Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai, et personne n’était prêt, ni les entreprises, ni même les régulateurs.

Après quatre ans de délibération, le Règlement général sur la protection des données a été officiellement adopté par l’Union européenne en 2016. Le règlement donnait aux entreprises un délai de deux ans pour se mettre en conformité, ce qui laisse théoriquement beaucoup de temps pour se mettre au point. La réalité est plus compliquée. Tout comme les documents trimestriels et les déclarations de revenus, il y a des gens qui s’y prennent tôt, et puis il y a le reste.

Lors de la réunion d’aujourd’hui avec le Parlement européen, Mark Zuckerberg a déclaré que Facebook serait conforme au RGPD avant la date limite, mais si c’était le cas, l’entreprise serait minoritaire. “Très peu d’entreprises seront conformes à 100 % le 25 mai” déclare Jason Straight, avocat et responsable de la protection de la vie privée chez United Lex, une entreprise qui met en place des programmes de conformité RGPD pour les entreprises. “Les entreprises, en particulier les entreprises américaines, se précipitent depuis un mois pour se préparer.” Lors d’un sondage mené par le Ponemon Institute en avril auprès de plus de 1 000 entreprises, la moitié d’entre elles ont déclaré qu’elles ne seront pas conformes à l’échéance. Lorsqu’on les répartit par industrie, 60% des entreprises de technologie ont déclaré ne pas être prêtes.

Le RGPD est un ensemble ambitieux de règles allant de l’obligation de notifier les régulateurs en cas d’atteinte à la protection des données (dans les 72 heures, pas moins) à la transparence pour les utilisateurs sur les données collectées et pourquoi. “Pendant de nombreuses années, le principe était le suivant : ‘Combien de données pouvons-nous amener les gens à nous donner ? Nous trouverons comment les utiliser plus tard !’ Ce ne sera plus une façon acceptable de fonctionner dans le cadre du RGPD ” dit Straight.

“Il y a des entreprises à qui nous avons parlé, où l’on dit : ” Vous plaisantez ? Si on leur avait dit comment on utilise leurs données, ils ne nous les auraient jamais données” dit Straight. “Je réponds : Oui, c’est un peu le but.”

Mais l’exigence du RGPD la plus compliquée en général est peut-être bien la demande d’accès de la personne concernée. Les résidents de l’UE ont le droit de demander l’accès aux informations personnelles recueillies par les entreprises. Ces utilisateurs, appelés “personnes concernées” dans le langage du RGPD, peuvent demander que leurs informations soient effacées, corrigées si elles sont incorrectes, et même leur être remises sous une forme portable. Mais ces données peuvent se trouver sur cinq serveurs différents et dans beaucoup de formats. (Ceci part du principe que l’entreprise connaît l’existence même de ces données). Une grande partie de la mise en conformité du RGPD consiste à mettre en place des infrastructures internes afin de pouvoir répondre à ces demandes.

Une partie du problème réside dans la façon dont les entreprises sont créées, et une partie du problème est que les “renseignements personnels” sont une catégorie floue. Noms, adresse e-mail, numéros de téléphone, données de localisation, ce sont les plus évidentes. Mais il y a aussi des données plus ambiguës, comme “une référence indirecte, comme ”le grand chauve qui vit sur East 18th Street.” Si quelqu’un disait cela dans un e-mail, ce serait une information que vous devriez me fournir dans le cadre du RGPD” dit Straight.

Pour les entreprises qui ont fonctionné selon le principe “récupérer autant de données que possible et les découvrir plus tard”, la réorganisation sous RGPD ressemble beaucoup à un épisode de Hoarders, surtout un de ces épisodes où le hoarder ne termine pas le nettoyage et où tout le monde s’effondre en pleurant à la fin.

Il s’agit, d’une certaine façon, d’un résultat inévitable. Il y a un an, 61% des entreprises n’avaient même pas commencé à mettre en œuvre le RGPD. Straight affirme que, dans l’ensemble, les entreprises européennes, en particulier celles de pays comme l’Allemagne et le Royaume-Uni, où il existe des lois préexistantes sur la protection de la vie privée qui chevauchent la réglementation RGPD, ont eu plus de temps pour s’adapter. (Néanmoins, une enquête réalisée en janvier de cette année a révélé qu’un quart des entreprises londoniennes ne savaient même pas ce qu’était le GPDR).

Pour être honnête, le RGPD dans son ensemble est un peu compliqué. Alison Cool, professeur d’anthropologie et de sciences de l’information à l’Université du Colorado, à Boulder, écrit dans le New York Times que la loi est “incroyablement complexe” et pratiquement incompréhensible pour les gens qui essaient de s’y conformer. Les scientifiques et les gestionnaires de données à qui elle s’adresse “doutent que la conformité absolue soit même possible”.

Ce n’est pas une position agréable, car le RGPD permet aux organismes de réglementation d’imposer des amendes pouvant aller jusqu’à 4% de leurs revenus mondiaux en cas de violation du RGPD. Pour mettre cela en perspective, une amende de 4% sur Amazon serait de 7 milliards de dollars. (Intéressant, puisqu’une entreprise comme Amazon rapporte des revenus énormes et des profits relativement faibles, une amende de 4% pourrait leur coûter plus de deux ans de profits.)

Le gros coup du RGPD aurait pu pousser Peter Thiel à accuser l’Europe de promulguer un régime juridique protectionniste. “Il n’y a pas d’entreprises technologiques prospères en Europe et elles sont jalouses des États-Unis, alors elles nous punissent” a déclaré Thiel lors d’une conférence au Economic Club de New York en mars dernier.

Étant donné qu’une grande partie du RGPD est ambiguë, la façon dont il fonctionnera en pratique dépend de ce que les régulateurs en feront. Éventuellement, des normes émergeront : qui les régulateurs vont poursuivre, quel genre de pénalités ils vont imposer pour quel genre de comportement, et combien de ces 4% des revenus globaux ils vont obtenir.

L’hypothèse générale est que lorsque la date limite arrivera, les régulateurs européens la traiteront comme une ouverture en douceur, allant en douceur sur les entreprises pendant que tout le monde comprend comment la loi va fonctionner. Mais les organismes de réglementation ne peuvent pas contrôler entièrement ce qui se produira le 25 mai parce que certaines parties du RGPD sont axées sur l’utilisateur.

Si un résident de l’UE soumet une demande, l’entreprise dispose de 30 jours pour y répondre. Disons qu’une entreprise reçoit l’une de ces demandes, mais qu’elle n’est pas encore complètement conforme au RGPD et littéralement incapable d’y répondre. Si l’entreprise ne répond pas, la personne concernée peut alors déposer une plainte auprès de l’autorité de réglementation locale.

Le RGPD exige que l’organisme de réglementation fasse quelque chose pour faire respecter la loi. Ce n’est peut-être pas une amende de 4%, mais ils ne peuvent pas simplement jeter les plaintes à la poubelle. “S’ils reçoivent 10 000 plaintes au cours du premier mois, ils vont avoir des problèmes” dit Straight. 17 des 24 régulateurs européens interrogés par Reuters au début du mois ont déclaré ne pas être prêts pour l’entrée en vigueur de la nouvelle loi parce qu’ils n’avaient pas encore les fonds ou les pouvoirs légaux nécessaires pour remplir leurs fonctions.

Une autre disposition du RGPD qui pourrait mettre à rude épreuve les ressources réglementaires est l’exigence de notification des atteintes à la protection des données. Les entreprises sont tenues d’informer une autorité compétente en matière de protection des données dans les 72 heures suivant la découverte, mais ce que l’organisme de réglementation fait par la suite n’est pas tout à fait clair. Les régulateurs peuvent ne pas être prêts à vérifier la sécurité d’une entreprise ou à déterminer exactement ce qu’il faut faire pour protéger les résidents de l’UE touchés par l’infraction. Mais ils doivent quand même faire quelque chose. Ils ont peut-être une certaine souplesse quant à la façon de réagir, mais le RGPD ne leur permet pas de ne rien faire.

Le RGPD n’est censé s’appliquer qu’à l’UE et aux résidents de l’UE, mais comme de nombreuses entreprises font des affaires en Europe, l’industrie technologique américaine s’efforce de se conformer au RGPD. Néanmoins, même si les débuts du RGPD sont loin d’être faciles, le règlement marque un changement radical dans la façon dont les données sont traitées à travers le monde. Les Américains en dehors de l’Europe ne peuvent pas faire de demandes d’accès aux données, et ils ne peuvent pas exiger que leurs données soient effacées. Mais le respect des règles du RGPD aura de toute façon des retombées pour eux. L’obligation de notification des violations, en particulier, est plus stricte qu’aux États-Unis. L’espoir est qu’au fur et à mesure que les entreprises et les organismes de réglementation adoptent le nouveau fonctionnement, la protection accrue de la vie privée de RGPD deviendra une activité normale. En attendant, c’est juste une course folle à suivre.