Le Règlement général sur la protection des données (RGPD) de l’Union européenne est en vigueur depuis cinq ans, mais les autorités européennes considèrent ce système inefficace pour traiter les violations des données personnelles effectuées par les grandes entreprises technologiques. Cet article examinera les difficultés actuelles de l’UE pour faire respecter le RGPD face à des entreprises comme Meta, Google, Apple et Amazon, qui ont installé leurs sièges européens en Irlande et au Luxembourg. Le texte discutera également des efforts de l’UE pour renforcer le RGPD avec un nouveau règlement de l’UE attendu au second trimestre 2023 et mettre en place une réglementation de l’UE.
Les défis du RGPD pour les grandes entreprises technologiques : Le RGPD impose aux organisations de demander le consentement d’un individu pour collecter ses données en ligne, sous peine de se voir infliger de lourdes amendes pouvant atteindre 4% de leur chiffre d’affaires annuel mondial (ou 20 millions d’euros) en cas de non-respect. Cependant, les entreprises technologiques sont supervisées par le régulateur national du pays de l’UE où elles ont leur siège social, créant des défis pour l’application cohérente du RGPD dans toute l’UE. En outre, les grandes entreprises technologiques disposent de budgets importants pour influencer les décisions de l’UE.
Prenons l’exemple de la société Meta (anciennement Facebook) qui a son siège européen en Irlande. En 2018, l’entreprise a été impliquée dans le scandale Cambridge Analytica, où les données de millions d’utilisateurs de Facebook ont été collectées à leur insu. La Commission irlandaise de protection des données a enquêté sur cette violation et a infligé une amende de 450 000 euros à Facebook, la plus grande amende possible à l’époque. Cependant, certains militants de la vie privée estiment que cette amende était insuffisante compte tenu des profits de l’entreprise. Depuis lors, la Commission européenne a imposé d’autres amendes importantes à des entreprises technologiques, notamment une amende de 2,4 milliards d’euros à Google en 2017 pour abus de position dominante dans les résultats de recherche.
Les efforts de l’UE pour renforcer le RGPD : En octobre dernier, les autorités de protection des données européennes ont établi une liste de sujets nécessitant une harmonisation des législations nationales. Cette liste adressée à la Commission européenne fait partie des actions intégrées dans la déclaration de Vienne, adoptée par le CEPD, sur la coopération en matière répressive. Un nouveau règlement de l’UE est attendu au second trimestre 2023. Il devrait établir des règles de procédure administrative plus claires pour les autorités nationales de protection des données chargées des enquêtes et des infractions transfrontalières, et favoriser un meilleur fonctionnement des mécanismes de coopération au sein de l’Union européenne. La Commission européenne doit toutefois faire face à des discussions tendues avec les organismes de surveillance de la confidentialité des données, les militant·e·s et les lobbyistes des grandes entreprises numériques. Les entreprises technologiques ont déjà commencé à exprimer leurs préoccupations concernant les nouvelles réglementations, affirmant qu’elles pourraient entraver l’innovation et la concurrence. Cependant, les militants de la vie privée estiment que les règles actuelles ne sont pas suffisantes pour protéger les données des utilisateurs. Ils appellent à des réglementations plus strictes pour tenir les entreprises technologiques responsables de leurs pratiques de collecte et d’utilisation de données.
Avec les élections européennes prévues au printemps 2024, l’exécutif européen dispose d’un temps limité pour faire passer son nouveau texte. Le Parlement européen et le Conseil de l’Europe ont quelques mois pour négocier leurs amendements. Si la nouvelle réglementation est adoptée, elle pourrait avoir des conséquences importantes pour les entreprises technologiques opérant en Europe. Elle pourrait également renforcer la position de l’UE en tant que leader mondial de la protection des données personnelles.
