[Policy Brief d’étudiants] Données personnelles, RGPD : une étude critique des droits des personnes physiques

Par Maryliz Abolou, Hamza Belgroun, Joshua Bernstein, Ellie Copeland, Janine Ecker, Nicolas Julian, Maria Chiara Liviano D’Arcangelo et Raja Madani, étudiants du Master politiques publiques, spécialité “Digital, New Technology and Public Policy”

La Chaire Digital, Gouvernance et Souveraineté publie régulièrement les meilleurs essais et articles rédigés par les étudiants de Sciences Po dans le cadre de leurs études. Ce Policy Brief a été sélectionné comme l’un des meilleurs travaux rédigés dans le cadre du cours enseigné par le Pr Suzanne Vergnolle « Tech Regulation in Europe and Beyond » (approche comparée de la régulation des big tech) au printemps 2024.

Le règlement général sur la protection des données (RGPD) est en vigueur depuis 2016, mais les droits des personnes physiques sont-ils vraiment si faciles à exercer ?

À une époque où les données personnelles sont à la fois omniprésentes et inestimables, la protection des données devient une préoccupation constante. En Europe, des règlements tels que le RGPD jouent un rôle essentiel dans la sauvegarde des droits individuels en établissant des normes pour la confidentialité des données, la sécurité et la responsabilité. Ils permettent aux individus d’exercer leurs droits en tant que personnes physiques, ce qui est devenu essentiel pour prendre le contrôle dans un environnement où les données personnelles ont une valeur immense. Mais que se passe-t-il exactement lorsque les individus revendiquent leurs droits au titre du RGPD?

C’est ce qu’a voulu découvrir notre promotion, spécialisée dans la filière « Digital, nouvelles technologies et politiques publiques » du Master en politiques publiques de Sciences Po, dans le cadre du cours « Tech Regulation in Europe and Beyond » du Pr. Suzanne Vergnolle. Dans le cadre d’une étude pratique, les étudiants de la classe ont essayé d’exercer les différents droits des personnes physiques en formulant des demandes à plus de vingt plateformes et sites web de taille différente (voir l’annexe 1), afin d’évaluer dans quelle mesure ils se conforment au RGPD. Entré en vigueur en 2016, ce texte législatif fait date. Avec ses articles 12 à 22, il décrit les droits fondamentaux des personnes physiques, notamment le droit d’accès, le droit de rectification, le droit d’effacement, le droit de limiter le traitement, le droit à la portabilité des données, le droit d’opposition et le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Nous avons essayé d’exercer la plupart de ces droits avec des résultats mitigés.

Après un examen plus approfondi, il apparaît clairement que le système est rempli de complexités et que l’exercice des droits relatifs aux données peut ne pas être aussi simple qu’une personne physiques pourrait l’espérer ou le supposer. Dans ce qui suit, nous partagerons nos expériences et décrirons les résultats de la navigation dans ce paysage juridique complexe, en fournissant des informations et des leçons apprises.

Enquête

Il est intéressant de noter que les grandes entreprises présentent souvent une approche standardisée. Elles peuvent même offrir la possibilité de télécharger directement ses données sur la plateforme/le site web lui-même, sans longue communication ni demande particulière. C’est notamment le cas de plateformes telles que LinkedIn, Facebook et YouTube.

Cependant, ce qui peut sembler être un processus simple peut être trompeur. Même les grandes organisations peuvent rencontrer des difficultés – des demandes incomplètes ou des procédures trop complexes peuvent créer des obstacles pour l’utilisateur. Si le droit d’accès peut être relativement simple, l’exercice d’autres droits tels que la portabilité ou l’effacement des données peut prendre du temps et nécessiter des connaissances techniques, ce qui désavantage les personnes moins familiarisées avec la technologie.

Les choses deviennent encore plus délicates lorsqu’il s’agit d’entités plus petites, comme les universités ou les petites entreprises. Ces organisations ne disposent souvent pas de l’infrastructure et des ressources nécessaires à une gestion efficace des données. C’est notamment le cas d’un étudiant qui a tenté d’exercer son droit directement sur le site web de Sciences Po et qui est resté sans réponse pendant des semaines. Avec ce type d’organisation, les taux de non-conformité augmentent et les délais de réponse peuvent s’allonger considérablement.

Il convient également de noter que l’expérience de l’utilisateur diffère entre les applications et les sites web, certaines fonctions étant limitées à un mode d’accès. Lors de notre enquête, nous avons constaté que les processus automatisés d’accès aux données s’avéraient beaucoup plus efficaces que les interactions par courrier électronique, ce qui met en évidence les limites de l’intervention humaine. Les problèmes de non-conformité surviennent lorsqu’une interaction humaine est impliquée, par exemple lorsque les responsables du traitement demandent des justifications pour les demandes d’accès aux données (une pratique qui n’est pas prévue par la loi).

Malgré les difficultés, les étudiants qui ont exercé leurs droits se sont généralement déclarés satisfaits du résultat, ce qui suggère un compromis entre l’effort et le contrôle.

Discussion

Notre expérience a fait ressortir plusieurs questions cruciales. Premièrement, comment garantir l’accès aux données des personnes décédées ? La charge de la preuve incombe à l’individu qui doit démontrer l’absence de données, une tâche quasi impossible. Les nombreuses exceptions légales ajoutent encore à la complexité. En outre, la définition de l' »intérêt légitime« , qui justifie la conservation des données, reste ambiguë. Si certaines entreprises proposent des options et des formats supplémentaires pour la récupération et la portabilité des données (pratiques qui vont au-delà des exigences légales), la question fondamentale demeure : comment s’assurer que les données fournies sont complètes et exhaustives ?

Dans l’ensemble, notre enquête sur l’exercice des droits des personnes concernées par le RGPD sur diverses plateformes et sites web a montré que la gestion des informations personnelles s’accompagne à la fois de commodités et de défis. Dans l’ensemble, les étudiants se sont déclarés satisfaits de l’exercice de leurs droits, bien que des difficultés aient été rencontrées dans un certain nombre de cas. Dans l’ensemble, l’exercice nous a apporté des informations précieuses et a élargi notre compréhension du sujet. Les questions clés concernant l’accès aux données et les droits soulignent la nécessité d’une exploration et d’une analyse plus approfondies.

___________________________________________________________________________

Annexe 1 : Liste des plateformes par ordre alphabétique avec les articles RGPD pertinents qui ont été testés :

1. Airbnb – Transparence et effacement (articles 12-14 & 17)

2. BeReal – Accès (article 15)

3. Ebay – Transparence et effacement (articles 12-14 et 17)

4. Etsy – Accès (article 15)

5. FitBit – Effacement (article 17)

6. Google – Accès (article 15)

7. Instagram – Accès et effacement (articles 15 et 17)

8. LinkedIn – Transparence et portabilité (articles 12-14 et 20)

9. Meta/Facebook – Portabilité (article 20)

10. MTCH Technology Services Ltd (Hinge) – Portabilité (article 20)

11. Oracle – Portabilité (article 20)

12. Perplexité : accès et effacement (articles 15 et 17)

13. Sciences Po Moodle – Accès (Article 15)

14. Signal – Transparence, effacement et portabilité (articles 12-14, 17 et 20) 15. Télégramme – Effacement (article 17)

16. Tumblr – Directive sur la protection de la vie privée (article 6)

17. Lettre d’information VeraLab – Portabilité (article 20)

18. Vinted – Transparence et accès (articles 12-14 & 15)

19. X – Accès (article 15)

20. YouTube – Transparence et portabilité (articles 12-14 et 20)

en savoir plus

• La spécialité Digital, New Technology and Public Policy à l'École d'affaires publiques