I2D - Information, données & documents 2019/1 n° 1
S'abonner
Article de revue

Le cadre législatif et réglementaire du Règlement général sur la protection des données (RGPD)

Pages 12 à 20

Citer cet article

  • DESGENS-PASANAU, Guillaume,
2019. Le cadre législatif et réglementaire du Règlement général sur la protection des données (RGPD) I2D - Information, données & documents, 2019/1 n° 1, p.12-20. DOI : 10.3917/i2d.191.0012. URL : https://shs.cairn.info/revue-i2d-information-donnees-et-documents-2019-1-page-12?lang=fr.
  • Desgens-Pasanau, Guillaume.
« Le cadre législatif et réglementaire du Règlement général sur la protection des données (RGPD) ». I2D - Information, données & documents, 2019/1 n° 1, 2019. p.12-20. CAIRN.INFO, shs.cairn.info/revue-i2d-information-donnees-et-documents-2019-1-page-12?lang=fr.
  • Desgens-Pasanau, G.
(2019). Le cadre législatif et réglementaire du Règlement général sur la protection des données (RGPD) I2D - Information, données & documents, 1(1), 12-20. https://doi.org/10.3917/i2d.191.0012.

https://doi.org/10.3917/i2d.191.0012

Article
Résumé
Auteur(e)s
Illustrations
Cité par
Sur un sujet proche

Citer cet article

  • Desgens-Pasanau, G.
(2019). Le cadre législatif et réglementaire du Règlement général sur la protection des données (RGPD) I2D - Information, données & documents, 1(1), 12-20. https://doi.org/10.3917/i2d.191.0012.
  • Desgens-Pasanau, Guillaume.
« Le cadre législatif et réglementaire du Règlement général sur la protection des données (RGPD) ». I2D - Information, données & documents, 2019/1 n° 1, 2019. p.12-20. CAIRN.INFO, shs.cairn.info/revue-i2d-information-donnees-et-documents-2019-1-page-12?lang=fr.
  • DESGENS-PASANAU, Guillaume,
2019. Le cadre législatif et réglementaire du Règlement général sur la protection des données (RGPD) I2D - Information, données & documents, 2019/1 n° 1, p.12-20. DOI : 10.3917/i2d.191.0012. URL : https://shs.cairn.info/revue-i2d-information-donnees-et-documents-2019-1-page-12?lang=fr.

https://doi.org/10.3917/i2d.191.0012

Notes

  • [1]
    Règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel
  • [2]
    Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
  • [3]
    Ordonnance n° 2018-1125 du 12 décembre 2018


Guillaume DESGENS-PASANAU

Description de l'image par IA : Homme aux cheveux courts et clairs, barbe naissante, portant une veste et une chemise bleue, en extérieur.

Guillaume DESGENS-PASANAU

1Depuis le 25 mai 2018, chaque professionnel, responsable de traitement ou sous-traitant, doit s’assurer de la mise en conformité de ses traitements au RGPD. Les entreprises, mais également les organismes publics ou associatifs sont ainsi désormais tenus à un devoir d’exemplarité en matière de protection des données, au risque d’engager de manière importante leur responsabilité juridique et, au-delà, de nuire à leur réputation ou à leurs intérêts commerciaux. Cela conduit actuellement de nombreux professionnels à s’interroger sur les mesures à mettre en œuvre afin d’engager un plan de mise en conformité. La tâche n’est pas facile tant la réglementation Informatique et Libertés est aujourd’hui devenue complexe, mouvante et protéiforme.

1. Nouveaux équilibres : l’ère de la privacy

2Nous sommes désormais de plain-pied dans l’ère de la privacy, terme qui ne trouve aucune traduction satisfaisante en français, mais qui exprime bien le virage amorcé par l’adoption du RGPD. Ce texte, applicable en France depuis le 25 mai 2018 [1], supplante désormais tous les textes nationaux applicables en la matière. La loi Informatique et Libertés a été remplacée depuis par la loi du 20 juin 2018 [2] « sur la protection des données personnelles » dont le véritable objet, par-delà l’aspect symbolique relatif au maintien de dispositions nationales, est de préciser et compléter à la marge le texte européen. Une ordonnance du 12 décembre 2018 [3] a également apporté certaines modifications formelles au cadre juridique applicable en France, rendues nécessaires pour assurer la cohérence rédactionnelle des textes.

3Dans ce contexte, il y a matière à se réjouir de l’adoption du RGPD, et ce, pour deux raisons : Tout d’abord, l’adoption du règlement sonne le glas des formalités préalables à accomplir auprès du régulateur local. En France, la loi Informatique et Libertés et les pratiques de la CNIL ont été très fortement marquées par les règles juridiques relatives aux déclarations à accomplir. À tel point qu’aujourd’hui encore, beaucoup de professionnels considèrent que la mise en conformité d’un fichier se résume à l’accomplissement de la formalité déclarative ad hoc auprès de la CNIL, au détriment du contrôle des modalités de fonctionnement du fichier lui-même.

4La mise en conformité d’un traitement à la loi implique pourtant de définir, autour du traitement, les mesures de nature juridique, technique et organisationnelle conformes aux prescriptions légales (sécurité, durée de conservation des données, mentions d’information, etc.). Les professionnels ne pourront plus désormais s’abriter derrière le paravent des formalités préalables et devront se préoccuper des règles à définir en interne pour assurer la conformité de leurs traitements.

5D’autre part, l’harmonisation des règles de protection des données au niveau européen est une chance pour le développement économique de nos entreprises. La transposition de la directive du 24 octobre 1995 dans les différents pays de l’Union a été marquée par des différences notables qui ont grandement complexifié le travail des entreprises exerçant des activités au niveau paneuropéen et qui les ont fragilisées à l’égard d’acteurs économiques établis en dehors de l’Union européenne, par exemple aux États-Unis ou en Asie. Le règlement opère désormais un lissage des règles applicables et la mise en place d’un système de « guichet unique », ce qui permettra de garantir une mise en œuvre uniforme des programmes de conformité au niveau paneuropéen, et donc une rationalisation des coûts. Par ailleurs, le contexte de l’internationalisation des flux rend nécessaire, au-delà des aspects purement juridiques, que l’Europe parle d’une seule voix sur le plan politique face aux autres États du monde qui n’entendent pas a priori se conformer à un cadre aussi protecteur que celui défini en Europe. Ceci est d’autant plus vrai que, s’agissant de l’internet, les opérateurs les plus importants sont tous établis en dehors de l’Union européenne. L’adoption du règlement permet ainsi à l’Union européenne de disposer d’un outil harmonisé qui lui donnera la possibilité de peser plus lourdement dans le cadre de négociations internationales, par exemple concernant un éventuel traité impliquant les États-Unis ou les pays de la zone Asie-Pacifique.

Les 5 grands principes de protection des données

Le principe de finalité : le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime
Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier
Le principe d'une durée de conservation limitée : il n'est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier
Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations
Les droits des personnes : les personnes fichées ont des droits vis-à-vis du responsable de traitement (notamment consentement préalable dans certains cas, et droits à l’information préalable, à l’accès, la rectification, l’opposition et la portabilité des données).
(source CNIL)

1.1. L’obligation de documenter la conformité

6Le pendant de l’abandon des formalités préalables est la mise en œuvre de l’obligation, pour le responsable de traitement, de documenter sa conformité (art. 5 et 24 du règlement). Ceci valorisera utilement une démarche de « corégulation » au travers de laquelle l’entreprise ou l’organisme public est invité à se responsabiliser et à définir, par lui-même et souvent au travers du contrôle du « délégué à la protection des données » (art. 37 et s. RGPD), les mesures de mise en conformité qu’il estime les plus adaptées à sa situation et sur la base desquelles il est tenu de rendre compte, tant auprès des autorités de contrôle que des personnes fichées, de son niveau exact de conformité à la loi. Les risques de non-conformité sont aujourd’hui tels (risque pénal, de sanction administrative mais surtout d’image) que les professionnels ont bien compris l’intérêt qu’ils ont à engager des programmes internes de mise en conformité. Nul doute que cela sera plus efficace, en termes de protection des données, que l’accomplissement de formalités administratives.

7Si les principes fondamentaux de protection des données restent globalement inchangés, les modalités de gestion de la conformité « Informatique et Libertés » sont totalement bouleversées : accountability, data protection officer, privacy by design, privacy impact assessment, tels sont les nouveaux principes cardinaux de protection des données applicables en droit français, tous issus du monde anglo-saxon et qui marquent, sans aucun doute, une nette évolution du socle juridique du droit à la protection des données, du droit romain vers la common law, à la faveur de la négociation du texte engagée au niveau européen depuis 2012.

1.2. Le Délégué à la protection des données

8Alors qu'en France près de 20 000 organismes avaient désigné depuis 2004 un Correspondant informatique et libertés (CIL), le RGPD est venu remplacer ce dernier par un Délégué à la protection des données (DPD), dont la désignation devient obligatoire dans certains cas.

9La désignation d'un DPD constitue d'une part l'une des diligences permettant d'attester des démarches mises en œuvre en termes de gestion de la conformité, au même titre par exemple que la rédaction d'études d'impact (PIA) ou la réalisation d'opérations d'audit. Ce faisant, le DPD est vecteur de sécurité juridique et permet au responsable de traitements de ménager sa responsabilité, notamment pénale, eu égard aux obligations lui incombant au titre de la réglementation « Informatique et Libertés ».

10Le DPD apparait d'autre part et plus largement comme le coordonnateur du plan de mise en conformité que chaque responsable de traitement doit mettre en œuvre sur le plan opérationnel concernant les différents outils de gestion de la conformité définis par le RGPD (registre des traitements, études d'impact, etc.).

1.3. D’une obligation de résultat vers une obligation de moyens renforcée

11Si le RGPD met à la charge des responsables de traitement et des sous-traitants des obligations plus nombreuses, le respect de celles-ci leur permet de ménager plus facilement leur responsabilité que ce n’est le cas aujourd’hui. Les obligations de documentation ou d’accountability reposent en effet désormais sur la mise en œuvre d’une « approche par les risques », laquelle consiste à adapter les mesures organisationnelles de protection des données en fonction des risques précis identifiés à l’égard des personnes concernées.

12Si les autorités locales de protection des données (en France la CNIL) seront habilitées à prononcer des sanctions financières pouvant atteindre 4 % du chiffre d’affaires mondial d’une entreprise, le RGPD prévoit spécifiquement que le montant de la sanction devra être adapté au regard du respect par l’entreprise des règles d’accountability, de sa bonne foi ainsi que de son esprit de collaboration avec l’autorité.

13Ce faisant, le RGPD modifie radicalement la donne. En effet, jusqu’en 2018, les obligations figurant dans la loi Informatique et Libertés étaient des obligations de résultat. Peu importait la bonne ou la mauvaise foi du responsable de traitement. Peu importait également la nature des diligences que celui-ci avait pu entreprendre afin de protéger les données de ses clients ou de ses salariés. Dans ce schéma, la constatation de l’existence d’un manquement à la loi suffisait par exemple à la CNIL pour prononcer une sanction financière ou un avertissement public. On a ainsi vu la CNIL sanctionner publiquement des entreprises en raison de zones bloc-notes dites « inappropriées » même si ces zones ne représentaient que 0,1 % d’un fichier clients par ailleurs parfaitement bien géré et conforme à la loi.

14Avec le RGPD, cette situation ne sera plus envisageable et le responsable de traitement qui aura engagé une réelle démarche de mise en conformité à la réglementation sera en réalité plus protégé qu’il ne l’était jusqu’à présent contre les risques de sanction ou de publicité négative.

2. Les limites du RGPD : incertitudes et occasions manquées

15Le RGPD, outre qu’il est d’une lecture longue et malaisée (près de 100 pages de texte…), ne modifie pas fondamentalement les règles cardinales du droit à la protection des données.

16En particulier, les droits des personnes fichées ne sont modifiés qu’à la marge, alors qu’on ambitionnait de les renforcer significativement. Ainsi le consentement préalable de la personne concernée, dont on a beaucoup parlé, restera bien l’exception, conformément à ce qui figure déjà dans notre droit (art. 6 RGPD). De même, le nouveau « droit à la portabilité » des données, s’il constituera une épine dans le pied de nombre de responsables de traitements, n’est rien d’autre qu’un élargissement des modalités d’exercice du droit d’accès. Au-delà, l’analyse de conformité d’un traitement à la loi s’effectuera sur la base des mêmes principes-clé (finalité, proportionnalité, sécurité, durées de conservation, etc.). Si quelques nouveaux concepts sont introduits, comme par ex. le principe de minimisation des données (art. 5 RGPD), nul doute que celui-ci sera dans la pratique « fondu » dans le principe déjà bien connu de proportionnalité, tant il parait vain d’exiger des entreprises, à l’heure des big data, de leur interdire d’exploiter les données collectées pour des finalités nouvelles, si celles-ci respectent globalement le cadre Informatique et Libertés. Ce concept nouveau, ainsi que quelques autres, ne résisteront pas aux contraintes économiques (et aux enjeux associés en termes d’emploi) auxquelles sont confrontées nos entreprises.

17Dans un contexte de concurrence exacerbée au niveau international, l’approche maximaliste adoptée parfois dans le RGPD apparait contreproductive.

2.1. Quelle stratégie pour la CNIL ?

18La fin des formalités préalables constitue un enjeu majeur de conduite du changement pour la CNIL, dont les effectifs restaient jusqu’en 2018 principalement composés d’agents en charge d’instruire des dossiers de déclaration. Dans le contexte du développement de l’accountability, le contrôle a priori exercé par la CNIL sera désormais axé sur la publication de référentiels et de recommandations visant à orienter les responsables de traitement dans leurs opérations de mise en conformité (études d’impact, analyses de faisabilité juridique, audit, etc.). Or la CNIL, au cours des dernières années, n’avait jamais produit aussi peu de référentiels ou de recommandations.

19Elle s’est manifestement engagée de manière appuyée, depuis mai 2018, à rattraper ce retard et à publier de nouveaux référentiels (www.cnil.fr), par exemple sur la gestion clients, la lutte contre la fraude ou les traitements biométriques.

20Nombre de sujets, pour lesquels les professionnels sont depuis des années en attente de recommandations nouvelles, comme par exemple en matière de gestion du recrutement, n’ont pas donné lieu à la constitution de référentiels récents. Ce point est essentiel, car l’absence de recommandations précises et techniques mises à disposition par le régulateur risque de conduire d’une part à une situation d’insécurité juridique pour les responsables de traitement, et, d’autre part, à un affaiblissement possible du niveau de protection des personnes, si les professionnels contournent la difficulté en exploitant des référentiels émanant de tiers, lesquels manquent parfois d’indépendance…

21En contrepoint, quelle sera la stratégie du régulateur en matière de sanctions pécuniaires, étant rappelé qu’il lui sera désormais possible de prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise ? Là encore, les statistiques concernant les sanctions pécuniaires prononcées ces dernières années étaient particulièrement décevantes. En 2015, la CNIL n’avait par exemple prononcé que…. trois sanctions pécuniaires.

22L’équilibre tout entier du règlement européen – et la crédibilité du régulateur - reposent désormais sur les pouvoirs de sanction a posteriori, à charge pour les autorités de contrôle de s’en emparer, à défaut de quoi le niveau global de protection des personnes pourrait bien diminuer… La CNIL semble avoir bien pris la mesure du sujet, et a prononcé fin 2018 / début 2019 plusieurs sanctions pécuniaires conséquente, incluant une amende de 20 millions d’euros à l’encontre de Google. Il reste à souhaiter que cette politique répressive volontariste perdure avec le temps…

23Parmi les autres questions relatives au nouveau rôle du régulateur national, des interrogations demeurent également sur sa capacité à mettre en œuvre rapidement les mécanismes de coopération entre autorités locales, dans le cadre du dispositif de contrôle de cohérence (art. 63 RGPD), tant les mécanismes de coopération entre autorités concernant la gestion de dossiers communs apparaissent à ce jour peu développés.

2.2. Internet : de quelques occasions manquées

24Au-delà du positionnement du régulateur, force est de constater que l’adoption du règlement n’a pas permis d’apporter des solutions à certains enjeux majeurs de protection des données soulevés par le développement de l’internet. Pourtant, l’une des raisons ayant motivé la Commission européenne à engager la réforme est relative à la place importante prise par Internet dans la vie des citoyens européens. En particulier, le développement des pratiques « d’exposition de soi » sur les réseaux sociaux ou les blogs a conduit les institutions européennes à vouloir mieux protéger les personnes fichées contre les risques de dérives.

25Ainsi, nombre des règles de base en matière de protection des données ont fait l’objet, dans le cadre de cette réforme, d’une révision sur la base du prisme exclusif d’Internet, alors même que de nombreux fichiers mis en œuvre par les entreprises ou les administrations n’ont strictement rien à voir avec Internet. Ceci se traduit parfois par une complexification inutile de certaines règles qui, par ailleurs, n’apparaissent pas vraiment renforcer les droits des personnes fichées.

26Une autre occasion manquée concerne les moteurs de recherche. Les autorités européennes ont beaucoup communiqué sur le renforcement du « droit à l’oubli ». Face à l'inertie des régulateurs nationaux au cours des dernières années sur ce sujet, c'est la Cour de justice de l’Union européenne qui est venue renforcer les droits des internautes en consacrant, dans sa décision du 13 mai 2014, un « droit au déréférencement ». On peut regretter que ce droit nouveau pour les personnes fichées n'ait pas été repris dans le RGPD, et que, plus largement, compte-tenu de l'importance prise sur le plan économique et politique par ces opérateurs, des règles spécifiques n'aient pas été construites à leur égard.

27Des règles similaires existent bien, par exemple, à l'égard des opérateurs télécoms (directive 2002/58/CE), lesquels sont même parfois contraints de collecter le consentement exprès des personnes concernées préalablement à l'exploitation de leurs données (par ex. en matière de géolocalisation). Il est regrettable que, pour des raisons de pur lobbying, une approche similaire n'ait pas été adoptée à l'égard des moteurs de recherche, lesquels ont tous leur siège social et leurs serveurs informatiques établis en dehors de l'Union européenne. La donne va peut-être changer à court ou moyen terme dans le cadre d’un autre texte européen, le projet de règlement e-privacy publiée le 10 janvier 2017. Ce texte, relatif pour partie à la protection des données dans le secteur des communications électroniques, permettra peut-être de renforcer les droits des personnes en matière de prospection commerciale par voie électronique et de marketing ciblé sur internet. La version définitive du texte devait être adoptée avant fin 2018, mais compte tenu des enjeux financiers considérables pour les acteurs de l’Internet et du fort lobbying engagé depuis par les plateformes, la date d’adoption définitive du texte n’est aujourd’hui pas connue.

28***

29Nous vivons actuellement une révolution numérique qui nécessite assurément d’adapter nos règles de droit aux nouveaux enjeux en présence. Chacun aura tout loisir, au cours des prochaines années, de se faire son opinion sur le point de savoir si le changement de paradigme juridique induit par le RGPD permettra de vivifier la célèbre maxime Informatique et Libertés aux termes de laquelle :

30« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Mots-clés éditeurs : Accountability, CNIL, Privacy, Protection des données, RGPD

Date de mise en ligne : 07/08/2019

https://doi.org/10.3917/i2d.191.0012