RGPD 7 ans après : sommes-nous vraiment plus protégés ?

La loi sur la vie privée la plus ambitieuse jamais rédigée

Quand le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018, il a été salué comme un tournant pour la vie privée numérique. L'UE avait créé le cadre de protection des données le plus complet au monde, avec des amendes sans précédent (jusqu'à 4% du chiffre d'affaires mondial), un droit à l'effacement, un droit à la portabilité, et l'exigence d'un consentement explicite avant tout traitement de données.

Sept ans plus tard, il est temps de demander honnêtement : le RGPD a-t-il fonctionné ?

La réponse est nuancée. Le RGPD a changé certaines choses significativement. Il en a laissé d'autres largement inchangées. Et dans certains domaines, il a été activement contourné — parfois par les entreprises qu'il était censé réguler, parfois par des défaillances d'application au sein de son propre système.

Ce que le RGPD a bien fait

• Sensibilisation : La bannière de consentement — aussi imparfaite soit-elle — a rendu des centaines de millions de personnes conscientes que la collecte de données se produit.
• Grosses amendes dissuasives : Meta a été condamné à 1,2 milliard d'euros en 2023 pour transfert de données d'utilisateurs européens vers des serveurs américains. Amazon a reçu une amende de 746 millions en 2021.
• Droit d'accès et d'effacement : Les résidents européens peuvent désormais demander leurs données à n'importe quelle entreprise et exiger leur suppression.
• Notification des violations : Les entreprises doivent notifier les régulateurs dans les 72 heures suivant une violation de données.
• Privacy by design : L'exigence de considérer la vie privée dès la conception a influencé la façon dont les logiciels sont construits.

Ce que le RGPD n'a pas réglé

Le théâtre du consentement

La bannière de consentement est devenue l'élément le plus détesté du web moderne. Et pour cause : la plupart des bannières sont conçues non pas pour obtenir un consentement véritable, mais pour le manufacturer. La recherche NOYB 2023 a révélé que 97% des bannières utilisent des dark patterns — cases pré-cochées, options de refus cachées, langage trompeur — pour orienter les utilisateurs vers "Tout accepter". La bannière existe pour créer une couverture juridique, pas pour donner aux utilisateurs un vrai choix.

Inégalité d'application

L'application du RGPD a été dramatiquement inégale. L'Irlande, où la plupart des grandes entreprises tech américaines ont leur siège européen, traite une part disproportionnée des plaintes RGPD. La DPC irlandaise a été critiquée pour une application lente qui bénéficie aux entreprises qu'elle régule. L'amende Meta 2023 a pris plus de cinq ans à aboutir après la plainte initiale.

Le problème RTB

Le Real-Time Bidding — mécanisme qui diffuse vos données à des centaines d'entreprises à chaque chargement de page — a été identifié comme une violation fondamentale du RGPD dès 2018. Fin 2026, le RTB fonctionne toujours à essentiellement la même échelle, avec les mêmes pratiques de partage de données.

L'écart entre droits et réalité

Le RGPD donne aux résidents européens des droits étendus : accès, effacement, portabilité, opposition, limitation. En théorie, vous pouvez contacter n'importe quelle entreprise, demander à connaître les données qu'elle détient sur vous, et exiger leur suppression. En pratique :

• Les entreprises retardent régulièrement les réponses au-delà du délai de 30 jours avec des conséquences minimales.
• Les réponses sont souvent incomplètes ou techniquement formatées pour décourager toute action.
• Les data brokers sont difficiles à identifier et à contacter.

Un sondage Eurobaromètre 2024 a révélé que seulement 17% des Européens se sentent maîtres de leurs données personnelles — en baisse par rapport à 24% en 2019.

La suite

• Règlement sur l'IA de l'UE (2024) : Traite le profilage basé sur l'IA et la prise de décision automatisée.
• Règlement ePrivacy : Remplacement longtemps retardé de la Directive Cookie, qui adresserait spécifiquement le RTB. Toujours pas adopté fin 2026.
• Digital Markets Act : Cible les gatekeepers comme Google et Meta, limitant la combinaison de données entre services.