Le Règlement général sur la protection des données personnelles entre aujourd’hui en application. Après avoir analysé ligne par ligne ses 99 articles, Next INpact répond à dix questions sur le périmètre et le contenu de ce nouveau texte.

Après avoir plongé dans chacun des 99 articles (et ses 173 considérants) au long d’un triptyque, nous revenons sur le fameux règlement applicable dès aujourd’hui dans l’ensemble des pays européens.

Une petite révolution pour beaucoup d’acteurs qui ont désormais l’obligation mais aussi l’opportunité de garantir la conformité de leurs systèmes d’information.

Ce 25 mai, date d’entrée en application du règlement, est une excellente occasion pour répondre à dix questions autour de ce texte dense et complexe, mais d’une importance fondamentale pour la protection des données.

Notre dossier sur le RGPD :

1. Qu’est-ce qu’un règlement ? 

Un règlement européen, contrairement à une directive, est un texte d’application directe. Théoriquement, il est le meilleur vecteur pour garantir qu’une seule loi s’applique sur l’ensemble des pays européens.

Quoi de mieux pour permettre une saine concurrence entre tous les acteurs ? Toujours sur le papier, cela signifie que les stratégies de « forum shopping » sont désormais inutiles. Il sera vain de s’implanter en Irlande plutôt qu’en France pour profiter et exploiter des brèches dans la loi nationale. La température sera la même quels que soient les pays.

2. Et c’est quoi, ce fameux RGPD ?

Le RGPD vient régenter les traitements de donnée personnelle à l’échelle européenne pour y installer un pack de normes identiques. Une salvatrice mise à jour législative unique annoncée en 2012, publiée au Journal officiel de l’UE en 2016 et appliqué à partir d’aujourd’hui.

Un même texte pour les gouverner tous ? La réalité est plus nuancée. Il offre en effet aux États membres tout de même 56 marges de manœuvre, où chaque pays peut autant de fois adapter cette législation censée être unique à son climat national.

L’exemple typique ? Celui de l’âge du consentement. Dans le marbre du RGPD, les mineurs de 16 ans peuvent désormais, sans l’aval de leurs parents, autoriser l’exploitation de leurs données personnelles par les plateformes en ligne et autres responsables de traitement.

Seulement, il est prévu que les États membres puissent abaisser ce seuil jusqu’à 13 ans. Sans surprise l’Irlande a opté pour ce niveau le plus bas. Bel hasard, il est commun avec la législation américaine… La France, elle, l’a fixé 15 ans. Ces modulations permettent certes de préserver les susceptibilités et spécificités locales, mais nuisent aussi à la lisibilité et mise en conformité des acteurs.

Un détail, mais nous y reviendrons, en France, l’activation de ces options a été l’un des objets du projet de loi sur les données personnelles, actuellement ausculté par le Conseil constitutionnel.

3. En tant que particulier, qu’est-ce que ça change ?

Vaste question ! Pour les grands principes sur lesquels reposent le règlement, pas grand-chose, pourrait-on dire. En France, on retrouve dans le nouveau texte, nombre de dispositions déjà incrustées dans la loi Informatique et Libertés de 1978 (modifiée plusieurs fois).

Le droit à l’information sur les traitements, le droit d’accès aux données traitées, le droit de rectification d’un système contenant des données erronées, le droit à l’effacement, le sacro-saint consentement, etc. tous sont communs aux deux textes !

Dit autrement, les acteurs qui se plaignent d’une mise en conformité poussive, compliquée, onéreuse sont d’une bonne foi relative, ou d’une ignorance réelle. Lorsqu’ils adressent des newsletters, vous mitraillent de cookies sans respecter ces fondamentaux, pas de doute : ils étaient en indélicatesse avant, et le sont toujours après le 25 mai.

Si l’on veut positiver, l’application du RGPD offre finalement l’opportunité d’un nettoyage de printemps, une grande purge, une session de rattrapage à tous ceux qui, au fil du temps, avaient omis de respecter ces règles éthiques. Voilà pourquoi, ces derniers jours, vous avez sans doute reçu une pluie de mails vous demandant de consentir à ce que vos données soient traitées par tel prestataire en ligne.

4. Mais quels vont être mes nouveaux droits ?

Pour autant, résumer le RGPD à un copier-coller des grands principes de la loi de 1978 serait faux. Le règlement prévoit effectivement de nouveaux droits pour les individus. Et pas des moindres.

Le droit à la portabilité vous permettra en principe de récupérer les données personnelles qui ont été traitées par tel prestataire, « dans un format structuré, couramment utilisé et lisible par machine », pour le transmettre pourquoi pas à un concurrent. Et jamais le premier détenteur ne pourra y faire obstacle.

Ne généralisons pas : des exceptions sont prévues pour l’exécution d’une mission d’intérêt public, relevant de l’exercice de l’autorité publique et ceux répondant à une obligation légale. Impossible par exemple de demander au fisc le transfert de vos données pour les transmettre à une autre administration.

Autre droit consacré précisément, le droit à la limitation, qui implique « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ». Autrement dit ? Lorsque des données sont traitées de manière illicite, quand l’exactitude même du traitement est contestée ou que ces données ne sont plus nécessaires, alors le particulier peut exercer son droit à la limitation. Selon le RGPD, cela pourra se matérialiser par un déplacement des données vers un autre système de traitement, au moins temporairement.

Toujours sur le terrain des nouveautés, le droit à l’oubli. Il avait été consacré à l’encontre des moteurs de recherche par la Cour de justice de l’Union européenne. Il est aujourd’hui prévu au plus haut niveau, à l’égard de tous. Avec lui, quiconque peut obtenir, « dans les meilleurs délais », l’effacement de toutes ses données à caractère personnel. Le droit est conditionné : les données ne sont plus nécessaires, la personne a retiré son consentement, ou elle s’y oppose purement et simplement, ou bien il y a eu traitement illicite, etc.

Votre droit à l’information va gagner plusieurs étages vers plus de transparence et de simplicité. Si vous avez consenti à un traitement (par exemple, un abonnement à une newsletter), alors l’article 7 souligne qu’il doit être « aussi simple de retirer que de donner son consentement ».

Dans le pavé « CNIL » qu’on retrouve sur les sites où sont glanées puis traitées vos données, vous serez maintenant alerté de l’existence d’un transfert hors Union européenne, de vos droits (dont les nouveaux prévus par le RGPD), de la base juridique du traitement, ou encore de l’existence d’une prise de décision automatisée.

Ce dernier point est prévu par l’article 22 du RGPD. Celui-ci interdit que des décisions puissent être fondées exclusivement sur un traitement automatisé, « produisant des effets juridiques » concernant une personne (par exemple, obtention d’un prêt, candidature d’embauche, etc.). Certes, la loi peut créer une brèche dans ce dispositif (un coup de chapeau à ParcourSup ?), mais elle devrait systématiquement prévoir « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Un beau vivier à contentieux.

5. Quels vont être les devoirs des entreprises ?

À chaque droit introduit par le RGPD correspondent évidemment autant d’obligations pour les entreprises. Mais l’une des grosses nouveautés est surtout la logique de responsabilité (ou « accountability ») initiée par le règlement.

On est aux antipodes du régime déclaratif jusqu’alors en vigueur en France. Si sa vie gagne en simplicité, à tout moment, une entreprise devra toujours être capable de démontrer qu’elle a bien respecté les critères entourant les traitements de données personnelles : licéité, loyauté, transparence, finalités limitées, données minimisées, exactes, une conservation réduite dans le temps et confidentialité. Et la charge de la preuve repose sur chaque acteur, soit un poids important à assumer dorénavant.

Autre obligation, celle de désigner un délégué à la protection des données personnelles (DPO) en cas de suivis à grande échelle systématique des personnes physiques ou de traitements, toujours à grande échelle, des données sensibles (opinion, orientation sexuelle, etc.). Ce spécialiste du droit et des pratiques en matière de protection des données devra être associé de près à ces traitements et pourra apporter son concours et mieux éclairer les responsables.

Plusieurs obligations documentaires sont prévues comme la tenue d’un registre des activités de traitement, obligatoire au-delà de 250 salariés, ou par exemple lorsqu’il y a un risque pour les droits et libertés des personnes concernées. On y trouvera le nom du responsable, les finalités du traitement, une description des personnes concernées et des données, les destinataires, les éventuels transferts hors UE, et si possible les délais pour obtenir l’effacement des données ; outre une description sommaire des mesures de sécurité techniques et organisationnelles.

Une analyse d’impact devra être engagée, cette fois en cas de « risque élevé » pour les droits et libertés des personnes physiques. Elle évaluera les traitements automatisés comme le profilage, ceux à grande échelle portant sur des données sensibles, ou encore « la surveillance systématique à grande échelle d’une zone accessible au public », etc. Le document concentrera l’ensemble des opérations, des finalités, l’évaluation de leur nécessité et de leur proportionnalité, des risques, des mesures de sécurité…

Ajoutons enfin, mais la liste est longue, l’obligation de notifier les failles de sécurité, qui n’existait dans la loi CNIL qu’à l’égard des fournisseurs d’accès. Désormais, les entreprises qui constatent une violation de données à caractère personnel devront en principe alerter la CNIL « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Cette alerte devra décrire des faits, les effets de la violation, et les mesures prises pour y remédier.

Les personnes physiques seront même directement alertées si cette violation « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». L’entreprise pourra y échapper notamment si ont été mises en œuvre les mesures de protection appropriées. La CNIL pourra contraindre un acteur oublieux à alerter directement les victimes.

6. Quid des acteurs installés hors de l’Union européenne ?

C’est une autre avancée du texte européen. Une entreprise installée loin de l’Union est également impactée par ces obligations puisque les critères de territorialité sont très vastes.

Les droits et obligations programmés par le RGPD s’appliquent en effet pour les acteurs non UE dès lors qu’ils visent des personnes installées dans l’Union européenne. Plusieurs critères permettront de le jauger, en particulier la langue utilisée et l’unité monétaire.

Cette portée est fondamentale. Avant le 25 mai, la remise en cause des juridictions européennes a toujours été un réflexe dès lors qu’un acteur comme Facebook était poursuivi de ce côté de l’Atlantique.

Le RGPD ne veut pas tuer le commerce en Europe ou dans le monde. Son principal intérêt est de prévoir un standard de protection élevé face à l’appétit parfois délirant de certains opérateurs.

Donc, qu’une entreprise ou qu’un sous-traitant soit installé en France, en Allemagne ou en Californie n’aura pas beaucoup d’effets. Il devra respecter les principes du règlement, d’autant plus que l’article 27 oblige ces acteurs hors UE à désigner un représentant dans l’Union.

Face à un acteur récalcitrant, la CNIL pourra avertir la société, lui adresser une mise en demeure afin de se conformer au texte, voire ordonner la suspension des flux ou bien l’une des lourdes amendes administratives. 

7. Et les administrations ?

Les administrations sont également concernées par la plupart de ces dispositions, notamment sur le terrain des sanctions. Voilà pourquoi plusieurs amendements avaient été déposés au Sénat pour tenter de les protéger des foudres du texte européen. 

8. La France est-elle prête ?

Pas exactement. Le projet de loi sur le RGPD, censé activé notamment plusieurs marges de manœuvre du règlement, a été déféré la semaine dernière devant le Conseil constitutionnel par plus de 60 sénateurs.

Renseignement pris hier auprès des sages, le gouvernement n’a pas déclaré l’urgence. Résultat ? Le juge dispose d’un mois pour rendre sa décision, attendue avant le 16 juin.

Mieux, dans le texte, 19 décrets d’application sont programmés, précédés le plus souvent d’un avis de la CNIL. Un tel chantier devrait prendre des mois de travaux.

Ce retard est problématique. Certes, faute de texte, c’est le règlement qui s’applique sans nuance, cependant, le projet de loi règle dans le détail les procédures de collaboration entre la commission et les autres autorités de contrôle installées en Europe. La lacune calendaire française risque donc d’impacter les procédures portant sur les traitements touchant à plusieurs pays.

Remarquons également que plusieurs lignes directrices ont été publiées par le G29, reprises sur le site de la CNIL. Elles ont vocation à éclairer les uns et les autres sur les obligations spécifiques nées du RGPD. Or, plusieurs n’ont toujours pas été traduites en français.

Enfin, la CNIL crie quelque peu famine depuis quelques temps. Elle se plaint de ne pas disposer des ressources suffisantes pour assumer ses nouvelles missions. Il faudra attendre la prochaine loi de finances pour espérer une rustine budgétaire. 

9. Suis-je obligé d’accepter la nouvelle politique de vie privée d’un service pour continuer à l’utiliser ?

C’est une des questions pointues nées du RGPD. Le consentement à voir ses données traitées est un préalable à tout traitement, sauf exceptions issues du contrat, de l’intérêt légitime du responsable ou encore d’une obligation légale.

Or, ce consentement doit être donné librement, non avec une arme sur la tempe. Dit autrement, un prestataire qui subordonne l’accès à son service à ce feu vert, devra opérer avec la plus grande prudence.

Dans les lignes directrices éditées par les autorités de contrôle européennes, un exemple permet d’y voir plus clair :

« Une application mobile de retouche photo demande à ses utilisateurs d’activer leur localisation GPS pour l’utilisation de ses services. Elle indique également à ses utilisateurs qu’elle utilisera les données collectées à des fins de publicité comportementale. Ni l’une ni l’autre, la localisation ou la publicité comportementale en ligne, ne sont nécessaires à ce service de retouche photo et vont aller au-delà du cœur de cette prestation. Puisque les utilisateurs ne peuvent pas utiliser l’application sans consentir à ces traitements, le consentement ne peut être considéré comme étant donné librement ».

Le considérant 47 du RGDP expose la même chose, sous une plume plus juridique : « Le consentement est présumé ne pas avoir été donné librement (…) si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ».

10. N’y a-t-il pas un marketing de la peur autour du RGPD ?

Clairement. Le RGPD est souvent « vendu » par les prestataires spécialisés, mais aussi les médias, sous son versant le plus anxiogène. Rien de plus simple, pour vendre des gilets pare-balles, que de claironner une guerre à nos portes. La CNIL a d’ailleurs tiré le signal d’alarme publiquement sur certaines pratiques.

La position de la commission sur cette question est simple : d’une part, le 25 mai ne sera pas un couperet. D’autre part, sa stratégie dépendra des atteintes constatées. Selon ses confidences, l’autorité indépendante se montrera intraitable pour la violation des grands principes partagés avec la loi de 1978, mais beaucoup plus conciliante pour les nouvelles obligations.

Dans ce nouveau périmètre, sa démarche est davantage celle d’un accompagnement sur plusieurs mois, en particulier à destination des petites structures (PME, start-up, etc.), évidemment loin de disposer des ressources suffisantes.

Compte tenu en outre des délais de procédures, il ne faut pas attendre de sanction avant plusieurs mois, sachant aussi que seules les infractions constatées après le 25 mai seront éligibles à l’amende maximale du texte (4 % du chiffre d’affaires mondial ou 20 millions d’euros). Facebook et Cambridge Analytica peuvent respirer.

Dernier détail, les autorités auront à cette occasion l’obligation de respecter un principe de proportionnalité. L’historique de l’entreprise, sa collaboration, sa bonne foi, le choix d’un DPO, la surface de la violation, une saine responsabilité, etc. tous ces paramètres entreront évidemment sur la balance, avant le coup de glaive ou… le tir de fléchette.

Plutôt que de présenter le RGPD sous le masque de l’épouvantail, il peut être plus porteur de raisonner dans une démarche positive. Lorsqu’on est une entreprise, se diriger vers une mise en conformité, c’est certes long, mais permet de faire un point salvateur sur ses traitements. Ce programme, en plusieurs étapes, peut alors susciter de sérieux retours sur investissement.

Le seul fait de disposer d’un site Internet qui respecte le RGPD, apporte une sécurité juridique, une éthique et peut être présenté comme un solide argument aux yeux des chalands. Les nouveaux droits sont également source d’opportunités. Pensons à la portabilité des données, qui peut offrir de belles idées aux start-ups. La confiance par le respect, plutôt que par la manigance, peut être aussi une belle chance, non ?