24/05/2019

Bon anniversaire au RGPD ?

Regards croisés d'Adrien Basdevant et Florence Chafiol

Technologies

Imprimer

Adrien Basdevant

Avocat spécialisé en droit des nouvelles technologies

Florence Chafiol

Avocate associée chez August Debouzy

Le 25 mai 2018, le règlement européen sur la protection des données (RGPD) est entré en application avec pour objectif l’harmonisation de la protection de la vie privée des citoyens européens. Un an après, Adrien Basdevant, avocat fondateur d’une boutique spécialisée en droit des nouvelles technologies, et Florence Chafiol, avocate associée au sein du département Technologies Propriété Intellectuelle et Media d’August Debouzy, nous livrent leur premier bilan ainsi que leur regard sur les évolutions prochaines.

Quel premier bilan tirez-vous de l’application du RGPD en France ?

ADRIEN BASDEVANT

Le premier constat est la prise de conscience par les utilisateurs et le grand public des droits dont ils disposent (droit d’accès, de rectification, de suppression, d’introduire une réclamation, etc.). Le nombre croissant de plaintes déposées en témoigne (la CNIL a enregistré 11 077 plaintes en 2018, soit une hausse de 32,5 % par rapport à l’année précédente). En réalité, la plupart de ces droits existaient déjà depuis plus de quarante ans en France, mais du fait de sa très grande médiatisation, le RGPD a permis une meilleure connaissance des enjeux soulevés par le traitement des données personnelles.

L’objectif du RGPD est de créer un écosystème de confiance pour concilier libre circulation des données et protection des individus. Pour cela, il fallait que cette conduite du changement soit perçue comme une opportunité plutôt que comme un risque. Cela semble être le cas, bien que l’augmentation du quantum des sanctions (pouvant aller pour rappel jusqu’à 4 % du chiffre d’affaires) a certainement incité les acteurs à se mettre plus rapidement en conformité. Cette transformation constitue toutefois un processus continu et toutes les structures sont loin d’être prêtes.

Après cette première année de transition, les autorités de régulation considèrent que les parties prenantes ont désormais eu le temps de s’adapter. La CNIL a annoncé vouloir dorénavant traiter les dossiers avec fermeté. Dès lors, après cette phase préparatoire (composée d’audits, de programmes de conformité et de négociations contractuelles), les enquêtes et les contrôles vont s’intensifier fortement dans les prochains mois et années. En France, des sanctions ont déjà été prononcées (par exemple en janvier 2019 contre Google pour 50 millions d’euros). Le contentieux autour des questions de données ne fait que commencer.

Quels ont été les enjeux majeurs de la mise en conformité des entreprises (grands groupes, TPE/PME, start-up, etc.) ?

FLORENCE CHAFIOL

Les grands principes du RGPD sont applicables tant aux grosses structures qu’aux plus petites (à l’exception de l’obligation de tenir un registre des traitements qui, en principe, ne devrait pas s’appliquer aux structures de moins de 250 salariés mais pour laquelle la CNIL a une approche très restrictive).

J’ai néanmoins pu observer que les petites structures ont longtemps cru que leur taille pouvait les dispenser de se conformer au RGPD. Un an après l’applicabilité du RGPD, ces dernières sont désormais mieux informées, la CNIL ayant d’ailleurs publié un guide pratique afin de les éclairer quant aux obligations qui s’appliquent à elles en termes de conformité.

En pratique, la mise en place des obligations qui découlent du RGPD varie en fonction (i) des technologies employées et développées, (ii) du nombre de données collectées et des catégories de données collectées (données sensibles ou non), (iii) du nombre de destinataires, et (iv) du nombre de personnes concernées par les traitements. Par conséquent, les enjeux ne diffèrent pas en fonction de la taille de l’organisme mais en fonction des variantes listées. En effet, une start up peut collecter davantage de données personnelles qu’une PME et proposer des technologies bien plus complexes d’un point de vue numérique que des grands groupes.

L’un des enjeux majeurs de la mise en conformité des entreprises a été la mise en place d’une gouvernance en matière de protection des données personnelles, souvent négligée par la plupart des entreprises. L’intérêt de la mise en place d’une telle gouvernance est d’intégrer dans chaque projet les problématiques liées à la protection des données dès la conception du projet, puis tout au long de la vie de la donnée personnelle.

De ce principal enjeu découlent d’autres sujets comme la nécessité de disposer d’une connaissance précise et exhaustive des différents traitements mis en place par les entreprises, afin de pouvoir cartographier les différentes données collectées et lister ces traitements.

Les entreprises ont également dû documenter leurs différentes pratiques en matière de protection des données et intégrer des clauses relatives aux données personnelles dans des documents existants (par exemple, dans des contrats de travail). De nombreuses entreprises avaient d’ores et déjà adopté de telles clauses, cependant, elles n’étaient pas toujours conformes à la réalité des traitements de données personnelles mis en oeuvre. Elles ont donc dû être retravaillées pour tenir compte des obligations complémentaires à la loi Informatique et Libertés de 1978 que le RGPD a imposé. Les entreprises ont donc adapté ces politiques en fonction des traitements, des finalités recherchées, des catégories de données collectées et ont dû déterminer la base légale la plus adéquate pour leur permettre de mettre en place des traitements de données.

Le RGPD impose aux entreprises de faire preuve d’une transparence accrue en ce qui concerne les traitements de données qu’elles effectuent. Si les consommateurs étaient habitués à voir figurer des mentions d’information en bas des formulaires de collecte de données personnelles, les candidats ou fournisseurs n’étaient, eux, pas habitués à ce que les entreprises fassent preuve, vis-à-vis d’eux également, d’une véritable transparence. Inversement, les entreprises n’étaient pas habituées à faire preuve d’autant de transparence.

Les entreprises ont dû recenser l’ensemble de leurs fournisseurs et prestataires afin de contractualiser avec eux la répartition de leurs responsabilités en matière de protection des données, et ont entrepris de qualifier le rôle qui était dévolu à chacun de leur fournisseur (sous-traitant, responsable de traitement conjoint, responsable de traitement distinct), tâche beaucoup plus complexe et chronophage qu’il n’y paraît.

Les entreprises ont également dû déterminer précisément des durées de conservation adaptées à chaque donnée personnelle collectée. C’est l’un des points qui s’avère souvent des plus complexes : cela nécessite un partenariat étroit entre les équipes juridiques et les équipes IT afin de déterminer des durées de conservation adaptées aux obligations de l’entreprise et aux délais de prescription. Une fois ces durées déterminées, il s’agit de les mettre en place de manière effective dans les processus internes. Cela n’est pas évident car les outils dont disposent les entreprises ne sont pas nécessairement adaptés à la mise en place de purges ou d’archivages efficaces.

Enfin, les entreprises ont dû informer et sensibiliser l’ensemble de leurs équipes aux enjeux liés à la protection des données personnelles, soit par le biais de formations e-learning, par l’intervention sur place de personnes spécialisées sur le sujet ou encore par le biais de documents écrits.

En tout état de cause, le tournant n’a pas été évident pour toutes les entreprises et la marche a été plus haute pour certaines que pour d’autres : celles qui n’avaient jamais rien fait depuis 1978, date à laquelle la loi Informatique et Libertés a commencé à s’appliquer, ont forcément été plus occupées que les autres.

Avance-t-on dans le sens d’une réglementation mondiale ?

ADRIEN BASDEVANT

Il n’existe effectivement pas de réglementation uniformisée à l’échelle internationale. Une tendance très intéressante semble toutefois se dessiner. Le RGPD devient un outil de soft power européen. N’ayant pas de géants du numérique, contrairement à la Chine ou aux Etats-Unis, l’Union européenne utilise le RGPD comme instrument pour influer sur les législations étrangères.

FLORENCE CHAFIOL

De plus, les nombreux scandales de violation des données qui ont eu un impact médiatique majeur, tels que Cambridge Analytica, Equifax ou Uber, ont fait de la protection des données personnelles un sujet central et une préoccupation au niveau mondial.

Aux Etats-Unis, les initiatives pour adopter une législation protectrice des données personnelles se multiplient avec l’adoption par de nombreux Etats de lois et récemment l’adoption de la California Consumer Privacy Act (adoptée le 28 juin 2018, et entrée en vigueur le 1er janvier 2020).
Le Brésil a adopté sa propre réglementation sur la protection des données le 14 août 2018 (entrée en vigueur le 1er février 2020) visant ainsi à empêcher l'utilisation abusive des données personnelles et à offrir un meilleur niveau de confidentialité et de sécurité aux personnes concernées.
La Chine a adopté une loi sur la cybersécurité le 7 novembre 2016 (entrée en vigueur le 1er juin 2017) dont 11 articles sont consacrés à la protection des données. Elle a également établi des principes généraux en décembre 2017 (entrée en vigueur le 1er mai 2018) qui semblent présenter des similitudes avec l’approche européenne.

De plus, plusieurs pays ont mis à jour leur législation nationale dans le but de faciliter les discussions avec la Commission européenne pour l’adoption d’une décision d’adéquation. En effet, cette décision est prise lorsque la Commission constate qu’un pays tiers ou une organisation internationale assure un niveau de protection adéquat et conforme aux principes européens (Article 45 du RGPD). C’est par exemple le cas du Japon qui a fait l’objet le 25 janvier dernier d’une décision d’adéquation qui aura pour conséquence de fluidifier les transferts de données entre les pays de l’Union européenne et le Japon.

ADRIEN BASDEVANT

Cela n’aboutira sans doute pas à l’élaboration d’une réglementation mondiale harmonisée, mais peut contribuer à une convergence vers des standards communs. Cette confluence aura d’autant plus de chances d’advenir si le RGPD est perçu comme un avantage compétitif décisif. En effet, des multinationales vont vouloir se saisir de ces réglementations pour se différencier de leurs concurrents. C’est le cas de Microsoft, qui applique le RGPD non seulement au sein de l’UE mais dans tous les autres pays du monde, afin de se démarquer des pratiques d’autres GAFA.

FLORENCE CHAFIOL

Le modèle européen pourrait certes être un standard mondial de protection des données personnelles. Cependant, à ce stade, la multiplication de lois différentes sur la protection des données personnelles au niveau mondial est quelque peu inquiétante car cela vient complexifier la tâche des entreprises qui doivent se conformer à des réglementations différentes, qui ne sont pas forcément toujours compatibles.

Quelles devraient être les prochaines étapes pour assurer le respect de la vie privée des citoyens européens ?

ADRIEN BASDEVANT

La prochaine étape sera d’appliquer les règles déjà existantes. Plusieurs dispositions très protectrices, comme celles relatives aux décisions automatisées ou au profilage, n’ont jamais fait l’objet de décisions judiciaires. Par ailleurs, il va falloir affiner l’interprétation des principes du RGPD, par exemple afin de mettre à jour les codes de conduite sectoriels (assurance, santé, etc.) ainsi que pour l’imbrication avec des technologies de pointe (blockchain, chiffrement homomorphe, anonymisation, etc.). Toute la difficulté et le paradoxe avec l’auto-régulation prônée par le RGPD est qu’elle induit une forme d’insécurité juridique pour les groupes les plus proactifs et innovants. En effet, dans certaines hypothèses, ces derniers ne peuvent être certains que leur approche sera validée tant qu’ils ne sont pas contrôlés.

Enfin, il est utile d’avoir dès aujourd’hui des discussions éthiques sur les enjeux soulevés par les usages innovants. En effet, l’éthique permet de se préparer en amont aux évolutions futures (par exemple, sur la question des discriminations algorithmiques, ou de la reddition de comptes des boîtes noires, etc.) et aux nouvelles règles de droit à adopter.

Il est utile d’avoir dès aujourd’hui des discussions éthiques sur les enjeux soulevés par les usages innovants.

Ainsi, le "Privacy by design" était un concept éthique proposé dès les années 90 par Ann Cavoukian (responsable de l’Office de protection de données à Ontario) avant de devenir une obligation légale, trente ans plus tard, au sein du RGPD. Il est en revanche fondamental de résister à la tentation contemporaine de vouloir substituer le droit par l’éthique, car on a besoin de règles contraignantes. On ne peut se contenter uniquement de droit mou pour aborder des sujets de société.

FLORENCE CHAFIOL

Par ailleurs, il est vraisemblable que l’on voie apparaître une multiplication d’actions menées par des groupes de personnes souhaitant faire entendre leurs voix par le biais d’associations ou d’organismes pouvant les représenter. En effet, les individus peuvent de manière collective former des réclamations s’ils considèrent que les droits que leur confère le RGPD en matière de protection des données ont été violés. Peu d’actions ont pour le moment été lancées mais je ne serai pas étonnée que cette pratique se développe.