Le paradoxe du RGPD : renforcer le pouvoir des gouvernements au nom de la protection des données

Source Aube Digitale

Par Jade

Le Règlement général sur la protection des données (RGPD) de l’Union européenne, entré en vigueur en 2016, est l’un des dispositifs législatifs les plus détaillés dans le domaine de la protection des données. Cet article examine deux objections d’inspiration libertarienne à son approche. Premièrement, je soutiens que la notion de « droit » adoptée dans le GDPR est erronée. Deuxièmement, il montre que le GDPR ne protège pas les individus contre les gouvernements et les entreprises avides de données. En fin de compte, la législation sur la protection des données rend les personnes fortes en théorie mais faibles en pratique, tout en rendant les puissantes entités privées et publiques faibles en théorie mais fortes en pratique.

Le réductionnisme libertaire considère que les droits de l’homme sont des droits naturels et que les droits naturels sont des droits de propriété. Le principe de non-agression stipule que toute initiation à la violence, c’est-à-dire toute agression contre la propriété, est illégitime. Cependant, certains des droits fondamentaux protégés par le RGPD violent le principe de non-agression. Par exemple, le droit à l’oubli peut être invoqué par une personne pour obliger les entreprises technologiques, comme les fournisseurs de moteurs de recherche, à masquer les résultats la concernant. Le RGPD semble adopter le point de vue selon lequel les personnes concernées sont propriétaires de leurs données personnelles, mais ce point est discutable.

Par exemple, un utilisateur qui interagit avec le matériel et les logiciels de Google, produisant ainsi des données personnelles, n’est pas le seul propriétaire de ces données puisqu’il les a générées en utilisant l’infrastructure de Google. Il en va de même pour toutes les données personnelles produites par l’interaction avec d’autres personnes, que ce soit en ligne ou en personne. En outre, lorsque Google affiche des informations accessibles au public dans ses résultats de recherche, il ne viole guère les droits de propriété de quiconque.

D’un point de vue libertaire, il est exagéré d’affirmer que la loi devrait donner aux utilisateurs le « droit » de forcer les entreprises à supprimer les données les concernant, car cela implique que ces entreprises ne sont pas libres d’utiliser leur propriété (leur matériel et leurs logiciels) et les informations publiques comme elles l’entendent. Des objections similaires peuvent être formulées à l’encontre d’autres « droits ». Le fait qu’au moins certains des « droits fondamentaux » protégés par le RGPD ne puissent être réduits à des droits de propriété est très problématique : en l’absence de droits de propriété bien définis, le RGPD peut être utilisé pour légaliser l’agression contre des personnes et des entités.

L’inefficacité pratique du RGPD

Le RGPD vise à protéger les individus contre l’exploitation des données à caractère personnel, mais comme c’est souvent le cas avec les réglementations étatiques, il met les individus en danger et favorise les grandes entreprises et les gouvernements.

Tout d’abord, le RGPD considère la vie privée comme un droit fondamental, mais dans la plupart des cas, il doit être invoqué par les individus pour être appliqué. Par exemple, dans le cas du traitement automatisé des données, les utilisateurs ont le droit de demander une intervention humaine avant qu’une décision ne soit prise. Étant donné que la grande majorité des personnes n’ont ni le temps, ni les ressources, ni la capacité de s’engager activement auprès des dizaines ou centaines d’entités privées et publiques qui traitent leurs données, cela revient à donner carte blanche aux responsables du traitement et aux sous-traitants en ce qui concerne le traitement des données en général et le traitement automatisé en particulier.

Deuxièmement, le RGPD ne fait rien ou presque contre l’abus de pouvoir qui peut provenir de l’État. Les droits à la vie privée des utilisateurs peuvent être suspendus ou restreints chaque fois qu’une question de sécurité publique ou d’intérêt légitime se pose. Par exemple, le dix-neuvième considérant du RGPD stipule ce qui suit : « Le présent règlement devrait prévoir la possibilité pour les États membres de suspendre ou de restreindre le droit à la vie privée de leurs citoyens,

Le présent règlement devrait prévoir la possibilité pour les États membres, dans des conditions spécifiques, de restreindre par la loi certaines obligations et certains droits lorsqu’une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique pour sauvegarder des intérêts spécifiques importants, y compris la sécurité publique et la prévention, la recherche, la détection ou la poursuite d’infractions pénales ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. C’est le cas, par exemple, dans le cadre de la lutte contre le blanchiment d’argent ou des activités des laboratoires médico-légaux.

Ce type de clauses semble séduisant, mais il est truffé de mots vides de sens (« démocratie », « intérêts importants », « sécurité publique » et autres) que l’on retrouve à de multiples reprises dans le RGPD. D’une part, les institutions publiques sont censées protéger le droit à la vie privée des individus ; d’autre part, les institutions publiques peuvent s’exonérer des obligations prévues par le RGPD en raison de la  » sécurité nationale.  » Il est quelque peu ironique que les individus se voient attribuer tant de « droits » que les gouvernements et les entreprises sont légalement autorisés à y déroger de multiples façons. Les régulateurs ne protègent pas les données lorsqu’ils prévoient des exceptions et donnent à eux-mêmes et aux entreprises privées le feu vert pour ignorer la vie privée des individus : ils ne font que rendre ces « exceptions » légales.

Troisièmement, le RGPD est très clair lorsqu’il affirme que le devoir le plus important des responsables du traitement, des sous-traitants, des délégués à la protection des données, du Comité européen de protection des données et d’autres instances similaires est d’assurer la conformité avec le RGPD. Cependant, se conformer au RGPD est une chose, et protéger efficacement les données en est une autre.

Par exemple, Daniel Solove souligne que les exigences du RGPD en matière de consentement relèvent de la fiction parce que l’échelle du traitement des données est si écrasante que les individus ne peuvent absolument pas faire face à des centaines d’avis de confidentialité. En outre, les individus sont tenus de prendre des mesures actives afin d’invoquer leurs droits, ce que la plupart des gens ne feront pas et ne peuvent pas faire. En outre, le RGPD énonce de nombreux motifs légaux pour traiter les données personnelles qui ne nécessitent pas le consentement des individus, comme l’intérêt légitime ou la sécurité publique. En fin de compte, tant que les entités privées et publiques se conforment formellement au RGPD, elles n’ont pas besoin de se soucier outre mesure des préférences individuelles réelles et de la protection effective des données.

Le paradoxe du RGPD

Le RGPD est à la fois excessif et insuffisant. D’une part, il dépasse les limites parce que les individus se voient accorder des « droits » qui peuvent être utilisés pour violer la propriété d’autres entités ; le principal problème est que les droits de propriété des données à caractère personnel ne sont pas bien définis. D’autre part, le RGPD est en deçà de la réalité parce que les « droits à la vie privée » des individus, tels que définis par les régulateurs de l’Union européenne, sont une fiction à laquelle les entreprises et les institutions publiques peuvent légalement déroger pour toute une série de raisons.

Le paradoxe du RGPD est qu’il donne aux individus des droits qu’ils n’ont pas tout en sapant leur capacité pratique à protéger les données personnelles contre des tiers puissants. Inversement, les sous-traitants privés et publics se voient refuser des droits de propriété légitimes, mais sont protégés par la loi dans leur mission quotidienne qui consiste à tirer profit des données à caractère personnel. Sans une définition claire des droits de propriété et de la vie privée dans le domaine des données personnelles, les réglementations ne peuvent que générer de la confusion et des paradoxes.

Traduction du Mises Institute par Aube Digitale