Protection de nos données personnelles : le RGPD à travers le prisme américain

L’évolution des technologies et l’avènement du big data, en créant une véritable révolution, ont matérialisé la crainte d’un « Big Brother ». En réaction et d’ici quelques semaines, entrera en vigueur le règlement général pour la protection des données (RGPD) tant discuté, qui se veut le gardien européen du respect de la vie privée et des libertés individuelles. Au-delà des bouleversements que cela implique pour les entreprises qui doivent adapter leurs pratiques, cette législation nouvelle est également à examiner sous l’angle de la société et du droit américains, puisque sa conciliation avec le géant des technologies de l’information et la communication ne va pas forcément de soi, comme l’ont souligné plusieurs professionnels présents lors d’un colloque organisé par les Salons France-Amériques, le 19 mars dernier.

Une étude publiée par The Economist Intelligence Unit (EIU) avec ForgeRock révélait en mars dernier que les consommateurs, inquiets de la collecte et de la transmission de leurs données personnelles, réclament plus de transparence et d’encadrement, mais aussi des engagements de la part des autorités publiques et des industriels pour protéger leur vie privée. 73 % des sondés français s’inquiètent ainsi de voir ces intrusions dans leur vie privée affecter leurs libertés individuelles ; et alors qu’ils sont 68 % à considérer le droit d’effacer leurs données comme prioritaire, 92 % déclarent vouloir un contrôle sur les informations transmises dans les collectes automatiques des données.
« Au fur et à mesure que les entreprises adaptent leurs infrastructures et leurs pratiques pour se conformer à l’Open Banking, à la directive PSD2 ou au RGPD, elles doivent garder à l’esprit que les régulateurs ont fait du consentement la clé de voûte de chacune de ces lois. », commentait Nick Caley, vice-président de ForgeRock.

Le consentement, clef de voûte du RGPD ? Le règlement général sur la protection des données, qui entrera en vigueur le 25 mai prochain, impose en effet de nouvelles contraintes aux entreprises concernant le traitement des données à caractère personnel. Jusqu’à aujourd’hui, en France, les données étaient protégées par la loi informatique, fichiers et libertés de 1978, la Convention n° 108 pour la protection des données personnelles du Conseil de l’Europe, ainsi que la directive 95/46/CE. Destiné à remplacer l’actuelle directive de 1995, le règlement constituera désormais un seul ensemble de règles relatives à la protection des données, directement applicable dans tous les États membres de l’Union européenne. Un cadre renforcé et harmonisé qui fait suite au constat par la Commission européenne d’une nécessaire actualisation de la législation en vigueur, afin de tenir compte des évolutions technologiques induites par le big data et autres objets connectés, ainsi que des problématiques qui accompagnent ces évolutions.

Pour les individus, ce changement se fera sous le signe d’un droit à l’effacement renforcé, d’un profilage clairement notifié, ou encore du droit à la portabilité. Le RGPD redéfinit également le caractère personnel des données en élargissant leur champ : données de localisation, cookies, numéro d’identification et éléments d’identité physique, psychique, génétique et économique viennent ainsi s’ajouter à l’adresse mail, au numéro de téléphone, à la fonction ou à l’intitulé de poste, et à l’adresse postale du lieu de travail.

Du côté des entreprises, le chamboulement est important. Pour s’adapter, ces il s’agit notamment pour ces dernières de cartographier leurs données personnelles et leurs traitements, de se doter d’un Data Protection Officer (responsable de la surveillance, de la documentation et de l’enregistrement des données), de nouveaux logiciels et de nouvelles procédures ; ou encore de former leurs équipes. Au titre de leurs nouvelles obligations, les entreprises seront également tenues de notifier dès que possible l’Autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées.

Tenir un registre des traitements

L’une des modifications majeures qu’implique le règlement concerne les formalités à accomplir auprès de la Commission nationale de l’informatique et des libertés (CNIL). En effet, conformément à la loi informatique et libertés actuellement en vigueur, les entreprises procédant à des traitements de données doivent effectuer des déclarations à la CNIL et obtenir de celle-ci des autorisations. Mais le RGPD vient supprimer cette déclaration et renforcer la responsabilité de chaque société, qui doit tenir un registre des traitements, complet et à jour, afin de devenir responsable et garante du respect de la vie privée. Lors d’un colloque organisé le 19 mars dernier par les Salons France-Amériques invitant plusieurs professionnels à se pencher sur le RGPD, Olivier Iteanu, avocat aux barreaux de Paris et d’Israël, a d’ailleurs analysé : « l’une des difficultés du règlement est qu’il traite de la même façon les grandes et les petites entreprises – or sur 3,5 millions d’entreprises, 90 % ont moins de 10 salariés – à une obligation près : tenir le registre des traitements, puisque les entreprises du secteur privé de moins de 250 employés n’ont pas cette obligation-là ». Toutefois, ces dernières ne sont pas totalement dédouanées, puisque le RGPD prévoit également que les entreprises de moins de 250 salariés traitant des données sensibles ou qui effectuent des traitements sur une catégorie particulière de personnes de manière occasionnelle ou non doivent également tenir un registre des traitements.

Que deviennent alors les formalités préalables ? Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, a apporté son éclairage sur le sujet : « la plupart des formalités disparaissent au profit de la logique de l’analyse d’impact », a-t-il affirmé. L’analyse d’impact (DPIA) est l’outil qui permettra aux entreprises non seulement de construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD, obligatoire pour les traitements susceptibles d’engendrer des risques élevés. « Tous les traitements nouveaux, après mai 2018, doivent faire l’objet d’une analyse d’impact sur la protection des données. Quant aux traitements déjà en place, il y a une forme de présomption de conformité à la loi, dès lors que les formalités étaient régulières après de la CNIL. Si vous aviez obtenu une autorisation, cette dernière reste valide. Si votre traitement vient d’être mis en place, vous êtes tranquille. Si le traitement est ancien, au-delà de trois ans, il y a de fortes chances que le contexte d’évaluation des risques ait changé : il est alors urgent de prioriser l’analyse d’impact ».