O P T - O N

Pour un numérique responsable ...

La promulgation du RGPD aurait-elle manqué de pédagogie ?

La promulgation du RGPD aurait-elle manqué de pédagogie ?

Le 27 avril 2016, l’Union Européenne s’est dotée d’un nouveau cadre réglementaire concernant le respect de la vie privée, appelé Règlement Général sur la Protection des Données.

Cette promulgation, avait prévu de laisser un délai de deux années aux organisations concernées, en instaurant une obligation d’être en conformité au 25 mai 2018. Le législateur européen comptait sur un effet de ruissellement de l’information. En effet, il pensait que les fédérations, groupements, syndicats, etc…, structures elles-mêmes concernées par cette obligation, diffuseraient l’évolution nécessaire de l’approche que devait avoir les « responsables de traitements ».

Aujourd’hui, force est de constater que ce ruissellement n’a pas vraiment eu lieu, et que seules les collectivités et grandes entreprises sont en cours de mise en conformité… Pourquoi la plupart des TPE et PME n’ont pas muté ?

Il est possible que les mots aient eu leur importance dans l’appréciation des obligations. Il semble que les termes utilisés lors des communications originelles n’ont pas été suffisamment adaptés : la promulgation de cette loi a été d’abord faite en anglais avec l’acronyme GDPR pour General Data Protection Regulation. On imagine facilement le fait que, quiconque lirait ce nom pour la première fois retiendrait surtout le mot « Data », et qu’en toute logique cette nouvelle contrainte semble concerner les structures dont l’activité repose sur l’exploitation de la Data au sens technique du terme, dans la mesure où « data » en français se traduit par « donnée » et pas « donnée personnelle ». Et ce fut là où le bas blessa… Beaucoup « d’obligés » du RGPD en ont déduit que, n’étant pas spécialistes de l’hébergement de données, ou professionnels du marketing en ligne, ou encore gérants d’un réseau social, ces obligations ne les concernaient pas.

Un indice de cette interprétation est le renouvellement massif des bannières cookies sur lesquelles les internautes ont dû cliquer dès le 26 mai 2018, pour donner leur « consentement », qui ne suffit pas à rendre un site conforme, et qui dans certains cas démontre même des manquements significatifs. Une étude universitaire récente, menée par l’Université d’Aarhus (Danemark), l’Université catholique de Louvain (Grande Bretagne) et le Massachusetts Institute of technologie (USA), démontre que 90% des sites visités ne respectent pas le RGPD (https://arxiv.org/abs/2001.02479).

Ainsi, en partie à cause de notre interprétation du mot « data », limitant notre champ de vision au monde numérique, trop peu de responsables de traitements avaient engagé leur adaptation technique et organisationnelle à fin 2018 ; et quand elle était engagée elle restait encore partielle.

Si cette analyse peut expliquer la non action des dirigeants responsables de traitements (PME, TPE, PMI…), il convient maintenant pour les professionnels de la « conformité RGPD » de s’interroger sur leurs actions pédagogiques à destination des citoyens, afin d’inciter les responsables de traitements de tous types à se mettre en action.

Vous ne pouvez pas copier ce contenu