Trouver le juste équilibre entre la protection des données et la concurrence
PROTECTION DES DONNÉES
Il est possible d’élaborer des dispositions relatives à la protection des données qui visent à limiter les effets sur la concurrence et l’innovation tout en respectant l’objectif premier de la protection des droits individuels sur les données.
essentielles pour préserver le bien-être des personnes et instaurer la confiance. Cela étant, le respect des obligations en matière de protection des données peut également augmenter les frais d’établissement et de fonctionnement des entreprises, en particulier des petites entreprises1. Les politiques de protection des données qui découragent le partage de données personnelles ou limitent l’utilisation des données personnelles qu’une entreprise n’a pas collectées elle-même peuvent renforcer les positions de certaines entreprises et réduire les possibilités d’innovation2. Cela ne veut pas pour autant dire que les préoccupations relatives à la concurrence devraient occulter la nécessité de protéger les droits des personnes sur leurs données, mais bien qu’il pourrait être intéressant de revoir la conception des régimes de protection des données de manière à limiter les effets négatifs sur la concurrence tout en continuant de garantir le respect des droits.
Il ressort de l’étude de 27 000 sites web populaires que le règlement général sur la protection des données (RGPD) a eu pour conséquence imprévue d’accroître la concentration dans le secteur des technologies web — les petits fournisseurs ayant perdu la plus grande part de marché. L’application du RGPD a également eu pour effet de concentrer davantage la collecte de données personnelles3. Dans cette configuration, la différentiation du traitement réglementaire entre les entreprises en fonction de leur taille ou de leur ancienneté pourrait être une option à envisager, à condition de prendre des mesures pour préserver les droits des personnes sur leurs données4.
En revanche, il est de plus en plus communément admis que la protection des données qu’offre une entreprise à ses utilisateurs revêt de l’importance pour les consommateurs et qu’elle pourrait être considérée comme un résultat de la concurrence non lié aux prix. Il devient important, pour réaliser une analyse précise des dynamiques d’un marché, de comprendre la mesure dans laquelle les entreprises offrent volontairement une protection renforcée des données pour être concurrentielles.
Dans la première affaire d’abus de position dominante liée spécifiquement à la protection des données qui a opposé l’autorité allemande de la concurrence à Facebook en 2019, l’une des questions soulevées lors de la procédure en appel a été la volonté des utilisateurs de payer pour une protection renforcée de leurs données5. Toutefois, les éléments factuels relatifs à la valeur que les personnes attachent à la protection des données dans les différents marchés ne sont pas concluants. Certains éléments indiquent que les préférences exprimées par les personnes quant à la protection de leurs données ne correspondent souvent pas aux choix qu’ils opèrent dans la pratique6. Plutôt que de suggérer que les utilisateurs accorderaient moins de valeur à la protection de leur vie privée, la conclusion à en tirer est peut-être que les personnes concernées (et même l’entreprise qui collecte les données) ne comprennent pas totalement la manière dont les données recueillies pourront être utilisées par la suite, au vu de la complexité des grands ensembles de données et des politiques de protection des données appliquées par les entreprises.
En outre, les conséquences liées au partage des données peuvent encore compliquer les choses. Si une plateforme dispose de suffisamment de données sur un groupe d’utilisateurs pour tirer des conclusions sur des personnes qui n’ont pas encore communiqué de données, ces dernières peuvent avoir l’impression d’avoir déjà perdu le pouvoir de se protéger et dès lors fournir leurs données en dépit de leurs préoccupations concernant la sécurité. Ce type de problèmes peut être exacerbé dans les pays à faible revenu et à revenu intermédiaire en raison de taux d’alphabétisation plus bas, de la méconnaissance des modèles d’entreprise numérique et du nombre plus limité d’entreprises.
Il n’existe que peu d’éléments factuels sur les préférences en matière de protection des données dans les pays à plus faible revenu. Selon l’indice de la confiance en matière de protection des données (Data Confidence Index), les préoccupations relatives à l’incidence d’Internet sur la protection de la vie privée semblent les plus fortes en Afrique, en Asie et au Moyen-Orient, tandis que les répondants situés en Amérique latine se disent généralement plus préoccupés par la manière dont les entreprises utilisent leurs données personnelles7. Des expériences menées en Inde et au Kenya ont révélé que les consommateurs préfèrent les produits d’emprunt numériques assortis de plus de garanties en matière de confidentialité des données8. Néanmoins, les groupes à faible revenu plus sensibles à la question des coûts pourraient être plus disposés à renoncer à leurs données pour obtenir des produits ou des services « gratuits ».
De manière générale, il est possible d’améliorer la coopération entre les autorités responsables de la concurrence et celles chargées de la protection des données. La collaboration entre les organismes de réglementation peut aider les responsables politiques à comprendre quel type de politiques de protection des données ex ante peut permettre de limiter les distorsions de la concurrence, comment élaborer des mesures correctives adéquates en matière de concurrence axées sur les données tout en assurant la protection des données, et à quelles affaires d’entente il convient de donner suite lorsqu’il est possible que l’affaire soit liée à une collecte excessive de données ou à l’exploitation de consommateurs.
- Gal et Aviv (2020).
- Il s’agit, par exemple, d’exiger des entreprises qu’elles contrôlent la conformité avec la politique de protection des données des entreprises avec lesquelles elles partagent des données ou de limiter l’utilisation des données aux fins pour lesquelles elles ont été collectées à l’origine.
- Batikas et al. (2020). Cette concentration accrue s’explique probablement par l’entrée en vigueur du RGPD, qui a poussé les sites web (y compris ceux dont les utilisateurs sont des citoyens habitant en dehors de l’Union européenne) à diminuer leurs liens avec les fournisseurs de technologies, en particulier pour ce qui est des demandes associées à des données personnelles, afin de réduire les risques de non-conformité. Voir Johnson, Shriver et Goldberg (2021).
- Par exemple, le RGPD prévoit un nombre limité de dérogations en ce qui concerne la tenue de registres pour les entreprises de moins de 250 salariés (EU 2018). De même, aux États-Unis, la règle relative à la vie privée de la loi sur la protection des informations personnelles sur la santé et la responsabilité (Health Information Privacy and Accountability Act) ne s’applique pas aux couvertures santé qui comptent moins de 50 participants et sont gérées par un seul employeur. Voir Summary of the HIPAA Privacy Rule (tableau de bord), Health Information Privacy, US Department of Health and Human Services, Washington DC.
- Colangelo (2019).
- Ces éléments proviennent toutefois d’expériences réalisées avec des types précis de données personnelles dans certains contextes, ce qui rend difficile toute extrapolation dans d’autres configurations. Voir Gerber, Gerber et Volkamer (2018) et OECD (2020).
- Le Data Confidence Index se fonde sur les préoccupations relatives à la protection de la vie privée exprimées par 391 130 répondants âgés de 16 à 64 ans lors de différentes phases de recherches effectuées par GlobalWebIndex dans 41 pays du 1er trimestre au 4e trimestre de 2018 (Datum Future et GWI 2019). L’échantillon de répondants est représentatif des populations en ligne des marchés couverts.
- Fernandez Vidal et Medine (2019).
- Batikas, Michail, Stefan Bechtold, Tobias Kretschmer, and Christian Peukert. 2020. “European Privacy Law and Global Markets for Data.” CEPR Discussion Paper 14475, Centre for Economic Policy Research, London, March 2020.
- Colangelo, Giuseppe. 2019. “Facebook and Bundeskartellamt’s Winter of Discontent.” CPI EU News (blog), September 23, 2019. Competition Policy International, eSapience Center for Competition Policy, Cambridge, MA.
- Datum Future and GWI (GlobalWebIndex). 2019. “The Data Confidence Index.” Report, Datum Future, London.
- EU (European Union). 2018. “Recital 13: Taking Account of Micro, Small, and Medium-Sized Enterprises.” GDPR.EU, November 14, 2018. Proton Technologies, Calgary, Canada.
- Fernandez Vidal, Maria, and David Medine. 2019. “Is Data Privacy Good for Business?” CGAP Focus Note, Consultative Group to Assist the Poor, Washington, DC, December 2019.
- Gal, Michal S., and Oshrit Aviv. 2020. “The Competitive Effects of the GDPR.” Journal of Competition Law and Economics 16 (3): 349–91.
- Gerber, Nina, Paul Gerber, and Melanie Volkamer. 2018. “Explaining the Privacy Paradox: A Systematic Review of Literature Investigating Privacy Attitude and Behavior.” Computers and Security 77 (August): 226–61.
- Johnson, Garrett A., Scott K. Shriver, and Samuel G. Goldberg. 2021. “Privacy and Market Concentration: Intended and Unintended Consequences of the GDPR.” Paper presented at the American Economic Association and Allied Social Science Associations 2021 Virtual Annual Meeting, January 3–5, 2021.
- OECD (Organisation for Economic Co-operation and Development). 2020. “Consumer Data Rights and Competition: Background Note.” Document DAF/COMP(2020)1, Competition Committee, Directorate for Financial and Enterprise Affairs, OECD, Paris, April 29, 2020.