Actu
La portabilité des données : le droit oublié du RGPD, le rapport qui dénonce les ratés du RGPD contre les GAFAM
janvier 2022 par Alias
Alias a analysé le respect du droit à la portabilité de 230 entreprises pendant 9 mois. Résultat : aucune ne respecte vraiment ce droit permettant la récupération et le transfert automatique de données d’un service à l’autre, alors présenté comme la mesure phare du RGPD. Pour la journée Européenne sur la protection des données du 28 janvier, Alias sort son rapport en version française.
Sur 230 plateformes, aucune ne respecte la portabilité au sens du RGPD
Le 8 décembre 2020, Emmanuel Macron disait dans un entretien sur l’état de la tech en Europe « Les Etats-Unis ont les GAFA, la Chine les BATX, et l’Europe le RGPD ». En effet, le Règlement Général sur la Protection des Données entré en vigueur le 25 mai 2018 entendait rebattre les cartes sur le marché du digital Européen, notamment par son obligation de respecter le droit à la portabilité des données qui permet à toute personne sur le territoire Européen de demander une copie de ses données dans un format utilisable par un autre programme, ainsi que le droit de les transférer à une plateforme concurrente de manière automatisée.
Ce droit était l’apport économique principal du RGPD en Europe. Mais, selon l’étude menée pendant 9 mois par Alias, aucune des 230 plateformes étudiées ne respecte ce droit dans le sens de la loi. La redistribution économique n’a donc pas lieu. Cela représente une énorme valeur : les données d’un utilisateur Facebook représentent jusqu’à 1300$. Un capital numérique personnel qui pourrait être redistribué par chaque utilisateur à d’autres plateformes.
Les 6 techniques des plateformes pour ne pas appliquer le droit à la portabilité
– Pour 90% des entreprises, la demande doit se faire manuellement (mail ou courrier) et doit être précise, ce qui est un travail laborieux et hors de portée de beaucoup d’utilisateurs.
– 58% des entreprises vous envoient les données au delà des 30 jours réglementaires ce qui atténue fortement leur valeur dans le temps.
– des raisons de sécurité sont invoquées pour ne pas transférer vos données à d’autres plateformes de votre choix, alors qu’elles le font avec leur propres partenaires (via des APIs)
– Le format réutilisable par une machine n’est pas respecté (alors que l’article le stipule), les utilisateurs reçoivent des données dans un format non-interopérable
– Les plateformes ne renvoient qu’une petite partie de vos données, car elles jouent sur la définition de “donnée fournie”. Elles ne renvoient que les données “tapées” par l’utilisateur et vos données passives (clicks, localisations, profilage etc) ne sont en général jamais incluses.
– Dans 8% des cas, les plateformes vous menacent de fermer votre compte
Sur plus d’1 milliard d’Euros d’amende, 0 euros pour le droit à la portabilité
La CNIL et les différentes CNIL Européennes ont infligé plus d’1 milliard d’euros d’amende pour non-respect du RGPD. Les plus grosses étant pour Amazon (746 millions) et Whatsapp (250 millions) en 2021, sur un total d’environ 1000 amendes depuis sa création. Mais aucune amende n’est recensée pour non-respect de l’article 20 dédié au droit à la portabilité, ce qui ne pousse aucune plateforme à respecter ce droit. Alors que les Etats-unis, pourtant en retard sur la réglementation, viennent de publier en 2021 l’ACCESS Act, une loi qui va beaucoup plus loin que le RGPD sur le droit à la portabilité, en obligeant l’interopérabilité et l’utilisation d’interfaces de programmations d’application standardisées (API). L’avance de l’Europe sur le droit des données personnelles s’amenuise.
