[Privacy Research Day] Les effets de la régulation

Après une introduction de la Présidente de la CNIL, le premier panel sur l’effectivité de la régulation sur la protection des données s’est ouvert.

Dans un premier temps, René Mahieu (Maître de conférence en droit, Open University Netherlands, Pays-Bas) a pu évoquer via l’un des résultats de sa thèse (intitulée « The right of Access to Personal Data in the EU »), l’histoire de cette régulation et, se focalisant sur l’exercice du droit d’accès, il a analysé l’efficacité et les limites des politiques répressives des DPAs (Autorités de protection des données). René Mahieu s’est en effet demandé comment les DPAs mobilisent leur pouvoir de sanction en général, et si ce pouvoir a des effets sur la mise en conformité des acteurs ciblés. Après avoir décrit le renforcement de ce pouvoir depuis les années 1970, René a exploré 20 ans de mise en œuvre de la protection des données par les DPAs, et en particulier la CNIL. Il montre que le nombre de plaintes augmente de façon exponentielle, tandis que le nombre de sanctions financières n’augmente pas à la même vitesse. Dans le même temps, ses recherches montrent que le niveau de mise en conformité des acteurs ciblés reste très bas. L’hypothèse de René Mahieu est alors qu’il y a un manque de répression, notamment via des sanctions financières. Le principe de dissuasion (« deterrence theory ») présent dans le RGPD ne peut être efficace que si la conformité est perçue par les organisations comme moins coûteuse que la non-conformité. Or la politique répressive de la plupart des autorités ne semble pas dissuasive. René Mahieu en a alors conclu à un cercle vicieux par le biais duquel un faible niveau de répression engendre un faible effet de dissuasion et donc une faible mise en conformité des acteurs, engendrant à son tour une augmentation des plaintes.

La deuxième intervenante, Yana Dimova (Doctorant en sécurité informatique, KU Leuven, Belgique), a ensuite présenté une étude longitudinale des évolutions des pratiques de Facebook en matière de cookies entre 2015 et 2022. Yana a d’abord brièvement rappelé la façon dont Facebook a régulièrement été au cœur de l’actualité sur la protection des données et souvent ciblé par les sanctions de plusieurs DPAs européennes. Son étude met en avant l’effet des actions des DPA (en particulier l’autorité belge) sur la collecte de cookies, notamment auprès d’usagers n’ayant pas de compte sur la plateforme. En s’inspirant des rapports produits par l’autorité belge, Yana et ses collègues ont mené 43 tests manuels et automatiques sur les pages de Facebook ainsi que sur des pages contenant des produits Facebook (Facebook social plugins et Facebook pixels). In fine, l’équipe de recherche parvient à montrer que la régulation a fait évoluer Facebook vers davantage de consentement explicite : les utilisateurs ont davantage de choix et le dépôt cookies n’est pas configuré par défaut ; les informations légales sont désormais présentées à l’utilisateur en amont de son choix d’accepter ou refuser les cookies. Toutefois, les internautes sont toujours fortement incités à accepter les cookies, que ce soit par des effets d’interface ou de choix sémantiques réalisés par Facebook. De même, certains produits Facebook logés sur des pages partenaires renvoient automatiquement et intentionnellement des cookies à Facebook s’agissant de personnes ne disposant pourtant pas de compte Facebook. Yana a ainsi conclu que la régulation avait des effets tardifs mais clairs sur la mise en conformité de Facebook, constituant une évolution positive pour la vie privée des utilisateurs. Toutefois, les autorités doivent selon elles continuer leur travail pour parvenir à une mise en conformité plus importante de cet acteur.

Enfin, le troisième intervenant, Karel Kubiceck (Doctorant en sécurité informatique, ETH Zurich, Suisse), nous a présenté un travail empirique dans lequel il étudie les codes open source et montre comment les développeurs de logiciels libres anticipent les régulations et réagissent aux décisions. Selon Karel, la littérature scientifique reste ambiguë dans la répartition entre ce qui relève de l’intentionnalité et ce qui relève de la négligence de la part d’organisations non conformes, ou concernant ce qui relève de défauts d’interprétation des contraintes juridiques par les équipes techniques des organisations. Le projet de son travail était donc de parvenir à saisir l’intention des développeurs au moment où ils procèdent à des modifications. Le cas de l’analyse du code open source est à cet égard très utile car il permet de se référer aux modifications précises du code, et de les associer aux commentaires qui sont publiés pour chaque modification. Karel a ainsi utilisé du machine learning pour labelliser toutes les modifications de code ayant eu lieu sur Github entre 2016 et 2022, afin de détecter l’ensemble des modifications contenant le terme « GDPR » (RGPD), et filtrer environ 20 000 modifications associé à de la mise en conformité RGPD. Karel et ses collègues ont pu constater que les parties les plus visibles de la régulation donnent très souvent lieu à des modifications du code, contre des dimensions plus discrètes du respect de la protection des données. Karel a ainsi suggéré aux régulateurs de s’attarder sur la mise en conformité d’aspects moins visibles de la protection des données (par exemple le transfert de données entre l’organisation et des tierces parties). Sur un plan temporel, Karel a noté également que le pic de modifications associées à la mise en conformité a lieu en 2018, au moment de l’entrée en vigueur du RGPD. Les organisations ont la plupart du temps attendu l’entrée en vigueur pour mettre à jour leur code, sans mettre à profit le délai de 2 ans qui leur a été offert dès 2016, ce qui peut interroger sur l’intérêt de ces longues périodes de transition avant l’entrée en vigueur d’un texte. De même, les changements ont régulièrement été couplés avec la loi californienne (CCPA), donnant ainsi à voir des modifications du code faites pour respecter les deux textes en même temps, diluant le poids spécifique du « Brussels effect » dans la régulation. Github et la publication de code open source en général apparaissent en conclusion comme un terrain d’enquête très fertile pour observer les intentions de la mise en conformité.

Les discussions concluant la table ronde ont ensuite porté sur les prochaines étapes et actions qui doivent être entreprises par les DPAs, mentionnant la nécessité de maintenir l’attention sur la mise en œuvre du RGPD, malgré l’avènement de nouveaux textes apportant de nouvelles compétences aux DPAs. De même, en se concentrant autant sur les cookies, les dimensions du RGPD les plus dangereuses et moins visibles aux utilisateurs sont potentiellement délaissées selon les intervenant.es. Enfin, il est apparu qu’il fallait parvenir à renforcer et mieux équiper les DPAs (indicateurs de performance, preuves scientifiques, accélération des sanctions), mais également faire en sorte que les organisations privées disposent d’outils (notamment à destination des développeurs) qui leur permettent de produire des plateformes respectant la vie privée by design.