Un plongeon dans les initiatives cherchant à réguler l’utilisation des données en ligne en Europe. Une analyse sur les conséquences de ces textes pour l’industrie de l’édition et de la publicité. C’est ce que nous vous proposons aujourd’hui en interrogeant Etienne Drouard, avocat-associé au cabinet K&L Gates, président de la commission Enjeux réglementaires du Geste, organisme français qui représente les éditeurs en ligne, et Alexandre Balducci, également avocat au cabinet K&L Gates LLP.
La réforme concernant la protection des données personnelles en Europe dont le règlement GDPR a été adopté il y a un an doit entrer en vigueur dans seulement un an, en mai 2018. Pensez-vous que les acteurs de la publicité et de l’édition en ligne sont prêts pour l’accueillir ? Quelles sont les principales améliorations mais aussi les défis imposés par ce texte ?
Personne n’est prêt. Les régulateurs travaillent d’arrache-pied à interpréter le texte, qui a fait l’objet de consensus lors de son adoption et de contradictions qu’il faut désormais arbitrer. On peut s’attendre à disposer de lignes directrices générales d’interprétation jusqu’au mois d’octobre 2017. Certaines ont déjà été publiées, notamment les 4 et 5 avril derniers sur les « privacy impact assessment » et sur la portabilité des données. Il s’agit d’orientations ouvertes à des consultations publiques. Il ne s’agit pas de solutions d’interprétation, qui n’ont pas de force contraignante par ailleurs.
Du coté des entreprises, on oscille entre l’incrédulité, la panique et le manque de moyens. Dans les grands groupes, les projets en cours mobilisent des armées de consultants et des provisions budgétaires destinées à être libérées en 2018 seulement. Chez les PME les plus sensibilisées, le manque de moyens pour financer un audit, un « gap assessment » et organiser une gouvernance transverse des données dans les différents métiers représente des coûts d’organisation et de conduite du changement disproportionnés.
Sur le fond, tout n’est pas négatif ; le RGPD promet une harmonisation des positions culturellement divergentes entre régulateurs nationaux. Espérons que cet objectif sera atteint sans que le consensus pan-européen n’arbitre toujours en faveur des interprétations les plus dogmatiques ou les plus dures.
Enfin, le niveau de menace de sanction (20 millions d’euros ou jusqu’à 4% du CA mondial consolidé) constitue un défi pour les régulateurs qui devront être hautement professionnels lorsqu’ils envisageront des sanctions lourdes. Leur besoin de préparation en termes de méthode et de procédure est immense. Du coté des entreprises, l’échelle des risques n’est plus du tout la même, c’est-à-dire que les priorités d’arbitrage entre une performance économique et un risque juridique devront être repensées.
Du coté des entreprises, on oscille entre l’incrédulité, la panique et le manque de moyens.
Finalement, ceux qui envisagent de s’expatrier loin de l’Europe pour échapper à ces échéances peu réconfortantes peuvent économiser un déménagement. Le RGPD prétend s’appliquer à toutes les entreprises situées hors de l’Union européenne et qui collectent des données relatives à des résidents européens. Il ne sert donc à rien de s’échapper ou de se mettre la tête dans le sable. Gardons notre sang-froid, responsabilisons nos gouvernants et nos régulateurs.
Le règlement dit ePrivacy, pour le moment au stade de projet, publié officiellement par la Commission le 10 janvier dernier, vise à renforcer les règles relatives au traitement, à la confidentialité et à la sécurité des données dans les communications électroniques. L’article 10 de ce projet consacre un mécanisme d’opt-in au niveau du navigateur, qui permettra à l’utilisateur d’accepter ou non des cookies. Que pensez-vous de cette réglementation ?
Le calendrier de l’élaboration du règlement ePrivacy me fait peur, autant que le fonds, impraticable, du dispositif. Il semble que six à huit mois de discussion soient réservés au texte, qui devrait entrer en vigueur en mai 2018. Il a fallu quatre années pour discuter le RGPD. Pour le règlement ePrivacy, on pense pouvoir traiter tous les enjeux et toutes les spécificités de la traçabilité sur les réseaux électroniques en quelques mois : données de trafic, données de navigation, métadonnées de navigation, cookies, traçabilité et mobile, fichiers auto-exécutables dans les terminaux, détection sur les hotspots wifi ou bluetooth avec une couche épaisse de consentement et un désintérêt complet pour le caractère praticable des principes énoncés, l’Union Européenne espère légiférer vite en légiférant bien.
Sur le fond, on renvoie l’utilisateur, lors de l’installation de son navigateur, à un choix de consentement ou de refus des cookies, qui s’imposera lors de sa navigation ultérieure sur Internet. Ce choix est dénué d’une information claire et complète, contrairement à ce qu’exige le RGPD. Lors de sa navigation sur le web, l’utilisateur qui voudrait changer d’avis devra le faire lui-même, manuellement. Le texte ne permet pas une interaction entre les éditeurs de service et les utilisateurs qui se traduirait par une modification des paramètres des logiciels de navigation. En substance, cela revient à poser un principe de consentement « hors sol » dont les modalités de mise en œuvre sont placées entre les mains de trois acteurs américains qui éditent des logiciels de navigation, et auxquels on confie les modalités permettant aux internautes de paramétrer leurs préférences, sans permettre aux acteurs européens des services en ligne d’en discuter avec l’internaute. C’est un peu comme si l’on estimait que la meilleure manière d’offrir une protection européenne des données personnelles consiste à en confier les détails d’exécution à des sociétés américaines.
La suite de cette interview sera publiée demain.
Questions formulées par Luciana Uchôa-Lefebvre.
(Images: Shutterstock, le Geste et K&L Gates LLP .)
