Dans un an, une nouvelle protection des données personnelles en Europe

Le traitement des données personnelles est devenu un enjeu économique majeur. Et leur protection repose à nouveaux frais le cadre juridique. Par Sylvain Naillat, avocat au barreau de Paris, au sein du cabinet NomoS (*).

6 mn

Sylvain Naillat.
Sylvain Naillat. (Crédits : Reuters)

La protection des données personnelles est de ces enjeux (pourtant cruciaux) qui ne s'imposent véritablement que sur le tard. Pendant longtemps, cette matière apparaissait un peu obscure et n'était presque pas enseignée à l'Université. Pourtant, les traitements de données à grande échelle ont accompagné l'informatique de masse et, à partir des années 90, Internet en a permis l'essor. Aujourd'hui, les données sont la sève d'industries toutes entières dont le modèle économique repose sur leur amas. Face aux augures du « Big Data » et de l'intelligence artificielle, c'est dans une période charnière que l'on est aujourd'hui placé tant la démocratisation de ces techniques préparent une nouvelle explosion des traitements de données.

Aussi, l'Union européenne s'est-elle employée à refondre sa législation vieille de vingt-deux ans, en adoptant un Règlement (le « RGPD[1] ») qui entrera en application dans un an, le 25 mai 2018. La tâche qui attend ce texte est immense, et il n'est pas inutile de faire un tour (sélectif) des lieux afin d'essayer d'apprécier s'il sera à la hauteur.

Un changement d'approche

Jusqu'à présent, l'attention des entreprises était souvent monopolisée par le seul sommet de l'iceberg : les déclarations ou autorisations auprès de la CNIL, obligatoires avant la mise en œuvre des traitements. Ces formalités préalables ont parfois caché la forêt, c'est-à-dire la nécessité de s'assurer que les traitements de données personnelles respectent effectivement, en pratique, toutes les dispositions de la loi.

Avec le RGPD, les formalités préalables sont abandonnées (sauf quelques exceptions). Le maître mot du Règlement est celui de « responsabilisation » : c'est aux entreprises de tenir le registre des traitements qu'elles mettent en place, c'est également à elles de déterminer en amont l'impact que pourront avoir leurs projets sur les données personnelles, et d'en tirer les conséquences. A cela s'imbrique l'obligation de respecter le principe dit de « privacy by design » : penser la protection des données personnelles au stade de la conception même des produits et services ; celui de « privacy by default », qui s'attache aux paramétrages de base de ces produits et services ; mais également celui de « minimisation des données », qui encourage les entreprises à ne pas collecter plus de données que de besoin.

En somme, le Règlement signe l'âge de la maturité pour la protection des données personnelles, qui doit désormais être pleinement appréhendée par les entreprises au même rang que les législations fiscales, ou sociales, etc. Pour les aider, elles pourront - ou devront -, désigner un « délégué à protection des données », nouveau métier pour lequel des formations ont déjà été mises en place, comme par exemple à l'Université Paris II[2].

Un changement d'ampleur

Pour convaincre, le RGPD s'est doté d'un argument imparable : les sanctions. En 2018, les CNIL européennes pourront prononcer des sanctions pouvant s'élever à 20 millions d'euros, et surtout pour les personnes morales jusqu'à à 4% du chiffre d'affaire annuel mondial (plusieurs milliards d'euros pour certains). A titre de comparaison, le plafond des sanctions en France était jusqu'à très récemment de 300.000 euros (en cas de récidive)[3]. Cela devrait permettre définitivement à la protection des données personnelles de ne plus être à la traîne sur les listes de priorités.

Cela devrait surtout permettre de débloquer les budgets nécessaires sur un poste essentiel : la sécurité des systèmes d'information, qui est un point clef de la protection des données (qu'elles soient personnelles ou autres : financières, scientifiques etc.). L'impressionnante et récente « attaque » WannaCry[4] n'est que la suite d'une série d'offensives et de piratages largement médiatisés ; lesquelles pourraient bien n'être que prémices si rien n'est fait. En outre, par-delà les actes malveillants, il y a surtout les failles, les négligences et les lacunes en tout genre. Il faut donc espérer que le RGPD saura réveiller la culture de la sécurité informatique en France et en Europe.

Quelques demi-teintes

Du côté des particuliers dont les données sont traitées, le RGPD ne devrait pas bousculer les choses. Les droits « nouveaux » ne sont pas des plus convaincants, à l'image de ce droit présenté en sous-titre comme le fameux « droit à l'oubli », qui n'est en réalité que le droit d'obtenir la suppression des données lorsque leur traitement n'est pas (ou plus) conforme au Règlement... ce qui n'est pas d'une logique révolutionnaire.

L'on peut tout de même souligner l'apparition d'un droit à la portabilité des données, destiné à favoriser la concurrence entre les entreprises en permettant aux particuliers de passer de l'une à l'autre plus facilement. Le RGPD n'oublie pas les techniques de traitements faisant appel à l'intelligence artificielle, puisqu'il modifie les règles existantes et permet aux individus de s'opposer à ce qu'une décision à leur égard ne soit prise de manière purement automatique (par exemple : le refus d'un crédit). Dans ce cadre, le RGPD va même jusqu'à reconnaître le droit pour les individus « d'obtenir une intervention humaine », ce qui pourra laisser songeur.

Au-delà, les droits des particuliers consistent surtout à être informés pour pouvoir agir en toute connaissance de cause. Le RGPD risque ici d'être contre-productif car le texte allonge déraisonnablement la liste des mentions d'information obligatoires. Or, la complexification de l'information mène souvent à son inintelligibilité, de sorte que les individus risquent d'être moins bien informés après le RGPD.

Ce point fait écho à un autre point clef de la protection des données personnelles. En effet, les données personnelles sont déjà partout, disséminées et divulguées par les individus eux-mêmes qui n'y voient la plupart du temps aucun problème car le monde numérique reste encore trop virtuel. Dans ce cadre, il est un peu vain d'imposer aux entreprises de ne collecter que le strict nécessaire si le reste leur est offert de bon cœur. Il y a donc un équilibre à trouver, et le RGPD ne réussira pas seul, car l'enjeu est très largement un enjeu de société et d'éducation.

(*) Suivre Sylvain Naillat sur Twitter, qui exerce dans le domaine du droit des nouvelles technologies, des données personnelles et de la propriété intellectuelle.

[1] Règlement Général sur la Protection des Données.

[2] https://www.u-paris2.fr/fr/formations/offre-de-formation/llm-mba-et-diplomes-duniversite/diplome-duniversite-delegue-la-protection-des

[3] Depuis la loi « République Numérique » du 9 octobre 2016, le plafond a été augmenté à 3 millions d'euros.

[4] ORLM : après WannaCry, faut-il avoir peur des rançongiciels ?

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.