Le règlement européen
2016/679 sur la protection des données –
venu enrichir la loi Informatique et Libertés de 1978 – est entré en vigueur le
25 mai 2018. Un an après, quel bilan pouvons-nous en tirer ?
Entretien avec Frédéric Sardain, associé du cabinet Jeantet, en charge du pôle
IP, Tech & Data.
Pouvez-vous revenir sur
l’entrée en vigueur du Règlement général sur la protection des données
(RGPD) ?
Le RGPD est entré en vigueur le 25 mai 2018. Il
avait vocation à harmoniser le droit des données personnelles au sein de
l’Union ; mais quasiment chaque État membre a profité de la cinquantaine
de dispositions lui permettant d’adopter des mesures nationales
particulières...
De sorte qu’il est illusoire, aujourd’hui, de parler d’une harmonisation européenne
totale. S’il existe bien un socle européen commun, des particularités
subsistent dans chaque État (s’agissant, par exemple, du numéro
d’identification national, du droit à l’oubli ou encore des traitements à des
fins journalistiques). En France, des textes complémentaires, destinés à
articuler le RGPD avec le droit national et à toiletter celui-ci, ont été
adoptés depuis : la loi n° 2018-493 du 20 juin 2018,
l’ordonnance n° 2018-1125 du 12 décembre 2018 et, très récemment,
le décret n° 2019-536 du 29 mai 2019.
Que modifie-t-il
principalement ?
Fondamentalement, le RGPD abolit les formalités
préalables auprès de la Commission nationale de l’informatique et des libertés
(CNIL) et les remplace par un système dit « d’accountability »
ou d’ « auto-responsabilisation » des opérateurs. Ces
derniers doivent donc désormais être en capacité de démontrer au régulateur, à
tout moment, leur conformité au RGPD, ce qui implique nécessairement la mise en
place d’outils, de process et d’équipes pour documenter cette conformité
en permanence. Au-delà, le RGPD a accordé de nouveaux droits aux personnes et a
considérablement augmenté le niveau des sanctions en cas de non-conformité,
avec un plafond de 20 millions d’euros ou 4 % du chiffre d’affaires
mondial, ce qui se rapproche des sanctions qui peuvent être prononcées en droit
de la concurrence, par exemple.
Pouvons-nous revenir
principalement sur deux notions phares, le droit à l’oubli ou à la portabilité
des données, de quoi s’agit-il ?
Le droit à l’oubli s’inscrit dans le prolongement de
l’arrêt Google Spain (CJUE, gde ch. 13 mai 2014, aff.
C-131/12), qui avait consacré le droit à la désindexation sur les moteurs de
recherche dès 2014. Il s’agit donc davantage d’un « droit à
l’effacement » que d’un droit à l’oubli à proprement parler. Le RGPD
limite toutefois la mise en œuvre de ce droit : d’une part, en définissant
les cas dans lesquels il peut être invoqué (traitement illicite, retrait du
consentement, etc.) et, d’autre part, en faisant prévaloir un certain nombre d’autres
droits (liberté d’expression et d’information, recherche scientifique ou
historique, etc.) sur cette nouvelle prérogative.
Quant au droit à la portabilité, il est censé
permettre à la personne concernée de récupérer les données la concernant, dans un
format structuré, couramment utilisé et lisible par machine. À l’instar du
droit à l’oubli, l’exercice du droit à la portabilité est encadré. Il est
limité aux données à caractère personnel faisant l’objet d’un traitement
automatisé (les fichiers papiers ne sont donc pas concernés) qui est fondé sur
le consentement ou qui est nécessaire à l’exécution du contrat conclu avec le
responsable de traitement.
Quels sont les principaux
impacts de sa mise en vigueur ?
Les principaux impacts sont d’ordre organisationnel
et d’ordre financier. La documentation permanente de la conformité exige
d’avoir une personne ou une équipe dédiée à cette question, de disposer des
outils adaptés au suivi de cette conformité (comme le Registre des
traitements), de revoir de façon transversale l’ensemble des process et
des contrats, de former les salariés, de préparer les notifications de failles
de sécurité, etc. En sus des directions administratives et opérationnelles
(juridique, conformité, marketing, informatique, etc.), l’implication de la
direction générale est donc primordiale pour dégager les budgets
suffisants et soutenir cette démarche qui, dans certains cas, peut être perçue
en interne comme une source de contrainte supplémentaire et non comme un
facteur de compétitivité différenciant.
Comment les entreprises
françaises s’y sont-elles préparées ?
Tout dépend de leur taille et de leur sensibilité au
risque « données ». Les plus grandes entreprises, de par leurs
moyens, leur organisation et leur exposition au risque financier et
réputationnel ont, en général, entamé leur chantier de conformité plusieurs
mois avant l’entrée en vigueur du RGPD, en mettant en place un délégué à la
protection des données (DPO) qui a structuré une équipe dédiée, en procédant à
la cartographie des données et en réalisant des audits de sécurité. La
situation est beaucoup plus hétérogène chez les PME. Certaines, pour lesquelles
la data constitue un actif essentiel (entreprises de e-commerce, par
exemple) ont réalisé de gros efforts quand d’autres, notamment dans le milieu
industriel ou des services, rechignent encore à déployer l’ensemble des moyens
matériels, humains et financiers nécessaires. Enfin, un certain nombre
d’entreprises, c’est le cas de certains de nos clients, ont fait le choix
d’externaliser totalement la fonction de DPO auprès de leur avocat,
essentiellement pour des raisons de coûts et de compétence.
Et pour ce qui est des
GAFA ?
Les GAFA, qui étaient les premiers visés par le
texte, ont naturellement anticipé très en amont la mise en œuvre du RGPD.
Certaines associations d’internautes ou de consommateurs ont toutefois
considéré que les GAFA usaient de présentations biaisées afin de collecter les
données des utilisateurs (en activant des options de collecte par défaut, par
exemple).
À ce sujet, en janvier
dernier, la CNIL a prononcé une première amende au titre du RGPD de 50 millions
d’euros contre Google. Quel regard portez-vous sur cette sanction dite
« exemplaire » ?
Il s’agit effectivement d’une décision historique au
regard du montant de l’amende administrative prononcée à l’encontre de Google
(50 millions d’euros, la plus importante prononcée en France jusqu’à
présent). Il s’agissait sans doute pour la CNIL de faire un coup d’éclat,
quelques mois après l’entrée en vigueur du RGPD.
Deux manquements ont été retenus par la CNIL pour
condamner Google (qui a fait appel de la décision) : le manque de
transparence et d’information des utilisateurs quant aux traitements de leurs
données personnelles (articles 12 et 13 du RGPD) et l’absence de
consentement valable pour la personnalisation de la publicité (article 6
du RGPD).
Rappelons que dans ses décisions Singlespot (CNIL,
déc. n° MED-2018-043, 8 oct. 2018) et Vectaury (CNIL, déc.
n° MED-2018-042, 30 oct. 2018), la CNIL avait déjà rappelé la
nécessité d’un recueil effectif et éclairé du consentement et souligné les
critères nécessaires, selon elle, pour que ce dernier soit informé, spécifique
et exprimé par une action positive de l’utilisateur.
Le déploiement d’Internet
ne supposerait-il pas une harmonisation mondiale ? Quelles répercutions ce
règlement a-t-il eu au niveau mondial ? Le RGPD a-t-il influencé d’autres
pays ?
La question de l’influence du RGPD à l’international
peut être abordée sous deux angles : d’une part, sa portée géographique
et, d’autre part, le nombre de pays qui ont adopté des législations
équivalentes, voire identiques.
Concernant le premier point, force est de constater
que l’article 3 du RGPD ambitionne de conférer au texte une portée
extra-territoriale, en appliquant le RGPD à un responsable de traitement ou à
un sous-traitant qui ne serait pas établi dans l’Union (en Chine ou aux
États-Unis, par exemple), lorsque le traitement est lié à l’offre de biens ou
de services destinés à des personnes qui se trouvent dans l’Union ou lorsqu’il
est lié au suivi du comportement de ces mêmes personnes. Même si l’on peut
douter de l’effectivité absolue d’une telle disposition, on peut désormais
noter qu’un certain nombre de groupes internationaux, œuvrant tant sur le
continent européen, américain ou asiatique, ont d’ores-et-déjà décidé
d’appliquer les standards du RGPD à l’ensemble de leurs filiales, y compris
celles qui ne sont pas situées au sein de l’Union européenne. Il s’agit donc là
d’une première influence remarquable.
La seconde influence se mesure de façon beaucoup
plus directe, en observant l’évolution de la législation des États étrangers.
Le Japon a ainsi modifié sa loi relative à la protection des données en mai
2017, afin d’instaurer des garanties supplémentaires lors du transfert de
données européennes ; ce qui lui permet, depuis le 24 janvier 2019,
de bénéficier d’une décision d’adéquation de la Commission européenne. Le Japon
s’ajoute ainsi à la liste des pays reconnus comme disposant d’un régime
équivalent au RGPD : on peut notamment citer Andorre, l’Argentine, Israël,
la Nouvelle-Zélande, la Suisse et l’Uruguay (le Canada bénéficie d’une
équivalence partielle).
Au-delà, le RGPD a également influencé les
législateurs brésiliens, chinois (on évoque aujourd’hui l’adoption d’une
réglementation similaire au RGPD d’ici 2023) ou encore californien (cf. le California
Consumer Privacy Act, qualifié par certains d’ « almost GDPR
in the US »).
Les données sont
aujourd’hui commercialisées et représentent une réelle richesse marketing pour
les entreprises. Cet encadrement vous paraît-il suffisant ?
Il est évident que les données constituent le nouvel
or noir du 21e siècle. À ce titre, la précédente directive
95/46/CE, bien qu’elle ait été adoptée sur le fondement du principe de libre
circulation des données, s’inscrivait plutôt dans la logique historique de la
loi de 1978 visant à protéger les individus contre les fichiers publics,
autrement dit à protéger les libertés fondamentales contre les potentielles
dérives des États. La logique économique du texte n’était qu’embryonnaire. Le
RGPD transforme totalement l’approche à cet égard. Il a été adopté afin de
prendre pleinement en compte l’explosion du commerce électronique, des réseaux
sociaux, du cloud, et les progrès réalisés en matière d’intelligence
artificielle. Mais nous savons tous qu’en la matière, le législateur court
toujours après les nouvelles pratiques qui ne cessent d’émerger… Et l’adoption
par le gouvernement américain du « Cloud Act », en mars 2018, fait
redouter à certains observateurs le transfert de données stratégiques vers les
autorités américaines, en violation du RGPD.
La présidente du Conseil
national des barreaux (CNB) a récemment adressé (le 16 mai dernier) une lettre
ouverte à Nicolas Dupont-Aignan au sujet d’emails destinés aux avocats dans le
cadre des élections européennes. Le traitement de ces adresses est-il effectivement
protégé par le RGPD ? Quelle pourrait être la suite de cette
affaire ?
Oui, les adresses emails des avocats, en ce qu’elles
sont directement ou indirectement identifiantes, constituent des données
personnelles soumises au RGPD. À ce titre, leur collecte et leur utilisation,
notamment par un parti politique, ne sauraient être illicites. Je crois savoir
qu’un certain nombre de confrères ont déjà exercé leur droit d’information et
d’accès auprès du mouvement de Nicolas Dupont-Aignan. La CNIL, voire le
parquet, pourraient être saisis le cas échéant.
Propos recueillis par Constance Périn