RGPD et projet de règlement Eprivacy : des règlements «user-centric » ?
On a souvent raillé l’Union Européenne pour sa capacité à légiférer dans les plus petits détails et son don pour créer de la complexité là où il devait au contraire y avoir de la simplicité.
Ce reproche (sans doute exagéré), l’Europe en aurait-elle tenu compte dans ses nouveaux règlements et projets de règlements en matière de données à caractère personnel ? Indirectement… oui.
En effet, la lecture attentive du RGPD et du projet de règlement Eprivacy révèlent la volonté du législateur européen d’impliquer les entreprises dans un mouvement de simplification de l’accès à leurs droits par les personnes concernées. Comment permettre aux citoyens de connaître, comprendre et utiliser leurs droits ? En contraignant les entreprises à rendre simple, ce qui est juridiquement parfois complexe.
Comment « refiler le bébé » aux acteurs du monde de la data en somme…
Usercentrix par toutatis!
Ainsi le RGPD pose-t-il comme impératif le fait que les informations et communications concernant les données personnelles soient « aisément accessibles » et « faciles à comprendre » (Considérant n°39). On retrouve également une exigence équivalente pour la déclaration de consentement qui doit être « compréhensible » mais encore « aisément accessible » et toujours « formulée en des termes clairs et simples » (Considérant n°42), la transparence du RGPD allant jusqu’à insister sur des qualificatifs prônant la transparence (concision des textes, facilité à leur accès, simplicité de leur compréhension,… Considérant n°58, article 12.1).
Comment ne pas songer alors à l’expérience utilisateur souvent regroupée sous les abréviations « UX » (user experience) et « UI » (User Interface) qui traduisent – en simplifiant - l'expérience globale ressentie par l'utilisateur lors de l'utilisation d'une interface.
On a coutume de dire que ces deux notions renvoient à l’approche dite « user centric » ou centrée sur l'utilisateur en bon vieux français...
L'âme du RGPD c'est d'être "user centric"...
Le RGPD est-il alors un texte « user centric » ? Je dis oui. Et j’ose même affirmer que c’est l’âme de ce texte que d’être « user centric ». Sans doute dans l’avenir, le contentieux lié à ce texte viendra-t-il faire émerger des décisions peaufinant cet aspect absolument fondamental.
Le RGPD fait émerger des notions inusitées en droit tel que le Legal Design pas encore familier des juristes européens et notamment français. Ainsi le considérant n°60 et l’article 12.7 du règlement évoquent-t-ils le fait que l’information juridique puisse être, « illustrée à l'aide d'éléments visuels » lesquels pourraient être des « icônes normalisées » afin d'offrir « une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible ».
Le projet de règlement Eprivacy va jusqu'à évoquer l'expression "user-friendly"...
Mais le projet de règlement Eprivacy (disponible uniquement en anglais pour l’heure) va, lui, encore plus loin…
A trois reprises dans le projet, on évoque la notion anglo-saxone d’UX bien connue des développeurs en n’hésitant pas à utiliser l’expression : « user-friendly » (article 20aaaa, 20 aa et 21a).
On ne peut résister à l’envie de citer ce passage du projet d’article 20.a qui dit, à lui seul, tellement de choses… :
« End-users are often requested to provide consent to the storage and access to stored data in their terminal equipment, due to the ubiquitous use of tracking cookies and similar tracking technologies. As a result, end-users may be overloaded with requests to provide consent. This can lead to a situation where consent request information is no longer read and the protection offered by consent is undermined. Implementation of technical means in electronic communications software to provide specific and informed consent through transparent and user-friendly settings can be useful to address this issue (…) Providers of software are encouraged to include settings in their software which allows end- users, in a user friendly and transparent manner, to manage consent to the storage and access to stored data in their terminal equipment (…)".
(En français : « Les utilisateurs finaux sont souvent invités à donner leur consentement au stockage et à l'accès aux données stockées dans leur équipement terminal, en raison de l'utilisation omniprésente de cookies de suivi et de technologies de suivi similaires. Par conséquent, les utilisateurs finaux peuvent être surchargés de demandes de consentement. Cela peut conduire à une situation où les informations relatives aux demandes de consentement ne sont plus lues et où la protection offerte par le consentement est compromise. La mise en œuvre de moyens techniques dans les logiciels de communications électroniques pour fournir un consentement spécifique et éclairé par le biais de paramètres transparents et conviviaux, peut être utile pour résoudre ce problème. (…) Les éditeurs de logiciels sont encouragés à inclure dans leurs logiciels des paramètres permettant aux utilisateurs finaux, de manière conviviale et transparente, de gérer leur consentement au stockage et à l'accès aux données stockées dans leur équipement terminal (…) »).
Restera, restera pas?...
On ne peut pas faire l’économie de ces aspects quand on est débiteur d’informations juridiques vis-à-vis des citoyens. S’agissant du projet Eprivacy, il est sans doute encore trop tôt pour savoir si cette notion d’ "user-friendly » survivra aux débats.
Mais l’examen de son maintien ou de son retrait dans le texte final nous dira énormément de choses sur l’esprit même du texte voulu par le Parlement Européen… ou les lobbies qui gravitent autour de lui.