ACTUALITÉ

RGPD : un an après, où en sommes-nous ? - Entretien avec Frédéric Sardain, associé du cabinet Jeantet

RGPD : un an après, où en sommes-nous ? - Entretien avec Frédéric Sardain, associé du cabinet Jeantet
Publié le 20/06/2019 à 17:39

Le règlement européen 2016/679 sur la protection des données  – venu enrichir la loi Informatique et Libertés de 1978 – est entré en vigueur le 25 mai 2018. Un an après, quel bilan pouvons-nous en tirer ? Entretien avec Frédéric Sardain, associé du cabinet Jeantet, en charge du pôle IP, Tech & Data.



 


Pouvez-vous revenir sur l’entrée en vigueur du Règlement général sur la protection des données (RGPD) ?


Le RGPD est entré en vigueur le 25 mai 2018. Il avait vocation à harmoniser le droit des données personnelles au sein de l’Union ; mais quasiment chaque État membre a profité de la cinquantaine de dispositions lui permettant d’adopter des mesures nationales particulières...
De sorte qu’il est illusoire, aujourd’hui, de parler d’une harmonisation européenne totale. S’il existe bien un socle européen commun, des particularités subsistent dans chaque État (s’agissant, par exemple, du numéro d’identification national, du droit à l’oubli ou encore des traitements à des fins journalistiques). En France, des textes complémentaires, destinés à articuler le RGPD avec le droit national et à toiletter celui-ci, ont été adoptés depuis : la loi n° 2018-493 du 20 juin 2018, l’ordonnance n° 2018-1125 du 12 décembre 2018 et, très récemment, le décret n° 2019-536 du 29 mai 2019.


 


Que modifie-t-il principalement ?


Fondamentalement, le RGPD abolit les formalités préalables auprès de la Commission nationale de l’informatique et des libertés (CNIL) et les remplace par un système dit « d’accountability » ou d’ « auto-responsabilisation » des opérateurs. Ces derniers doivent donc désormais être en capacité de démontrer au régulateur, à tout moment, leur conformité au RGPD, ce qui implique nécessairement la mise en place d’outils, de process et d’équipes pour documenter cette conformité en permanence. Au-delà, le RGPD a accordé de nouveaux droits aux personnes et a considérablement augmenté le niveau des sanctions en cas de non-conformité, avec un plafond de 20 millions d’euros ou 4 % du chiffre d’affaires mondial, ce qui se rapproche des sanctions qui peuvent être prononcées en droit de la concurrence, par exemple.


 


Pouvons-nous revenir principalement sur deux notions phares, le droit à l’oubli ou à la portabilité des données, de quoi s’agit-il ?


Le droit à l’oubli s’inscrit dans le prolongement de l’arrêt Google Spain (CJUE, gde ch. 13 mai 2014, aff. C-131/12), qui avait consacré le droit à la désindexation sur les moteurs de recherche dès 2014. Il s’agit donc davantage d’un « droit à l’effacement » que d’un droit à l’oubli à proprement parler. Le RGPD limite toutefois la mise en œuvre de ce droit : d’une part, en définissant les cas dans lesquels il peut être invoqué (traitement illicite, retrait du consentement, etc.) et, d’autre part, en faisant prévaloir un certain nombre d’autres droits (liberté d’expression et d’information, recherche scientifique ou historique, etc.) sur cette nouvelle prérogative.


Quant au droit à la portabilité, il est censé permettre à la personne concernée de récupérer les données la concernant, dans un format structuré, couramment utilisé et lisible par machine. À l’instar du droit à l’oubli, l’exercice du droit à la portabilité est encadré. Il est limité aux données à caractère personnel faisant l’objet d’un traitement automatisé (les fichiers papiers ne sont donc pas concernés) qui est fondé sur le consentement ou qui est nécessaire à l’exécution du contrat conclu avec le responsable de traitement.


 


Quels sont les principaux impacts de sa mise en vigueur ?


Les principaux impacts sont d’ordre organisationnel et d’ordre financier. La documentation permanente de la conformité exige d’avoir une personne ou une équipe dédiée à cette question, de disposer des outils adaptés au suivi de cette conformité (comme le Registre des traitements), de revoir de façon transversale l’ensemble des process et des contrats, de former les salariés, de préparer les notifications de failles de sécurité, etc. En sus des directions administratives et opérationnelles (juridique, conformité, marketing, informatique, etc.), l’implication de la direction générale est donc primordiale pour dégager les budgets suffisants et soutenir cette démarche qui, dans certains cas, peut être perçue en interne comme une source de contrainte supplémentaire et non comme un facteur de compétitivité différenciant.


 


Comment les entreprises françaises s’y sont-elles préparées ? 


Tout dépend de leur taille et de leur sensibilité au risque « données ». Les plus grandes entreprises, de par leurs moyens, leur organisation et leur exposition au risque financier et réputationnel ont, en général, entamé leur chantier de conformité plusieurs mois avant l’entrée en vigueur du RGPD, en mettant en place un délégué à la protection des données (DPO) qui a structuré une équipe dédiée, en procédant à la cartographie des données et en réalisant des audits de sécurité. La situation est beaucoup plus hétérogène chez les PME. Certaines, pour lesquelles la data constitue un actif essentiel (entreprises de e-commerce, par exemple) ont réalisé de gros efforts quand d’autres, notamment dans le milieu industriel ou des services, rechignent encore à déployer l’ensemble des moyens matériels, humains et financiers nécessaires. Enfin, un certain nombre d’entreprises, c’est le cas de certains de nos clients, ont fait le choix d’externaliser totalement la fonction de DPO auprès de leur avocat, essentiellement pour des raisons de coûts et de compétence.


 


Et pour ce qui est des GAFA ?


Les GAFA, qui étaient les premiers visés par le texte, ont naturellement anticipé très en amont la mise en œuvre du RGPD. Certaines associations d’internautes ou de consommateurs ont toutefois considéré que les GAFA usaient de présentations biaisées afin de collecter les données des utilisateurs (en activant des options de collecte par défaut, par exemple).


 


À ce sujet, en janvier dernier, la CNIL a prononcé une première amende au titre du RGPD de 50 millions d’euros contre Google. Quel regard portez-vous sur cette sanction dite « exemplaire » ?


Il s’agit effectivement d’une décision historique au regard du montant de l’amende administrative prononcée à l’encontre de Google (50 millions d’euros, la plus importante prononcée en France jusqu’à présent). Il s’agissait sans doute pour la CNIL de faire un coup d’éclat, quelques mois après l’entrée en vigueur du RGPD.


Deux manquements ont été retenus par la CNIL pour condamner Google (qui a fait appel de la décision) : le manque de transparence et d’information des utilisateurs quant aux traitements de leurs données personnelles (articles 12 et 13 du RGPD) et l’absence de consentement valable pour la personnalisation de la publicité (article 6 du RGPD).


Rappelons que dans ses décisions Singlespot (CNIL, déc. n° MED-2018-043, 8 oct. 2018) et Vectaury (CNIL, déc. n° MED-2018-042, 30 oct. 2018), la CNIL avait déjà rappelé la nécessité d’un recueil effectif et éclairé du consentement et souligné les critères nécessaires, selon elle, pour que ce dernier soit informé, spécifique et exprimé par une action positive de l’utilisateur.



Le déploiement d’Internet ne supposerait-il pas une harmonisation mondiale ? Quelles répercutions ce règlement a-t-il eu au niveau mondial ? Le RGPD a-t-il influencé d’autres pays ? 


La question de l’influence du RGPD à l’international peut être abordée sous deux angles : d’une part, sa portée géographique et, d’autre part, le nombre de pays qui ont adopté des législations équivalentes, voire identiques.


Concernant le premier point, force est de constater que l’article 3 du RGPD ambitionne de conférer au texte une portée extra-territoriale, en appliquant le RGPD à un responsable de traitement ou à un sous-traitant qui ne serait pas établi dans l’Union (en Chine ou aux États-Unis, par exemple), lorsque le traitement est lié à l’offre de biens ou de services destinés à des personnes qui se trouvent dans l’Union ou lorsqu’il est lié au suivi du comportement de ces mêmes personnes. Même si l’on peut douter de l’effectivité absolue d’une telle disposition, on peut désormais noter qu’un certain nombre de groupes internationaux, œuvrant tant sur le continent européen, américain ou asiatique, ont d’ores-et-déjà décidé d’appliquer les standards du RGPD à l’ensemble de leurs filiales, y compris celles qui ne sont pas situées au sein de l’Union européenne. Il s’agit donc là d’une première influence remarquable.


La seconde influence se mesure de façon beaucoup plus directe, en observant l’évolution de la législation des États étrangers. Le Japon a ainsi modifié sa loi relative à la protection des données en mai 2017, afin d’instaurer des garanties supplémentaires lors du transfert de données européennes ; ce qui lui permet, depuis le 24 janvier 2019, de bénéficier d’une décision d’adéquation de la Commission européenne. Le Japon s’ajoute ainsi à la liste des pays reconnus comme disposant d’un régime équivalent au RGPD : on peut notamment citer Andorre, l’Argentine, Israël, la Nouvelle-Zélande, la Suisse et l’Uruguay (le Canada bénéficie d’une équivalence partielle).


Au-delà, le RGPD a également influencé les législateurs brésiliens, chinois (on évoque aujourd’hui l’adoption d’une réglementation similaire au RGPD d’ici 2023) ou encore californien (cf. le California Consumer Privacy Act, qualifié par certains d’ « almost GDPR in the US »).


 


Les données sont aujourd’hui commercialisées et représentent une réelle richesse marketing pour les entreprises. Cet encadrement vous paraît-il suffisant ?


Il est évident que les données constituent le nouvel or noir du 21e siècle. À ce titre, la précédente directive 95/46/CE, bien qu’elle ait été adoptée sur le fondement du principe de libre circulation des données, s’inscrivait plutôt dans la logique historique de la loi de 1978 visant à protéger les individus contre les fichiers publics, autrement dit à protéger les libertés fondamentales contre les potentielles dérives des États. La logique économique du texte n’était qu’embryonnaire. Le RGPD transforme totalement l’approche à cet égard. Il a été adopté afin de prendre pleinement en compte l’explosion du commerce électronique, des réseaux sociaux, du cloud, et les progrès réalisés en matière d’intelligence artificielle. Mais nous savons tous qu’en la matière, le législateur court toujours après les nouvelles pratiques qui ne cessent d’émerger… Et l’adoption par le gouvernement américain du « Cloud Act », en mars 2018, fait redouter à certains observateurs le transfert de données stratégiques vers les autorités américaines, en violation du RGPD.


 


La présidente du Conseil national des barreaux (CNB) a récemment adressé (le 16 mai dernier) une lettre ouverte à Nicolas Dupont-Aignan au sujet d’emails destinés aux avocats dans le cadre des élections européennes. Le traitement de ces adresses est-il effectivement protégé par le RGPD ? Quelle pourrait être la suite de cette affaire ?


Oui, les adresses emails des avocats, en ce qu’elles sont directement ou indirectement identifiantes, constituent des données personnelles soumises au RGPD. À ce titre, leur collecte et leur utilisation, notamment par un parti politique, ne sauraient être illicites. Je crois savoir qu’un certain nombre de confrères ont déjà exercé leur droit d’information et d’accès auprès du mouvement de Nicolas Dupont-Aignan. La CNIL, voire le parquet, pourraient être saisis le cas échéant.


 


Propos recueillis par Constance Périn


 


0 commentaire
Poster

Nos derniers articles