Près de deux ans après son entrée en vigueur dans l’UE, le modèle européen de protection des données inspire les législateurs du monde entier mais reste insuffisamment appliqué en Europe selon des associations. «2020 sera une année extraordinaire pour la protection des données», s’enthousiasme Trevor Hughes, le président de l’IAPP. Avec désormais 52.000 membres, cette association internationale qui regroupe les professionnels de la vie privée a doublé de taille en deux ans et demi, et profite du développement des réglementations. Entré en vigueur en mai 2018 dans l’Union européenne puis étendu en juillet de la même année à l’Espace économique européen (qui comprend l’Islande, la Norvège et le Liechtenstein), le Règlement général sur la protection des données (RGPD) est devenu «une norme mondiale», explique M. Hughes. Extra-territorial, le règlement encadre le niveau de protection et le traitement des données personnelles par les administrations, entreprises et associations européennes ou visant le marché européen. Il garantit de nouveaux droits aux individus dont le droit à l’effacement ou à la portabilité des données. Il sert aussi de mètre étalon pour valider le niveau de protection des autres pays, ce qui permet d’autoriser le transfert de données personnelles de l’Europe vers ces territoires sans autorisation spécifique. Enfin, les principes du RGPD servent de socle aux nouvelles régulations qui émergent ailleurs dans le monde. En janvier 2020, le «California Consumer Privacy Act» (CCPA) est notamment entré en vigueur dans le berceau des géants de la tech, les plus gloutons envers les données personnelles de leurs utilisateurs. Comme le RGPD, cette loi doit garantir aux Californiens certains droits sur leurs données (comment elles sont collectées et utilisées, à des fins commerciales ou non). En revanche, elle ne vise que les sociétés commerciales aux revenus supérieurs à 25 millions de dollars et crée un cadre permettant de vendre ses données personnelles, alors que l’Europe considère celles-ci comme «un attribut de la personnalité» par essence incessible, explique Sylvain Staub, fondateur d’une société d’aide à la mise en conformité avec le RGPD. Aux Etats-Unis, une dizaine d’Etats ont pris ou sont sur le point de prendre des dispositions protectrices, ce qui augmente «les chances de voir une loi fédérale émerger rapidement», veut croire Trevor Hughes. «La question n’est plus de savoir si les Etats-Unis vont se doter d’une telle loi, mais quand», dit-il, assurant que les divergences politiques sur le sujet ne portent plus que sur «quelques détails». Au Canada, la réglementation est censée évoluer cette année. Au Brésil, une Loi générale de protection des données personnelles (LGPD) doit entrer au vigueur en août. En Inde, le gouvernement a présenté en décembre une 1ère version d’une loi censée donner plus de contrôle aux 1,3 milliard d’habitants sur l’usage de leurs données. En Chine, le gouvernement a également annoncé pour 2020 des évolutions de la réglementation sur l’usage des données, motivé notamment par des impératifs de cybersécurité, et malgré les doutes d’experts sur sa capacité à respecter lui-même le droit à la vie privée de ses citoyens. Selon le site économique Mlex, plus de 120 pays ont désormais une loi nationale de protection des données personnelles.Toutefois, «il ne faut pas exagérer les vertus du RGPD», met en garde Arthur Messaud, juriste auprès de l’association de défense des internautes La Quadrature du net: le règlement reste «appliqué de façon extrêmement lâche» en Europe. Le total des amendes connues infligées par les pays européens au nom du RGPD depuis son entrée en vigueur s’élevait début janvier à un peu plus de 114 millions d’euros, «ce qui est assez faible étant donné que les régulateurs ont le pouvoir de distribuer des amendes allant jusqu’à 4% du c.a.», selon un rapport du cabinet DLA Piper.
