Le RGPD à la conquête du monde

En matière de protection des données, le RGPD fait figure de modèle et son influence internationale est désormais 
incontestable. Nombre de pays non membres de l’Union européenne, dont le Brésil et le Japon, s’en inspirent. 
Pour autant, d’importantes disparités subsistent entre les Etats. Tour d’horizon des législations mondiales.

En matière de protection des données, le RGPD fait figure de modèle et son influence internationale est désormais incontestable. Nombre de pays non membres de l’Union européenne, dont le Brésil et le Japon, s’en inspirent. Pour autant, d’importantes disparités subsistent entre les Etats. Tour d’horizon des législations mondiales.

Le RGPD a propulsé l’Union européenne au rang de référent mondial en matière de protection des données. Le nouveau régime est inédit : jamais des dispositions dédiées aux données personnelles n’avaient été si exigeantes et les sanctions aussi sévères. Et pour cause, le règlement vise à garantir les libertés fondamentales reconnues par la Charte des droits fondamentaux de l’Union européenne que sont la protection des données à caractère personnel (article 8) et le respect de la vie privée (article 7).

Pas de copier-coller

Les 28 États membres sont désormais perçus comme les nouveaux garants du règlement général sur de la protection des données, capable d’insuffler un nouvel ordre mondial. Mais Bruxelles reste modeste. Selon le directeur adjoint du contrôleur européen de la protection des données, le but lors de l’adoption du RGPD n’était pas d’en faire un modèle :
« Le texte a été rédigé pour les pays de l’Union européenne, explique Wojciech Wiewiorowski. C’est d’abord pour eux qu’il doit fonctionner. Je ne pense pas qu’il doit être perçu comme une panacée, à copier-coller au sein de toutes les juridictions mondiales. »

Pourtant, les dispositions du texte et son processus d’adoption laissent bien penser que l’Union aspirait à doter le RGPD d’une portée internationale. Dès juillet 2018, les instances européennes ont activement encouragé d’autres pays à adopter des lois similaires. Leurs représentants, dont Věra Jourová, la commissaire chargée de la protection des consommateurs, ont été envoyés dans le monde entier pour prêcher l’adoption de règles plus strictes en matière de protection des données. De plus, il faut savoir qu’en application des articles 40 et suivants du nouveau règlement, le transfert de données personnelles vers des pays hors de l’Union européenne n’est autorisé que si ces derniers ­bénéficient de décisions d’adéquation de la Commission européenne, c’est-à-dire des décisions qui témoignent d’un niveau de protection compatible avec les standards européens. Alors, pour faciliter les échanges de données avec les pays de l’Union, les États étrangers se mettent au pas.

Une course pour être compatible avec le régime européen

Première puissance économique d’Amérique latine, le Brésil entretient de forts liens avec l’Europe. Le 14 août 2018, soit quelques semaines seulement après l’entrée en vigueur du RGPD, le parlement brésilien a adopté sa propre version du texte : la LGPD, lei geral de proteção de dados. Le texte prévoit l’instauration d’une base légale de collecte et de traitement des données personnelles pour empêcher leur utilisation abusive. De nouveaux droits sont également créés au profit des citoyens brésiliens, tels que celui d’être oublié. Enfin, comme en Europe, un régulateur devrait voir le jour afin de superviser l’application du texte. Bien qu’on attende toujours une décision d’adéquation de Bruxelles, le Brésil se place en bonne position dans la course pour la compatibilité avec le régime européen. Mais il fait face à de redoutables concurrents, qui prennent de l’avance.

C’est le cas du Japon, Tokyo ayant adopté une réforme visant à mettre en œuvre des garanties supplémentaires lors du transfert de données européennes. La nouvelle loi, qui s’applique à toutes les entreprises japonaises, a porté ses fruits puisque le 24 janvier dernier, l’archipel nippon a obtenu le Graal en signant une décision d’adéquation avec la Commission européenne. Mais tous les pays n’ont pas la même approche de la protection des données personnelles. Pour les plus libéraux, les données sont des outils de ciblage publicitaire. Pour d’autres, ce sont des éléments de contrôle des populations et des instruments de puissance étatique. Dans ces cas, l’influence du RGPD y est plus incertaine. Aux États-Unis, les opinions quant à la nécessité d’un texte assurant la protection des données divergent.

Un obstacle au commerce international et à l’innovation

D’un côté, les dérives des Gafa poussent certains des acteurs les plus importants de la tech américaine à appeler à l’adoption d’un RGPD revisité. Dernier scandale en date : l’achat par Facebook de données personnelles de jeunes usagers. Entre 2016 et 2018, le réseau social aurait rémunéré des utilisateurs âgés de 13 ans à 35 ans afin qu’ils téléchargent l’application Facebook Research. Celle-ci permettait un accès étendu aux données présentes sur leurs appareils électroniques, le but étant de mieux connaître leurs habitudes de consommation. Le P-DG d’Apple, Tim Cook, estime pour sa part que la collecte de grandes quantités de données personnelles par les entreprises pourrait leur nuire et enjoint le gouvernement à adopter de nouvelles lois fédérales. Apple, comme Microsoft, plaide en effet depuis plusieurs années en faveur de normes plus rigoureuses en matière de protection de la vie privée numérique. Les deux multinationales se sont engagées l’an dernier à appliquer les dispositions du RGPD dans le monde entier, alors que le texte ne protège que les citoyens européens.

De l’autre côté, les géants de la Silicon Valley rejettent fermement toute tentative de législation inspirée du RGPD. Le règlement européen serait trop strict et constituerait un obstacle au commerce international et à l’innovation. Le 28 juin dernier, l’État de Californie adoptait un texte relatif à la protection des données. Particulièrement restrictives, les dispositions autorisaient les consommateurs à prendre connaissance des informations recueillies à leur sujet et à refuser la vente des données les concernant à des tiers. Les géants de la tech ont tenté, en vain, d’empêcher son adoption. Face à ces discussions, le gouvernement américain a réagi. L’administration Trump travaillerait depuis cet été sur des propositions de lois fédérales relatives à la protection des données. Le département du commerce aurait rencontré les entreprises du monde technologique et les principaux opérateurs télécoms au sujet du futur texte. Mais parvenir à balancer les intérêts et opinions exprimés n’est pas simple. Pour le moment, aucun accord n’a été trouvé.

Un outil de surveillance des populations

Pour la Chine, plutôt connue pour ne pas respecter la vie privée de sa population ni protéger les données personnelles, le RGPD sert d’exemple : le pays pourrait en effet adopter une réglementation similaire d’ici 2023. En 2016 déjà, le pays promulguait une loi sur la cybersécurité. En vigueur depuis juin 2017, cette dernière soumet aux principes « légalité, légitimité, nécessité » la collecte, l’utilisation et le transfert des données personnelles, ce qui a pour effet de limiter ces derniers de façon très rigoureuse. Par ailleurs, les données les plus importantes sont stockées sur des serveurs situés en Chine. Pour autant, les autorités chinoises mettent également en œuvre le mécanisme dit de crédit social, dont le but est de noter la réputation des citoyens. D’ici 2020, chaque Chinois pourrait en effet se voir attribuer une note, échelonnée entre 350 et 950 points et fondée sur les données dont dispose le gouvernement. Un paradoxe, l’État utilisant les données de ses concitoyens alors qu’il est censé les protéger. Si le RGPD a opéré un important bouleversement des pratiques, la route vers l’homogénéisation des garanties mondiales de protection des données est donc encore longue.

Maeva Kpadonou

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Protection des données personnelles : l’Union (européenne) fait la force

Avec le RGPD, l’Europe se dote pour la première fois d’une réglementation extraterritoriale. Ce qu’elle impose aux organismes européens en matière de protection des données personnelles, elle l’exige aussi des entreprises dont le siège est hors de l’Union lorsqu’elles traitent des données des Européens.
Sommaire RGPD : une arme de construction massive Wojciech Wiewiórowski : « Ce qui change, ce ne sont pas les contraintes mais la menace d’une sanction » RGPD, une protection tous azimuts Sanctionner n’est pas une priorité Jean Lessi (Cnil) : « La Cnil continue d’accompagner, de contrôler et de sanctionner » RGPD : surmonter les obstacles Droits de l'homme : l'Europe protectrice Huawei prise dans la guerre digitale USA-Chine

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte