La semaine dernière entrait en vigueur le nouveau règlement général européen sur la protection des données personnelles (RGPD). Il énonce les règles en matière de protection des renseignements personnels. Le RGPD est applicable dans tous les pays de l’Union européenne. Il vise également ceux qui offrent des biens ou des services aux personnes se trouvant sur le territoire de l’Union européenne. Mais ce texte reconduit une régulation naïve des données personnelles. L’utilisation massive des données est désormais une dimension centrale du monde connecté. Mais le RGPD persiste dans une approche braquée sur le consentement des individus, comme si la protection des renseignements personnels n’était qu’une affaire de droits individuels.

Le RGPD renforce certains droits pour les individus, comme celui d’exiger que les entreprises transfèrent sans frais les données qu’elles possèdent sur leur compte lorsque prend fin la relation contractuelle. Il y a aussi de nouvelles obligations pour les entreprises et organismes, comme celle de démontrer la conformité de leurs pratiques avec le règlement et l’obligation de déclarer les incidents ayant pu mettre en péril la confidentialité ou la sécurité des données personnelles.

Portée étendue

Pour les entreprises, le respect de ce règlement est une condition pour faire affaire avec des ressortissants de l’Union européenne. Par l’ampleur de sa portée et de son champ d’application, le RGPD est assurément l’une des illustrations les plus achevées de la façon dont les États ou les regroupements d’États peuvent effectivement imposer des balises aux activités des entreprises oeuvrant sur Internet. Il fait mentir ceux qui continuent de clamer que les lois étatiques ne s’appliquent pas sur Internet. Le règlement s’applique en Europe, mais aussi à toutes les entreprises qui font affaire avec des Européens. Il constitue une norme à laquelle la plupart des entreprises ont avantage à se conformer, qu’elles soient ou non situées en Europe.

La conformité au RGPD peut procurer aux clients de tous les pays l’assurance que l’entreprise adhère à de bonnes pratiques dans sa gestion des données personnelles. Au surplus, le règlement européen régit le transfert de renseignements sur les ressortissants de l’Union européenne. En pratique, une entreprise proposant des biens ou des services sur Internet s’expose à d’importants risques si elle fait fi des exigences du règlement européen.

Risques de censure

Le RGPD comporte hélas des aspects difficilement conciliables avec le respect des droits et libertés tels qu’ils sont compris sur notre continent. Par exemple, il confère aux individus le droit d’exiger des moteurs de recherche qu’ils suppriment de leurs résultats de recherche les liens vers des documents qu’ils estiment leur poser problème. Cette censure vise même les documents qui ne contreviennent à aucune loi, comme les archives des médias. Elle peut même viser des liens conduisant à des documents dont la diffusion est exigée par la loi ! Par l’effet inhibiteur qu’elle induit, une telle censure est inconciliable avec la liberté d’expression. Il est désolant qu’en Europe on instrumentalise ainsi le droit à la vie privée pour justifier la censure de l’information publique alors qu’on néglige les réels enjeux de la protection des données personnelles.

Droits individuels

La principale carence du RGPD est de continuer de réglementer les données personnelles comme on le faisait au siècle dernier. On reconnaît aux individus un droit généralement théorique de s’opposer au traitement de leurs données qui serait contraire aux prescriptions du règlement. Mais il n’y a pratiquement rien pour encadrer les traitements massifs de données à l’origine des pratiques dénoncées notamment dans l’affaire Cambridge Analytica.

Pourtant, les données sont un intrant majeur de la création de valeur dans les environnements connectés. Les enjeux portent désormais sur les pratiques par lesquelles on valorise des masses de données. Ces pratiques ne concernent pas nécessairement des individus spécifiques, mais elles peuvent donner lieu à des dérives et disloquer les équilibres entre les droits et les valeurs démocratiques. En continuant d’envisager la protection des données personnelles comme une affaire relevant du consentement des individus, le RGPD procure une protection en surface de la vie privée et fait peu de cas des autres valeurs démocratiques.

Pour garantir le respect de l’ensemble des droits et valeurs démocratiques, il faut un règlement reconnaissant que les données sont principalement une ressource collective. Les règles devraient baliser les pratiques par lesquelles on génère de la valeur à partir des masses d’information. Les protections efficaces de la dignité humaine pour le XXIe siècle restent à mettre en place. À l’égard des défis du monde connecté, le RGPD est une occasion gaspillée.