RGPD : bilan, effectivité et jurisprudence
Sur le bilan du RGPD, le corpus fait apparaître un socle de convergence assorti de clivages nets sur la marche à suivre.
Constats partagés. La plupart des intervenants reconnaissent au RGPD une efficacité normative réelle. Selon Marie-Laure Denis (Mme Marie-Laure Denis), présidente de la Cnil, il « constitue un outil de souveraineté normative par lui-même », qui a « exporté le modèle européen » et renforcé « l'hygiène des systèmes d'information ». Yann Lechelle (M. Yann Lechelle) partage ce constat d'efficacité : le RGPD « a été extraordinairement efficace pour exporter une valeur européenne […] jusqu'en Californie. Meta a dû s'adapter sous peine de perdre 4 % de son chiffre d'affaires ». Julien Rossi (Mme Nataliia Bielova & M. Julien Rossi) ajoute que le RGPD « fonctionnait de facto comme un étalon international, conférant aux entreprises européennes une présomption de conformité et, partant, un avantage compétitif » — retournant l'argument de la compétitivité contre la déréglementation. Même Thierry Breton (M. Thierry Breton) le juge « positif ».
Un désaccord central : simplifier ou renforcer ? Le clivage porte sur l'« omnibus numérique » et l'approche par les risques. Breton (M. Thierry Breton) estime l'application « trop lourde » et juge « bienvenu » un omnibus de simplification. À l'inverse, Max Schrems (M. Max Schrems) qualifie l'approche fondée sur l'analyse des risques d'« abdication du législateur » : laisser les entreprises fixer leurs propres règles revient à autoriser des « enfants dans un magasin de bonbon » à décider « combien de sucre il est souhaitable […] de consommer ». Il retourne l'argument pro-PME : le flou juridique profite « aux entreprises de la Big Tech », seules à disposer de « puissants cabinets d'avocats ». Denis (Mme Marie-Laure Denis) et une table ronde (Mme Nataliia Bielova & M. Julien Rossi) plaident de même pour ne pas « détricoter » le texte.
Effectivité en cause. Un second constat rassemble les critiques : le droit existant est mal appliqué. La table ronde de la Quadrature du Net (des associations sur le thème de la protection des données personnelle) pointe la « non-application par certains États membres, en particulier l'Irlande », dont l'autorité « apparaît notoirement incapable de faire face aux Big Tech ». Bastien Le Querrec illustre l'opacité procédurale — « nous n'avons donc pas accès à la sanction prononcée à la suite de notre propre plainte » — et cite l'annulation par la justice luxembourgeoise de l'amende de « plus de 740 millions d'euros » infligée à Amazon. Denis (Mme Marie-Laure Denis) défend à l'inverse la logique dissuasive des sanctions, qui « force les acteurs à changer réellement leurs pratiques au lieu de […] acheter leur non-conformité ».
Jurisprudence et définition des données. Schrems (M. Max Schrems) juge la redéfinition des données personnelles dans l'omnibus « mal rédigée et dangereuse », reposant sur une « surinterprétation abusive de l'arrêt SRB », et voit dans la CJUE « probablement notre seul espoir ». Rossi (Mme Nataliia Bielova & M. Julien Rossi) alerte sur l'exclusion des données pseudonymes : de simples points de géolocalisation rendent « aisé de reconstituer un fichier d'individus classés par religion » — un « anonymity washing ». Breton (M. Thierry Breton) rappelle enfin la portée du Cloud Act et de la section 702 du FISA, qui autorise depuis 2008 la surveillance américaine de tout non-citoyen. Face à l'affaiblissement du droit de l'UE, la table ronde des associations sur le thème de la protection des données personnelle propose de s'appuyer sur la Convention 108 du Conseil de l'Europe.
Qui en parle
- Marie-Laure Denis — Cnil (Mme Marie-Laure Denis) : le RGPD est un succès et un outil de souveraineté normative, à ne pas détricoter ; défense des sanctions dissuasives.
- Max Schrems — NOYB (M. Max Schrems) : critique de l'« approche par les risques » et de l'omnibus (abdication du législateur, capture par la Big Tech) ; la CJUE comme dernier rempart.
- Julien Rossi — université Paris 8 / Cémti (Mme Nataliia Bielova & M. Julien Rossi) : le RGPD comme étalon international et avantage compétitif ; danger de l'exclusion des données pseudonymes (« anonymity washing »).
- Bastien Le Querrec — La Quadrature du Net (des associations sur le thème de la protection des données personnelle) : ineffectivité du dispositif (Irlande, guichet unique, opacité procédurale, sanctions annulées) ; appliquer strictement plutôt qu'affaiblir.
- Yann Lechelle — probabl.ai / Eurostack (M. Yann Lechelle) : efficacité normative face aux géants (Meta), mais bilan économique jugé négatif pour les PME.
- Thierry Breton — ancien commissaire européen (M. Thierry Breton) : texte positif mais application trop lourde ; omnibus de simplification bienvenu ; alerte sur le FISA/section 702.
- Hela Ghariani (Mme Hela Ghariani) : la bascule souveraine ne déroge pas au cadre RGPD (filtre amont Cnil/Cesrees maintenu).