Nicolas Rieul (Alliance Digitale) : "C'est le bon moment pour se poser la question de la révision du RGPD"


  • Le règlement sur la protection des données personnelles (RGPD) fête ses 5 ans. L'occasion de faire le bilan sur son impact pour les consommateurs et les acteurs du tissu économique... mais peut-être aussi de réfléchir à assouplir certaines règles, estime le patron d'Alliance Digitale.

Nicolas Rieul est président d'Alliance Digitale (IAB France et MMA France)

Nicolas Rieul (Alliance Digitale) : "C'est le bon moment pour se poser la question de la révision du RGPD" - Nicolas Rieul est président d'Alliance Digitale (IAB France et MMA France)

Minted. La Cnil vient de publier un bilan de son plan d’actions sur les cookies. Qu’en retenez-vous ?

Nicolas Rieul. Que c’est déjà une très bonne chose que la Cnil prenne le temps de faire le bilan. Si je regarde ce qui s’est passé ces deux dernières années, le premier constat, c’est que la Cnil a eu la bonne approche. L’entrée en vigueur du RGPD en mai 2018 a instauré un certain flou quant à ce qu’il était possible de faire en matière de cookies, puisque cette pratique était, elle, encadrée par la directive eprivacy, qui n’avait pas été actualisée pour coller au RGPD (et qui ne l’a toujours pas été d’ailleurs)

Il fallait donc que la Cnil agisse pour apporter de la sécurité juridique aux acteurs du marché. Chose faite avec la publication de ses nouvelles recommandations en octobre 2020, après des échanges avec l’industrie, et la mise en place d’un délai de 6 mois pour que tout le monde s’y conforme. Si on regarde la situation au 1er avril 2021, quasiment tout le monde, sauf certaines plateformes US, s’y était conformé. C’est plutôt positif car cela a empêché que la situation se règle devant les tribunaux. 

Et ce bilan alors, il vous inspire quoi ? 

C’est bien de regarder l’évolution du niveau d’information des internautes ou celle du taux de refus des cookies comme le fait la Cnil. Mais je m’étonne quand même qu’elle ne s’intéresse pas l’impact de son action sur la vie privée des utilisateurs. Quels dommages ont été évités ? Lesquels n’ont, en revanche, pas vraiment été résolus ? C’est regrettable de ne pas se poser ces questions au regard des contraintes que les recommandations de la Cnil ont fait peser sur beaucoup d’acteurs qui opèrent en ligne.

Vous faites d’ailleurs la même remarque en ce qui concerne le RGPD…

Tout à fait ! Cela fait désormais 5 ans que le texte est entré en vigueur et c’est, je pense, le bon moment pour faire le bilan. Se demander si les utilisateurs ont été mieux protégés. Si oui, de quoi ? Et avec quel impact, notamment pour les entreprises et le pouvoir d’achat de leurs consommateurs… Autant de questions que la nouvelle Commission européenne, qui se mettra en place en 2024, devrait, je pense, se poser. Pour éventuellement procéder à une révision du RGPD.

C’est possible ?

Cela est assez courant de voir des règlements révisés, cela procède de la volonté politique. On voit d’ailleurs que l’autorité européenne de protection des données (EDPB) a déjà formulé une demande pour simplifier la mécanique de collaboration entre les différentes Cnil dans le cadre du guichet unique et du chef de file.

Je reviens sur votre question. Est-ce que les utilisateurs ont été mieux protégés grâce au RGPD ?

Ce n’est pas forcément à moi de répondre à cette question. C’est évident que ce règlement a suscité une véritable prise de conscience. On voit aujourd’hui que la plupart des gens connaissent l’existence du RGPD et qu’ils ont pris conscience, avec lui, de leurs droits en matière de protection de la vie privée. Idem pour les entreprises, qui réfléchissent désormais à deux fois avant de mettre en place une action qui peut avoir des conséquences sur ce volet. Tout ça est positif. 

Mais à quel prix ? Quel a été l’impact économique du RGPD ?

Le RGPD n'a eu aucun impact économique positif, à part pour les cabinets d’avocats et de compliance qui ont essaimé

Il n’y a évidemment pas d’impact positif, à part pour les cabinets d’avocats et de compliance qui ont essaimé ! Pour beaucoup d’entreprises, l’ardoise a été élevée. Parce qu’il a fallu beaucoup investir pour se mettre en conformité. Que les contraintes élevées sur les cookies ont réduit le taux de consentement et, avec lui, les CPM des acteurs qui vendent de la publicité. Mais aussi parce que ce nouveau contexte réglementaire a parfois pu créer une certaine incertitude juridique. Incertitude juridique qui a pu “geler” le développement de certaines entreprises. C’est ce volet qui est le plus difficile à quantifier. 

Prenons le cas de ChatGPT, qui fait l’objet de plaintes en France pour non-respect du RGPD. Sans doute que certains entrepreneurs français refusent de se lancer sur ce marché à cause des doutes sur sa compatibilité. Ça a un impact sur notre économie !

Il faut donc réviser le RGPD ?

C’est ce que font nos amis anglais, à la suite du Brexit. Il est question d’assouplir certaines règles, pour avoir une approche plus pragmatique, sans conséquences pour la protection de la vie privée des utilisateurs évidemment. 

Un exemple ?

Ça peut être d’alléger certaines contraintes administratives, comme le fait de ne plus imposer de registre des traitements de données pour les sociétés de moins de 50 salariés.

Qu’est-ce qui, selon vous, mériterait d’être révisé ?

Un des problèmes du RGPD, c’est son horizontalité. La réglementation s’applique de la même façon pour tout le monde, petits et gros acteurs, et pour tous types de données, qu’elles soient pseudonymisées, donc difficiles à relier à une personne, ou nominatives, donc beaucoup plus sensibles. 

"On ne peut pas sanctionner de la même façon un géant de la tech et une petite PME. Idem pour les typologies de données concernées"

Je pense que, comme le fait le DMA, il faudrait réfléchir à un RGPD dont le niveau d’exigence et de sanction s’adapte aux cas de figure. On ne peut pas sanctionner de la même façon un géant de la tech et une petite PME. Idem pour les typologies de données concernées. Une entreprise qui manipule des données bancaires encourt les mêmes sanctions qu’une entreprise qui manipule des données pseudonymisées. Étonnant non ? 

Je trouve aussi dommage que le RGPD ne prenne pas en compte les moyens mis en œuvre par l’entreprise prise en faute. Je pense que la sanction devrait être plus légère pour une entreprise qui a pris le temps de pseudonymiser sa base de données que pour une entreprise qui a tout laissé en “clair”. 

Enfin, je ne comprends pas que les sanctions ne prennent pas en compte les préjudices subis par l’internaute. Seule la violation de la loi compte. Vous serez sanctionné de la même manière, qu’il y ait préjudice avéré ou non.

Si on reprend l’exemple de ChatGPT, on voit que chaque pays se prononce individuellement sur le sujet. L’Italie l’a déjà interdit, la France et l’Espagne y réféchissent. Le RGPD devait pourtant permettre aux pays membres de parler d’une voix sur ces sujets…

C’est tout le problème ! En fait, le RGPD devait permettre de fixer les principes généraux et la nouvelle règlementation eprivacy devait, elle, spécifier le cadre pour tout ce qui touche à la protection de la vie privée en ligne. Sauf que cette nouvelle règlementation n’a jamais vu le jour. 

De sorte que, malgré l’existence du RGPD, un enjeu de protection de la vie privée restait sujet à interprétation des Cnil locales dès lors qu’il touchait un sujet “en ligne”. Le problème, c’est qu’il y a encore des divergences entre les différentes autorités. On voit aujourd’hui que les autorités irlandaises et espagnoles n’ont pas la même interprétation que la CNIL française sur de nombreux points. Cela génère une distorsion de concurrence entre pays d’Europe. C’était déjà un problème pour la fiscalité, ça l’est maintenant pour la protection de la vie privée. Il faut y remédier avec un texte qui harmonise tout cela.