RGPD : est-ce que ça vaut la peine ? Comment le coût et les efforts nécessaires à la mise en œuvre du RGPD sont perçus par des travailleurs

Qui ont expérimenté la réglementation en tant que citoyens

Des chercheurs ont étudié comment le coût et les efforts nécessaires à la mise en œuvre du RGPD sont perçus par les travailleurs qui ont également connu les avantages de la réglementation en tant que citoyens. Est-ce que cela en vaut la peine ?

Le règlement général sur la protection des données (RGPD) reste la référence en matière de réglementation sur la protection de la vie privée et la sécurité. Dans une étude en plusieurs étapes, ils ont sondé 273 puis 102 individus qui sont restés travailler dans les mêmes entreprises avant, pendant et après la mise en œuvre du RGPD. L'enquête révèle que les participants reconnaissent leurs droits lorsqu'ils y sont invités, mais qu'ils en savent peu sur leur régulateur. Ils ont observé des changements concrets dans les pratiques relatives aux données sur leur lieu de travail et apprécient les compromis. Ils sont rassurés par le fait que leurs données personnelles sont traitées avec autant de soin que les données des clients de leur employeur.

De leurs côté, les employeurs qui se conforment au RGPD et l'exécutent considèrent qu'il est positif pour leur entreprise, positif pour la vie privée et qu'il ne s'agit pas d'une réglementation inutile et bureaucratique. C'est rare, car cela contredit le discours négatif habituel sur la réglementation. Les décideurs politiques pourraient souhaiter s'appuyer sur ce soutien public tant qu'il dure et prendre en compte les premiers retours d'un double groupe professionnel-consommateur similaire au fur et à mesure de l'évolution du RGPD.


RGPD : Perceptions des travailleurs qui ont vécu sa mise en œuvre

Les personnes qui étaient employées avant mai 2018 et qui sont toujours employées par la même organisation auront expérimenté l'impact du RGPD sur leur lieu de travail de première main. Elles le mettent en œuvre en tant qu'employés et en bénéficient en tant que consommateurs. La Commission européenne (CE) et des cabinets de services professionnels ont enquêté sur la connaissance qu'ont les consommateurs de leurs droits et les entreprises de leurs obligations. Dans le monde universitaire, des études sur la réactance et des études comparatives sur la sensibilisation à travers l'Europe ont été réalisées.

Les chercheurs déclarent sur l'étude :

Pour exercer leurs droits, les consommateurs doivent connaître, dans une certaine mesure, l'identité, le rôle et les pouvoirs de l'autorité de régulation. La Commission européenne et certaines autorités de protection des données ont mené des enquêtes sur la sensibilisation et la confiance des consommateurs, mais les chercheurs n'ont trouvé que peu d'éléments attestant de campagnes publicitaires systématiques.

L'étude a vérifié si les citoyens informés savent qui est leur régulateur et ce qu'ils attendent de lui. La majeure partie de la couverture médiatique du RGPD, axée sur les entreprises, se concentre sur les violations de données et les amendes des régulateurs. Elle met l'accent sur les effets dissuasifs des sanctions prévues par le RGPD au détriment de toute incitation au changement ou à la hausse pour les entreprises.


Les chercheurs commentent :

Cette recherche a examiné la perception du RGPD par les personnes informées. Cet aspect est important, car il permet d'évaluer l'adhésion du public et d'apprendre ce qui fonctionne lorsqu'on envisage de nouvelles réglementations en matière de protection de la vie privée. Les résultats permettent de dégager plusieurs conclusions.

Sensibilisation et connaissance élevées des consommateurs à l'égard du RGPD

Les résultats révèlent une forte sensibilisation au RGPD parmi les participants, 93 % d'entre eux l'ayant reconnu dans l'enquête de la phase #2, ce qui représente une nette amélioration par rapport aux précédentes enquêtes de l'UE. Ces résultats correspondent à la littérature selon laquelle les gens apprennent le RGPD par les nouvelles, la formation de l'employeur et les avis de consentement aux cookies. Les départements tels que les RH, l'informatique, le marketing et le service juridique sont plus sensibilisés que les autres, peut-être en raison de l'impact plus important sur leur travail.

Bien que les participants ne soient pas spontanément confiants quant à leurs droits en matière de RGPD, ils reconnaissent les droits des consommateurs lorsqu'on leur demande. Ils comprennent notamment le droit d'être informé et le droit de demander des copies des données. Ils sont moins confiants lorsqu'il s'agit de reconnaître des droits inventés de toutes pièces - enregistrant des scores d'incertitude élevés - mais il s'agit probablement de la bonne réaction. De même, bien que les participants ne soient pas spontanément confiants quant aux obligations de conformité au RGPD de leur employeur, ils ont obtenu des scores élevés dans l'ensemble, à l'exception de l'exemption relative à la sécurité nationale, qui n'est guère connue de tous.


Les répondants n'avaient pas d'opinion arrêtée

L'enchaînement des questions a été conçu pour éviter tout biais avant de poser la question centrale de la recherche : "Le RGPD en vaut-il la peine ?" Au départ, les répondants étaient dans le flou en ce qui concerne le RGPD et son impact sur leur travail. Cependant, une fois qu'ils ont été invités à répondre à des questions spécifiques sur le RGPD, le régulateur et les répercussions observées au travail, ils ont terminé l'enquête avec une évaluation positive du RGPD.

On peut supposer que les participants peuvent s'en tenir à des sentiments instinctifs imprécis s'ils ne sont pas invités à examiner les avantages et les inconvénients spécifiques du RGPD. Les futures enquêtes sur la protection des données pourraient améliorer la qualité des réponses en donnant aux participants l'espace nécessaire pour développer une opinion.

Le RGPD a entraîné des changements

Les résultats de l'enquête montrent que les gens ont constaté des changements au travail. Cela montre que le RGPD fonctionne. On peut être sûrs que les réponses sont "solides" car elles sont très similaires à celles qu'ils ont données aux mêmes questions deux mois auparavant lors de la phase 2 du projet pilote. En particulier, ils ont observé que les données à caractère personnel sont traitées avec plus de soin et ils ont reçu des formations régulières sur le risque d'amendes en cas d'utilisation abusive ou de violation des données. De manière plus générale, ils sont plus d'accord que de désaccord avec tous les changements observés. Le changement qui a reçu le score d'incertitude le plus élevé est "Mon entreprise collecte moins de données personnelles qu'auparavant", mais même dans ce cas, les personnes sont plus nombreuses à être d'accord qu'à être en désaccord.

Les gens reconnaissent les avantages (amélioration de la sécurité des données) et les inconvénients (bureaucratie, temps, coût) de ces changements induits par le RGPD pour leurs employeurs et pour eux personnellement. Ce dernier point concernant la cybersécurité correspond à des recherches antérieures. Toutefois, ces résultats apportent une contribution originale à la manière dont les participants évaluent cette question. Pour leur employeur, les participants pensent qu'une meilleure sécurité de l'information signifie moins de risques d'amendes. On peut supposer qu'ils interprètent cela comme une meilleure sécurité de l'emploi pour eux-mêmes. Pour l'employé, une meilleure sécurité de l'information lui donne l'impression que ses propres données sont traitées avec plus de soin par son propre employeur. Les chercheurs pensent qu'on peut projeter cette attente sur d'autres entreprises.


Amélioration de la perception de la protection de la vie privée

Les résultats montrent que les gens estiment que leur vie privée est meilleure depuis l'introduction du RGPD en 2018. Il s'agit d'un résultat important et positif, car les enquêtes empiriques comparatives sont rares. Les enquêtes de l'ICO portent sur les changements annuels des scores de confiance et de confiance plutôt que sur la vie privée en tant que telle. D'autres recherches sur la perception portent sur le contrôle, le choix et les perceptions du risque.

Le profil de l'autorité de régulation n'a pas forcément d'importance

Les résultats montrent que les gens ne connaissent pas très bien l'ICO en tant que consommateurs ou en tant qu'employés. Son nom n'est pas très connu. Cela dit, la notoriété de l'ICO s'est améliorée depuis l'enquête Eurobaromètre de l'UE en 2019. À l'époque, seuls 21 % des Britanniques connaissaient l'identité de l'ICO, alors qu'ils étaient 38 % à la reconnaître lors de la phase 2. Les gens pensent que son rôle est double - contrôler la conformité, y compris la sécurité des données et l'utilisation abusive des données, et infliger des amendes. Cela correspond à certains énoncés de mission de l'ICO.

Les gens considèrent que l'ICO est davantage tourné vers l'entreprise et moins vers le consommateur. Cela n'a peut-être pas d'importance puisque l'ICO atteint ses objectifs en effectuant des contrôles par l'intermédiaire des entreprises. Si les personnes qui comptent, c'est-à-dire les DPD et les cadres supérieurs, plutôt que les employés ordinaires, sont au courant de l'existence de l'ICO, cela n'entravera peut-être pas son efficacité.

Régulateur = exécutant

Les attentes des citoyens en matière d'application de la loi sont complexes. Contrairement au spectre de l'exécutant et du conseiller décrit dans l'analyse documentaire, la population générale attend fermement de son régulateur qu'il soit un défenseur agressif de ses droits, axé sur la conformité, plutôt qu'un conseiller, axé sur le conseil, pour elle et son employeur. Ils considèrent que le régulateur est là pour punir et infliger des amendes aux entreprises qui ne respectent pas les règles. Cependant, la moitié d'entre eux ne se souviennent pas d'une entreprise ayant été condamnée à une amende. La moitié d'entre eux ne se souvient pas des noms des coupables.

Quelle est donc l'importance réelle des amendes dans leur perception de l'autorité de régulation et de la réglementation ? L'analyse de régression suggère que les gens sont plus susceptibles de croire que les entreprises ont peur des amendes du RGPD s'ils estiment que la protection de la vie privée s'est améliorée parce qu'ils ont observé des changements chez leur propre employeur et qu'ils sont conscients des obligations de conformité des entreprises.


Le RGPD en vaut la peine si...

L'analyse de régression suggère que les modèles mentaux suivants sont en jeu : Les gens pensent que le RGPD en vaut la peine parce qu'ils estiment que leur vie privée est meilleure depuis l'introduction du RGPD. Les gens sont plus susceptibles de dire cela s'ils sont sûrs de connaître leurs droits en tant que consommateurs, s'ils connaissent les pouvoirs de l'autorité de régulation et s'ils ont observé directement le mélange de changements positifs et négatifs au travail.

Les gens sont plus susceptibles de penser que le RGPD est bon pour leur entreprise et pas trop de tracas s'ils ont vu plus de changements positifs et moins de changements négatifs à l'œuvre et, curieusement, ne sont pas trop au courant du rôle du régulateur et des obligations de conformité. Il s'agit en quelque sorte d'une situation "boucles d'or" : ils voient plus de changements positifs que négatifs et ne considèrent pas le régulateur comme trop puissant ou trop exigeant.

Implications de l'étude

Les chercheurs examinent les implications de ces conclusions aux niveaux théorique, managérial et des décideurs politiques/régulateurs :