En effet, le texte en lui-même peut laisser place à l’interprétation, indiquant qu’une entreprise est concernée par ce texte dès lors « qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens » (Source : Cnil.fr)
Le texte ne précisant pas ce qui définit une « activité ciblant les résidents européens », les entreprises siégeant en dehors des frontières européennes font néanmoins généralement le choix de la prudence dans l’attente d’estimer la réalité du risque…
1. No data, no content : La contre-attaque venue des US
Au lendemain de l’entrée en vigueur du RGPD, plusieurs sites de médias américains sont devenus inaccessibles pour les internautes européens, à l’exemple du Los Angeles Times ou du Chicago Tribune.
Les sites affichaient un message dédié informant que « Le site est dorénavant indisponible dans les pays européens ».
D’autres acteurs ont choisi de développer des versions de sites dédiés à l’Europe, soit en offrant une expérience dégradée (Le site de NPR, radio publique americaine a notamment choisi cette option) ou en proposant une version payante et débarrassée des publicités (Washington Post).
Néanmoins, la plupart des sites américains optent pour une solution moins drastique, en laissant le choix à l’utilisateur d’accepter la présence de cookies en début de navigation sur la page … ou de quitter le site.
Une chose est certaine, la question de la protection des données d’utilisateurs ne semble pas prioritaire outre Atlantique, et ce malgré les récents débâcles connus par des entreprises américaines (Facebook, Ashley Madison …)
Il est intéressant de prendre un instant afin d’évoquer le cas Facebook. Embourbé dans le scandale Cambridge Analytica, Mark Zuckerberg a annoncé en face de la commission européenne en Mai vouloir étendre les dispositions exigées par le RGPD à l’ensemble des utilisateurs Facebook dans le monde. Pour finalement se rétracter dès son retour sur le sol américain…
Similairement, plusieurs médias Indiens ont également choisi d’opter pour une cessation de leurs activités digitales en Europe.
2. La Chine et le Brésil dans les pas de l’UE
Du côté des bons élèves, la Chine s’est inspirée de l’Europe pour mettre en place son propre règlement de protection de données. Également entré en vigueur en Mai.
Très attendu par les activistes Chinois, la mise en place de ce règlement peut surprendre tant il est habituel de considérer le réseau internet en Chine comme une zone de non droit en termes de protection de données.
Cela est également étonnant, compte tenu du contexte politique de censure des contenus en Chine.
Cette particularité est due à la dualité de vision des consommateurs et internautes Chinois. Avec d’un côté, l’accès aux données accepté pour le gouvernement et le refus de partager des données perçues comme privées avec les entreprises.
Cependant, le règlement Chinois, contrairement au RGPD, n’est pas contraignant pour les entreprises. Il procure simplement une liste de recommandations que celles-ci sont libres de suivre, ou non.
Le brésil a lui aussi choisi d’entamer un projet de loi visant à encadrer la collecte, le traitement et l’utilisation des données privées d’utilisateurs. Les rumeurs suggérant même la mise en place d’une demande de consentement supplémentaire spécifique liée à l’utilisation de certaines données jugées comme trop sensibles pour un usage commercial : Noms, numéros de téléphones personnels et adresses personnelles.
Cette législation, également inspirée par le RGPD, encourage également à la création d’une Agence Nationale de Protection des Données (NDPA), similaire à la CNIL Française. Cette nouvelle loi concernerait également toute entreprise collectant ou utilisant les données des consommateurs Brésiliens, obligeant une nouvelle fois les entreprises opérant dans un contexte multinational tel Google ou Facebook à une mise en conformité locale.
3. Ils n'ont pas attendu le RGPD …
Si les entreprises européennes ont déjà eu du mal à s’adapter face au RGPD, certaines législations vont encore plus loin.
Le règlement de protection de données entré en vigueur en 2015 en Russie, implique des sanctions plus extrêmes. Toute entreprise violant les termes de la loi sera placée sur une liste noire par Roskomnadzor, le service fédéral de supervision des communications, des technologies de l'information et des médias de masse Russe.
Cette mise sur liste noire s’accompagne bien évidemment d’une amende conséquente, mais surtout de la fermeture des sites et services en ligne de l’entreprise.
Plusieurs autres pays en Asie, ont également précédé l’UE, à l’image de Singapour et des Philippines, qui ont d’ores et déjà mis en place une loi protégeant des données d’utilisateurs, ainsi qu’un service en charge de superviser la conformité des entreprises face à ces lois.
En pratique, quel risque réel pour les entreprises non-européennes ?
Il apparait finalement que la globalité des pays se dirigent vers des positions de plus en plus strictes concernant la gestion et la protection des données privées de leurs citoyens, et se dotent au passage d’un solide arsenal juridique le permettant.
Dans le cas des multinationales américaines, nous savons maintenant que la juridiction européenne a pour habitude d’en faire des exemples (en témoigne l’amende de 4,3Mds infligée à Google en Juillet pour abus de position dominante), celles-ci ont donc toutes les raisons de se mettre rapidement en conformité. Quant aux plus petites entreprises, la prudence est de mise en attendant les premiers cas qui feront jurisprudence et clarifieront le texte de loi.
De manière générale, il est intéressant d’observer que lorsqu’il s’agit de la protection de données clients, les modèles politiques des différents pays sont reflétés dans leur manière de traiter ladite donnée. Nous retrouvons donc un certain libéralisme qui se manifeste dans l’absence de lois protectrices par exemple aux USA, et un état plus protecteur en Europe. En regardant les obligations mises en place par la Russie ou Singapour, il est possible de se poser la question de la limite entre la volonté de protection du citoyen et … le protectionnisme d’état.