serveurs des sociétés américaines, en partant du principe que les protections y sont équivalentes. Le DPF, qui avait pris la suite des Safe Harbor et Privacy Shield après leur invalidation (arrêts Schrems I et II), est depuis sous le feu de critiques nourries, notamment de noyb et du député Philippe Latombe (MoDem).
« Cet accord a toujours été construit sur du sable, mais le lobby des entreprises de l’UE et la Commission européenne le voulaient quand même. Au lieu d’une limitation juridique stable, l’UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes. Lorsque les premières vagues de Trump frappent cet accord, elles plongent rapidement de nombreuses entreprises de l’UE dans un vide juridique. Le PCLOB lui-même n’est qu’une pièce du puzzle et tant qu’il ne fonctionne que temporairement, on peut dire que l’accord n’est pas pire qu’avant. Toutefois, la direction prise dès la première semaine de la présidence Trump n’est vraiment pas bonne. Nous surveillons de près s’il s’agit d’un problème temporaire ou si le PCLOB est tué pour de bon », a déclaré Maximilien Schrems.
L’Europe s’est appuyée sur « des vœux pieux »
Pour le fondateur de noyb, ces décisions viennent prouver le manque d’indépendance de la plupart des organes de contrôle américain : « Des domaines juridiques entiers sont simplement réglementés par des décrets présidentiels ». « Il y avait beaucoup de questions sur l’indépendance de ces mécanismes de contrôle. Malheureusement, il semble qu’ils ne résisteront peut-être même pas à l’épreuve des seuls premiers jours d’une présidence Trump. C’est la différence entre des protections juridiques solides en droit et des vœux pieux – la Commission européenne s’est uniquement appuyée sur des vœux pieux », a-t-il ajouté.
Pour Maximilien Schrems, le DPF pourrait ne pas survivre aux décisions prises dans les prochaines semaines. Si le DPF devait à son tour tomber, les entreprises et particuliers européens replongeraient dans l’incertitude juridique. L’Europe devrait alors replonger dans la négociation d’un cadre, face à des États-Unis désormais pilotés par une doctrine America First.
Bilan du RGPD ? Bof bof, selon noyb
Dans une communication ce matin, l’association profite aussi de la journée mondiale de la protection des données pour dresser un bilan du RGPD. Si le règlement « a inauguré une nouvelle ère », la réalité « est beaucoup plus sombre » sept ans plus tard.
noyb fonde son avis sur l’analyse des statistiques de l’EDPB (European Data Protection Board), dont la mission est de coordonner l’application du RGPD dans l’Union européenne. Acide, l’association pointe ainsi « l'(in)activité des autorités nationales de protection des données », avec un chiffre coup de poing : 1,3 % seulement des affaires dont les autorités sont saisies en lien avec le RGPD aboutit à une amende.
L’application du RGPD ne se ferait ainsi que sur le papier, loin des promesses de son entrée en vigueur, en mai 2018. Comme pour le DPF, noyb reparle de « vœux pieux », tant les résultats sur la période 2018 - 2023 (pdf) sont loin des attentes. « Cela correspond à notre propre expérience pratique : la plupart des affaires trainent pendant plusieurs années, avant d’être closes par un règlement ou entièrement rejetées », ajoute l’association.
Au sein de l’Union, la France fait partie des mauvais élèves, avec un taux parmi les plus faibles (0,1 %). Des scores que l’association ne semble pas comprendre, car ces plaintes incluent des « infractions évidentes telles que des demandes d’accès sans réponse ou des bannières de cookies illégales, qui pourraient – en théorie – être traitées rapidement et d’une manière standardisée ».
noyb soulève également deux autres points. D’une part, non seulement le nombre d’amendes est excessivement bas, mais leur montant « sont une plaisanterie ». En prenant en compte la présence des multinationales américaines en Irlande (dont Apple, Google, Meta et Microsoft), l’autorité du pays affiche une moyenne de 476 millions d’euros par an, toutes amendes cumulées. Une somme jugée loin d’être dissuasive.
D’autre part, 40 % des amendes obtenues depuis l’entrée en vigueur du RGPD l’ont été grâce à noyb. « Cela signifie qu’en réalité, il semble plutôt y avoir un manque de volonté politique pour s’opposer aux géants de la technologie qu’un manque de possibilités d’agir », fustige l’association.