Entre gouvernement Trump et manque d’efficacité du RGPD, noyb tire la sonnette d’alarme
Executive (dis)order

Photo de rc.xyz NFT gallery sur Unsplash
En moins d’une semaine, l’association noyb a enchainé sur deux sujets : les dangers que fait courir le nouveau gouvernement Trump sur les échanges de données avec les États-Unis et le trop faible nombre d'amendes pour les entreprises contrevenant au RGPD.
Le 28 janvier à 14h31
6 min
Droit
Droit
Le 23 janvier, l’association noyb (none of your business, « ce ne sont pas vos affaires ») alertait sur les risques posés par certains ordres exécutifs signés par Donald Trump, fraichement arrivée à la Maison-Blanche. L’un d’eux engendre le réexamen de toutes les décisions prises en matière de cybersécurité nationale prise durant le mandat de Joe Biden au cours des 45 jours suivants.
Un maillon important du Data Privacy Framework
Parallèlement, les membres démocrates du PCLOB (Privacy and Civil Liberties Oversight Board) ont été démis de leurs fonctions et leurs comptes de messagerie bloqués. En conséquence, souligne l’association, le Board ne peut plus fonctionner correctement, car le nombre minimal de membres nécessaire n’est plus atteint.
Or, le PCLOB est un maillon essentiel du Data Privacy Framework. Ce cadre établit une adéquation entre les législations européenne et américaine sur la protection de la vie privée. Il permet l’envoi des données personnelles européennes vers les serveurs des sociétés américaines, en partant du principe que les protections y sont équivalentes. Le DPF, qui avait pris la suite des Safe Harbor et Privacy Shield après leur invalidation (arrêts Schrems I et II), est depuis sous le feu de critiques nourries, notamment de noyb et du député Philippe Latombe (MoDem).
« Cet accord a toujours été construit sur du sable, mais le lobby des entreprises de l'UE et la Commission européenne le voulaient quand même. Au lieu d'une limitation juridique stable, l'UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes. Lorsque les premières vagues de Trump frappent cet accord, elles plongent rapidement de nombreuses entreprises de l'UE dans un vide juridique. Le PCLOB lui-même n'est qu'une pièce du puzzle et tant qu'il ne fonctionne que temporairement, on peut dire que l'accord n'est pas pire qu'avant. Toutefois, la direction prise dès la première semaine de la présidence Trump n'est vraiment pas bonne. Nous surveillons de près s'il s'agit d'un problème temporaire ou si le PCLOB est tué pour de bon », a déclaré Maximilien Schrems.
L’Europe s’est appuyée sur « des vœux pieux »
Pour le fondateur de noyb, ces décisions viennent prouver le manque d’indépendance de la plupart des organes de contrôle américain : « Des domaines juridiques entiers sont simplement réglementés par des décrets présidentiels ». « Il y avait beaucoup de questions sur l'indépendance de ces mécanismes de contrôle. Malheureusement, il semble qu'ils ne résisteront peut-être même pas à l'épreuve des seuls premiers jours d'une présidence Trump. C'est la différence entre des protections juridiques solides en droit et des vœux pieux – la Commission européenne s'est uniquement appuyée sur des vœux pieux », a-t-il ajouté.
Pour Maximilien Schrems, le DPF pourrait ne pas survivre aux décisions prises dans les prochaines semaines. Si le DPF devait à son tour tomber, les entreprises et particuliers européens replongeraient dans l’incertitude juridique. L’Europe devrait alors replonger dans la négociation d’un cadre, face à des États-Unis désormais pilotés par une doctrine America First.
Bilan du RGPD ? Bof bof, selon noyb
Dans une communication ce matin, l’association profite aussi de la journée mondiale de la protection des données pour dresser un bilan du RGPD. Si le règlement « a inauguré une nouvelle ère », la réalité « est beaucoup plus sombre » sept ans plus tard.
noyb fonde son avis sur l’analyse des statistiques de l’EDPB (European Data Protection Board), dont la mission est de coordonner l’application du RGPD dans l’Union européenne. Acide, l’association pointe ainsi « l'(in)activité des autorités nationales de protection des données », avec un chiffre coup de poing : 1,3 % seulement des affaires dont les autorités sont saisies en lien avec le RGPD aboutit à une amende.
L’application du RGPD ne se ferait ainsi que sur le papier, loin des promesses de son entrée en vigueur, en mai 2018. Comme pour le DPF, noyb reparle de « vœux pieux », tant les résultats sur la période 2018 - 2023 (pdf) sont loin des attentes. « Cela correspond à notre propre expérience pratique : la plupart des affaires trainent pendant plusieurs années, avant d'être closes par un règlement ou entièrement rejetées », ajoute l’association.
Au sein de l’Union, la France fait partie des mauvais élèves, avec un taux parmi les plus faibles (0,1 %). Des scores que l’association ne semble pas comprendre, car ces plaintes incluent des « infractions évidentes telles que des demandes d'accès sans réponse ou des bannières de cookies illégales, qui pourraient – en théorie – être traitées rapidement et d'une manière standardisée ».
noyb soulève également deux autres points. D’une part, non seulement le nombre d’amendes est excessivement bas, mais leur montant « sont une plaisanterie ». En prenant en compte la présence des multinationales américaines en Irlande (dont Apple, Google, Meta et Microsoft), l’autorité du pays affiche une moyenne de 476 millions d’euros par an, toutes amendes cumulées. Une somme jugée loin d’être dissuasive.
D’autre part, 40 % des amendes obtenues depuis l’entrée en vigueur du RGPD l’ont été grâce à noyb. « Cela signifie qu'en réalité, il semble plutôt y avoir un manque de volonté politique pour s'opposer aux géants de la technologie qu'un manque de possibilités d'agir », fustige l’association.
Entre gouvernement Trump et manque d’efficacité du RGPD, noyb tire la sonnette d’alarme
-
Un maillon important du Data Privacy Framework
-
L’Europe s’est appuyée sur « des vœux pieux »
-
Bilan du RGPD ? Bof bof, selon noyb
Commentaires (6)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 28/01/2025 à 16h14
Le 28/01/2025 à 18h56
C’est Volkswagen, Renault, Peugeot, Citroën et Fiat-Chrysler qui sont en faute, quel est le rapport avec la commission européenne : https://www.sciencesetavenir.fr/high-tech/transports/dieselgate-70-000-nouveaux-vehicules-concernes-prejudice-de-plusieurs-millions-d-euros-en-france_181291 ?
Le 28/01/2025 à 19h53
La commission étant en charge entre-autres d'assurer le bon fonctionnement du marché commun, une sanction contre des fraudes massives auraient pu être envisagées.
La C.E. a juste lâché l'affaire alors que le Parlement Européen avait , suite à une commission d'enquête, voté une résolution l'enjoignant à prendre action.
Le 29/01/2025 à 14h28
Le 28/01/2025 à 16h22
Comme pour Schrems et Schrems II, il faut s'attendre à que ce soit la CJUE qui fasse son taf en cassant tout ce bazar. Mais la mode est apparemment à ignorer purement et simplement les décisions de justice.
Le 28/01/2025 à 19h48