RGPD, une escroquerie intellectuelle?
La LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles , est parue au Journal Officiel du 21 juin.
C'est une loi de transposition d'un règlement européen qui prend effet le lendemain de sa parution.
Mais alors: et le 25 mai dont on nous a rebattu les oreilles depuis six mois? la date à ne pas manquer, passée laquelle nous risquions des sanctions cataclysmiques si nous n'avions pas signé les devis des prestataires, embauchés les DPO, amorcé les changements de process ?
Nous aurait on un peu menti ? sur la date d'entrée en vigueur? et...sur le reste?
On peut légitimement se poser quelques questions , non pas sur le but louable poursuivi, mais sur le mécanisme lui même et sur sa dynamique.
Première question, la légitimité démocratique de ce beau dispositif de protection des libertés publiques. Qui dit loi de transposition en droit interne dit directive européenne. Un règlement est d'application directe et ne nécessite aucune transposition.
art 288 du traité sur le fonctionnement de l'union Européenne:
Le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre.
La directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens.
Alors pourquoi doit on transposer ce règlement-ci?
Et bien parce que la technostructure européenne ne disposait pas de la majorité politique ad hoc pour faire adopter par voie de directive de grands principes communs, a adapter nationalement ensuite, et qu'elle ne disposait pas non plus de la possibilité d'imposer par un règlement unique un système de protection commun aux 27 ordres juridiques nationaux.
On arrive donc a un règlement non applicable, qu'on doit transposer : les législateurs nationaux doivent préciser la volonté du technocrate européen. Très fort.... constitutionnellement très discutable....
Deuxième question, l'efficacité opérationnelle. Pour le citoyen français lambda, en quoi le nouveau dispositif RGPD est davantage protecteur de ses droits que le vieux dispositif CNIL- loi informatique et libertés?
les mécanismes mis en place sont vertueux mais lourds à gérer , bien au delà des possibilités administratives et financières des TPE/PME : elles n'y arriveront pas, et d'ailleurs il est probable qu'on ne leur demandera que de justifier qu'elles ont commencé a répertorier leurs traitements numériques et a recueillir l'accord des personnes concernées par les données qu'elles collectent.
Les entreprises plus importantes , qui sont les cibles naturelles des contrôleurs et des réclamants (assistés de conseils avisés) , ne pourront mettre en place un process unique pour la zone Europe et devront gérer autant de process qu'il y aura de systèmes nationaux transposés.
Et les véritables prédateurs des droits individuels, croiseurs de fichiers et vendeurs de données, c'est à dire les GAFA, opèrent de lieux non soumis au règlement ou aux lois nationales européennes, gèrent des données que les utilisateurs leur cèdent volontairement avec enthousiasme, et sont totalement insensibles aux menaces de sanctions administratives et financières d'Etats auxquels de toute façon elles ont décidé de ne pas payer d’impôt....
Donc: tout ça pourquoi, tout ça pour qui?