L’UE s’est dotée d’un cadre juridique sophistiqué pour protéger les données personnelles de ses résidents et entend le défendre au-delà de son territoire. Génétiquement européen, ce texte s’impose aux acteurs du monde entier, notamment aux géants américains du numérique, dès lors qu’ils traitent de données personnelles de résidents européens, et ce y compris s’ils ne sont pas établis dans l’Union européenne. Cela explique les notifications récentes des modifications des règles de confidentialités de Google, Whatsapp, Facebook, Twitter, et bien d’autres, que certains ont été peut-être étonnés de recevoir. Depuis son adoption le 27 avril 2016, beaucoup de choses ont été dites sur le RGPD : texte trop long, incompréhensible, inadapté à la réalité économique, sociale et technologique. Pour les uns, le RGPD va trop loin au risque de brider le développement de l’économie numérique européenne. Pour les autres, ce texte sacrifie aux lobbies plus orientés sur la circulation des données que sur la protection des individus. Comme toujours, il y a une part de vérité dans chacune de ces affirmations. Le RGPD est un texte de compromis et porte en lui les tensions entre ces différentes approches. En ce 25 mai, l’entrée en application du RGPD suscite trois types de réflexion.
Les non-dits de l’avènement de la responsabilisation des acteurs
La consécration du principe de la responsabilisation des acteurs est au cœur du nouvel ADN du droit européen de la protection des données personnelles. Au sens strict, ce qu’il est convenu d’appeler accountability s’applique d’abord et avant tout aux responsables de données (responsable de traitements et sous-traitants) qui doivent, d’une part, se conformer et, d’autre part, être en mesure de documenter leurs mises en conformité au RGPD. Cela dit, cette responsabilisation se déplace aussi vers les concepteurs qui devront désormais penser en amont leurs produits et services en intégrant des technologies protectrices (Privacy by design, Privacy by default). Souvent présenté comme un fardeau pour les entreprises, le RGPD est aussi un formidable outil pour le développement de nouveaux marchés de produits, de services de conformité et de conseils qui devront néanmoins être régulés pour éviter les abus de toutes sortes. À cet égard, la CNIL s’est émue des arnaques relatives à la mise en conformité au RGPD. Cette illustration atteste du caractère indissociable du renforcement de la régulation par les autorités de contrôle sur les acteurs avec le principe d’accountability. Les compétences des autorités de contrôles ont ainsi été harmonisées afin de leur permettre notamment de mieux coopérer à l’échelle européenne et d’accompagner les acteurs dans leur mise en conformité au RGPD. La possibilité pour les autorités de sanctionner les acteurs non conformes au RGPD a été très souvent mise en avant étant donné le caractère désormais dissuasif des nouveaux montants d’amendes (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial d’une entreprise). Pourtant le véritable enjeu est bien plus celui de l’émergence d’une régulation du droit européen de la protection des données par les acteurs accompagnés par les autorités de protection. Ainsi, c’est avant tout l’adoption de lignes directrices, la certification, l’élaboration de code de conduite qui assurera un niveau élevé de protection des données personnelles. Le succès de la réforme dépend aussi de la capacité du nouveau Comité européen de la protection des données (CEPD) qui remplace le G29 à assurer efficacement la coordination de cette régulation à l’échelle européenne (v. notre article sur l’interrégulation). Cet enjeu est d’autant plus crucial que le RGPD est un texte de compromis qui soulèvera de nombreuses questions pour sa mise en application concrète au sein des États membres. Pour ce faire, les décisions du CEDP seront contraignantes en cas de conflit entre les autorités nationales de la protection des données. Ainsi, le CEPD dispose des moyens juridiques nécessaires pour développer une doctrine permettant de parfaire l’harmonisation du droit européen de la protection des données. Mais sera-t-il à la hauteur de l’importante mission qui lui a été confiée ?
L’avènement de la responsabilisation des acteurs concerne aussi les individus dont le droit à prendre le contrôle de leurs données personnelles implique le devoir de se montrer plus matures dans leurs usages. La contrepartie de l’accountability des responsables de données est le glissement de la protection des données vers une approche proactive de cette protection dont l’acteur serait l’individu lui-même. C’est ici tout l’enjeu autour du consentement explicite, libre et éclairé des principes d’information et de transparence, qui ont été renforcés, du droit à la portabilité des données qui a été introduit dans le RGPD. C’est aussi tout le débat autour de l’intérêt ou non d’opérer le détachement de la protection des données personnelles du droit du consommateur. Selon un récent sondage, huit Français sur dix se disent prêts à boycotter les marques non conformes au RGPD. Pourtant, le récent scandale Cambridge Analytica ne semble pas véritablement avoir ébranlé Facebook. La protection des données personnelles risque de devenir un droit dont l’effectivité sera laissée aux entreprises sous le contrôle des autorités de protection, de quelques associations qui activeront les possibilités d’action de groupe pour essayer de faire cesser les violations, voire obtenir des réparations devant les juges.
L’effectivité en question du choix d’une approche non fondée sur le risque
Le RGPD repose sur une approche selon laquelle, dès lors qu’une donnée est personnelle, elle fait l’objet d’une protection. Le chiffrement, la pseudonymisation des données constituent des outils pour faciliter le respect de l’obligation de sécurité des traitements. Le recours à ces outils n’exonère pas les acteurs du respect de l’ensemble des règles de la protection des données personnelles. Le RGPD a donc refusé le choix d’une approche exclusivement fondée sur le risque limitant la protection à certaines atteintes considérées comme graves pour les droits et libertés des personnes, voire à certains types de traitements. La prise en compte du risque est limitée à la nécessité de prévoir des garanties supplémentaires telles que des obligations de sécurité des traitements, la limitation de certains traitements de données, la mise en place d’un délégué à la protection des données personnelles ou encore la nécessité d’une étude d’impact préalable. Il a été récemment estimé qu’une entreprise sur quatre est ou s’estime être en conformité avec le RGPD. Pour certaines structures, l’ampleur et le coût des mesures à prendre seraient tels que le bon sens va les orienter de facto vers une appréciation du risque juridique, voire économique, lié par exemple à l’atteinte à leur réputation, afin de privilégier les mesures de conformité à mettre en œuvre. D’ores et déjà, les autorités de protection des données personnelles se veulent rassurantes. La présidente de la CNIL a rappelé que l’important était avant tout de se mettre en mouvement vers la conformité en prenant acte du changement de paradigme imposé par le RGPD. Il faut donc s’attendre à ce que la modification des comportements des différents acteurs (responsables de traitements, sous-traitants, individus, voire autorités de protection des données) soit en réalité progressive. C’est ainsi dans la durée que pourra être appréciée l’effectivité du choix d’une approche de la protection non fondée sur le risque.
Le 25 mai, point de départ plutôt que d’arrivée
Le pari du RGPD est celui de la coconstruction d’une culture européenne de la protection des données. Ce texte qui, bien qu’étant un règlement, comporte plus d’une cinquantaine de clauses dites ouvertes donnant des marges de manœuvre aux États membres pour leurs applications. Ainsi, la France a adopté le 14 mai 2018 une nouvelle loi de protection des données personnelles qui introduit les éléments nécessaires à la transposition de la directive 680/2016 dite « Police » et l’adaptation du RGPD. Cette loi renforce les pouvoirs et les missions de régulation de la CNIL qui est notamment chargée de prendre en considération les besoins spécifiques des PME/TPE et des collectivités locales pour les accompagner vers la conformité. La CNIL acquiert également la possibilité d’assortir les sanctions administratives d’une astreinte qui ne peut dépasser 100 000 € par jour de retard. En outre, malgré l’opposition du Sénat, les sanctions administratives pourront être appliquées aux collectivités locales et à leurs groupements alors que de telles sanctions ne sont pas applicables à l’État. La loi respecte aussi la logique du RGPD en limitant désormais les formalités préalables d’autorisation par décret en Conseil d’État à certains traitements portant sur des données biométriques ou génétiques. Enfin, cette loi habilite le gouvernement à réécrire par le biais d’une ordonnance la loi Informatique et Libertés afin d’y apporter des corrections formelles, de la mettre en cohérence avec l’ensemble de la législation applicable à la protection des données tout en l’adaptant à l’outre-mer. En outre, une dizaine de décrets d’application seront nécessaires pour parfaire ce montage juridique complexe. Cette approche a été dénoncée par soixante sénateurs devant le Conseil constitutionnel comme portant atteinte à l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi. L’introduction d’une base légale pour la gouvernance administrative par le biais de décisions algorithmiques fortement discutées avec la mise en place de Parcoursup, l’absence de séparation organique entre les missions de régulation et de sanctions de la CNIL susceptible de porter atteinte à son impartialité constituent les autres principaux arguments de contestation des sénateurs devant le Conseil constitutionnel.
Au-delà du contexte français, il apparaît nécessaire, après le 25 mai, de dresser un premier état des lieux des mesures prises dans les États membres même si, dans certains cas, le processus n’est pas encore finalisé. Tel est l’objet de la e-conférence National Adaptations of the GDPR qui aura lieu sur blogdroiteuropeen à partir du 4 juin. Cette e-conférence réunira des contributions de praticiens et d’universitaires. Son objectif est d’analyser le contexte légal post-RGPD en France et dans une quinzaine d’États européens, y compris le Royaume-Uni et la Suisse.
