Lord Kirkhope of Harrogate
Député européen (1999-2016), porte-parole conservateur à la Commission de la justice et des libertés civiles (LIBE) et shadow rapporteur sur le RGPD, ancien député et ministre de l’Intérieur du Royaume-Uni, avocat
Le 25 mai dernier, le Règlement général sur la protection des données (RGPD) est entré en vigueur après plus de sept années de débats au Parlement européen. Le principe en est simple et rassurant : l’utilisation des données personnelles est soumise au consentement de la personne concernée. Et des sanctions pourront être prononcées à l’encontre des entreprises qui ne respecteraient pas le texte.
Ces dix dernières années, le développement de l’électronique et de la technologie numérique dans les domaines de la communication et du stockage a radicalement renforcé le besoin d’améliorer la protection des données personnelles. L’entrée en vigueur du RGPD, au bout de sept années de délibérations et de préparation, était donc absolument essentielle. Au cours de notre travail sur ce texte au Parlement européen, auquel j’ai participé activement, nous avons parfois eu l’impression que nous ne parviendrions jamais à rattraper l’évolution de la technologie et de la cybercriminalité. C’est ce qui m’a incité à défendre une approche plus souple que j’ai appelée « smart Legislation »(1) permettant une mise à jour plus rapide de textes comme le RGPD pour rester au fait des changements dans les comportements sociaux et commerciaux, et s’y adapter. Depuis que je suis rentré au Royaume-Uni en 2016 pour devenir législateur domestique au sein de la Chambre des Lords, j’ai de nouveau prôné une approche plus moderne et plus flexible de nos lois et de notre processus législatif national. J’espère que nos collègues de l’UE finiront par adopter la même approche.
Quels ont été les effets de la nouvelle réglementation à ce jour ?
Afin d’anticiper les nouvelles règles et amendes, nos entreprises, petites et grandes, se sont empressées d’obtenir le consentement des clients et des consommateurs, et leur ont garanti que leurs données seront traitées et tenues à jour comme il se doit. Vous avez sûrement tous reçu comme moi d’innombrables courriers, e-mails et autres messages nous demandant si nous étions satisfaits du niveau de sécurité de nos données détenues par des tiers, ou décrivant au minimum la manière dont ces informations sont conservées et les moyens de recours mis à notre disposition pour remédier à un abus éventuel. Nous avons dû apprendre à gérer les messages chiffrés et un nombre plus important que jamais de mots de passe, ce qui a évidemment posé quelques problèmes, notamment aux citoyens plus âgés ou aux personnes moins « douées » en informatique. Cette frénésie commence à « se tasser », et les nominations de préposés nationaux à la protection des données et de leurs équipes ont été finalisées. Toutes les entreprises ont désigné leur délégué à la protection des données. Personne (du moins, au Royaume-Uni) ne s’est encore vu infliger une amende, et nous allons devoir patienter pour voir si (et quand) des sanctions draconiennes commenceront à être appliquées en cas d’utilisation abusive des données. Jusqu’à présent, c’est une approche plus douce et pragmatique qui prévaut, comme certains d’entre nous l’ont recommandé, en particulier aux premiers stades de la mise en application.
Mais ensuite ? Est-ce juste le « calme avant la tempête » ? Des associations de consommateurs ou des « militants de la protection des données » sont-ils en train de monter des dossiers à l’encontre de grandes entreprises pour tester les nouvelles lois ? J’espère que non, mais c’est possible.
Dans notre monde en mutation rapide, et même sans ma « législation intelligente », nous allons devoir réexaminer régulièrement ces réglementations afin de nous assurer que les dispositifs de protection prévus correspondent toujours aux modalités de collecte et de conservation des données. Personne ne devrait pouvoir tirer profit de nos données personnelles sans notre autorisation, et j’espère que nous avons au moins pu freiner cette tendance.
Il était plus que temps qu’un règlement indispensable comme le RGPD entre en vigueur. Il a vraiment été très compliqué à mettre au point.
Je ne participerai pas (ni le Royaume-Uni malheureusement, j’en ai bien peur) au prochain remplacement de la loi britannique modifiant le règlement relatif à la vie privée et les communications électroniques de 2003 (Privacy and Electronic Communication Regulations, PECR) qui est maintenant envisagé par l’UE ; le processus sera sûrement encore plus compliqué que pour le RGPD, mais tout aussi nécessaire à mesure que les années passent.
1) Législation intelligente