Nick Dedeke est professeur agrégé à la Northeastern University de Boston. Ses intérêts de recherche comprennent les stratégies de transformation numérique, l’éthique et la confidentialité. Ses recherches ont été publiées dans IEEE Management Review, IEEE Spectrum et le Journal of Business Ethics. Il est titulaire d’un doctorat en génie industriel de l’Université de Kaiserslautern-Landau, en Allemagne. Les opinions exprimées dans cet article ne reflètent pas nécessairement les vues d’Ars Technica.
Dans un article précédent, j’ai évoqué quelques-unes des failles de la loi phare européenne sur la confidentialité des données, le Règlement général sur la protection des données (RGPD). En m’appuyant sur cette critique, j’aimerais maintenant aller plus loin, en proposant des spécifications pour développer un régime solide de protection de la vie privée aux États-Unis.
Les écrivains doivent surmonter plusieurs obstacles pour avoir une chance de convaincre les lecteurs des éventuelles failles du RGPD. Premièrement, certains lecteurs sont sceptiques à l’égard de tout article critiquant le RGPD, car ils estiment que la loi est encore trop jeune pour être évaluée. Deuxièmement, certains se méfient de tout article critiquant le RGPD, car ils soupçonnent que leurs auteurs pourraient être des partisans secrets du programme anti-RGPD des grandes technologies. (Je peux assurer aux lecteurs que je n’ai pas travaillé et n’ai jamais travaillé pour soutenir le programme des grandes entreprises technologiques.)
Dans cet article, je soulignerai le prix à payer pour ignorer le RGPD. Ensuite, je présenterai plusieurs défauts conceptuels du RGPD qui ont été reconnus par l’un des principaux architectes de la loi. Ensuite, je proposerai certaines caractéristiques et exigences de conception que des pays comme les États-Unis devraient prendre en compte lors de l’élaboration d’une loi sur la protection de la vie privée. Enfin, je donne quelques raisons pour lesquelles tout le monde devrait se soucier de ce projet.
Le prix élevé de l’ignorance du RGPD
Les gens pensent parfois que le RGPD est avant tout un « casse-tête bureaucratique », mais cette perspective n’est plus valable. Considérez les actions suivantes des administrateurs du RGPD dans différents pays.
- En mai 2023, les autorités irlandaises ont infligé à Meta une amende de 1,3 milliard de dollars pour transfert illégal de données personnelles de l’Union européenne vers les États-Unis.
- Le 16 juillet 2021, la Commission nationale luxembourgeoise pour la protection des données (CNDP) a infligé une amende de 746 millions d’euros (888 millions de dollars) à Amazon Inc. Cette amende fait suite à une plainte de 10 000 personnes contre Amazon en mai 2018 orchestrée par un Groupe français de défense de la vie privée.
- Le 5 septembre 2022, la Commission irlandaise de protection des données (DPC) a infligé une amende de 405 millions d’euros au RGPD à Meta Ireland en guise de sanction pour violation des stipulations du RGPD concernant la licéité des données des enfants (voir les autres amendes ici).
En d’autres termes, le RGPD n’est pas simplement une question bureaucratique ; cela peut entraîner de lourdes amendes inattendues. L’idée selon laquelle le RGPD peut être ignoré est une erreur fatale.
9 défauts conceptuels du RGPD : point de vue de l’architecte principal du RGPD
Axel Voss est l’un des principaux architectes du RGPD. Il est membre du Parlement européen et est l’auteur du rapport d’initiative de 2011 intitulé « Approche globale de la protection des données personnelles dans l’UE » lorsqu’il était rapporteur du Parlement européen. Son appel à l’action a abouti à l’élaboration de la législation GDPR. Après avoir constaté les promesses non tenues du RGPD, Voss a rédigé une prise de position soulignant les faiblesses de la loi. Je tiens à mentionner neuf des défauts décrits par Voss.
Premièrement, bien que le RGPD soit excellent en théorie et ouvre la voie à l’amélioration des normes de protection des données, il s’agit d’une loi trop bureaucratique créée en grande partie à l’aide d’une approche descendante par les bureaucrates de l’UE.
Deuxièmement, la loi repose sur le principe selon lequel la protection des données devrait être un droit fondamental des personnes de l’Union européenne. Par conséquent, les dispositions sont absolues et unilatérales ou se concentrent uniquement sur la protection des « droits et libertés fondamentaux » des personnes physiques. En procédant à ce changement, les architectes du RGPD ont transféré la relation entre l’État et le citoyen et l’ont appliquée à la relation entre les citoyens et les entreprises et à la relation entre les entreprises et leurs pairs. Cette construction est l’une des raisons pour lesquelles les obligations imposées aux responsables du traitement et aux sous-traitants sont rigides.
Troisièmement, la loi GDPR vise à responsabiliser les personnes concernées en leur accordant des droits et en consacrant ces droits dans la loi. Plus précisément, la loi consacre neuf droits des personnes concernées. Il s’agit du droit à l’information, du droit d’accès, du droit de rectification, du droit à l’oubli/ou à l’effacement, du droit à la portabilité des données, du droit à la limitation du traitement, du droit de s’opposer au traitement des données personnelles. données, le droit de s’opposer au traitement automatisé et le droit de retirer le consentement. Comme pour toute liste, on craint toujours que certains droits manquent. Si des droits essentiels sont omis du RGPD, cela nuirait à l’efficacité de la loi en matière de protection de la vie privée et des données. Concrètement, dans le cas du RGPD, les droits protégés des personnes concernées ne sont pas exhaustifs.
Quatrièmement, le RGPD repose sur un approche d’interdiction et de limitation à la protection des données. Par exemple, le principe de limitation des finalités exclut les découvertes fortuites en science. Cela ignore la réalité selon laquelle les technologies actuelles, par exemple les applications d’apprentissage automatique et d’intelligence artificielle, fonctionnent différemment. Par conséquent, ces anciennes mentalités en matière de protection des données, telles que la minimisation des données et la limitation du stockage, ne sont plus applicables.
Cinquièmement, le RGPD pose en principe que tout traitement de données personnelles restreint le droit de la personne concernée à la protection des données. Cela nécessite donc que chacun de ces processus ait une justification fondée sur la loi. Le RGPD considère tout traitement de données personnelles comme un risque potentiel et interdit en principe leur traitement. Le traitement n’est autorisé que si un motif juridique est rempli. Une telle approche anti-traitement et anti-partage n’a peut-être pas de sens dans une économie axée sur les données.
Sixièmement, la loi ne fait pas de distinction entre les applications à faible risque et à haut risque en imposant les mêmes obligations pour chaque type d’application de traitement de données, à quelques exceptions près exigeant la consultation du responsable du traitement des données pour les applications à haut risque.
Septièmement, le RGPD exclut également les exemptions pour les scénarios de traitement à faible risque ou lorsque les PME, les startups, les entités non commerciales ou les particuliers sont les responsables du traitement des données. En outre, il n’existe aucune exemption ou disposition protégeant les droits du responsable du traitement et des tiers dans les cas où le responsable du traitement a un intérêt légitime à protéger les secrets d’affaires et commerciaux, à remplir ses obligations de confidentialité, ou un intérêt économique à éviter d’énormes et des efforts disproportionnés pour respecter les obligations du RGPD.
Huitièmement, le RGPD ne dispose pas d’un mécanisme permettant aux PME et aux startups de transférer la charge de conformité sur des tiers, qui stockent et traitent ensuite les données.
Neuvièmement, le GPR s’appuie fortement sur la surveillance et l’administration bureaucratiques gouvernementales du respect de la confidentialité au RGPD. Cela signifie qu’un vaste système bureaucratique est nécessaire pour gérer le régime de conformité.
Il existe d’autres problèmes liés à l’application du RGPD (voir les articles de Matt Burgess et Anda Bologa) et à ses impacts négatifs sur l’économie numérique de l’UE et sur les entreprises technologiques irlandaises. Cette pièce se concentrera uniquement sur les neuf défauts décrits ci-dessus. Ces neuf défauts sont quelques-unes des raisons pour lesquelles les autorités américaines ne devraient pas simplement copier le RGPD.
La bonne nouvelle est que bon nombre de ces défauts peuvent être résolus.