Les auteurs de cet article abordent un sujet à la notoriété paradoxale pour un texte de droit européen, le Règlement Général sur le Protection des Données (RGPD). Au-delà du texte de droit, la RGPD illustre la prise de conscience par l’Union Européenne de la nécessité de protéger les données personnelles dans le cyberespace, acte de souveraineté à la portée normative internationale et qui témoigne du poids du soft power européen.
Les opinions exprimées dans cet article n’engagent pas le CSFRS.
Les références originales de ce texte sont : « Souveraineté et confiance : les enjeux du RGPD », Jérôme Lagasse, Anthony Bruillard, Note du CREOGN n°34, septembre 2018
Cette note se propose de synthétiser les propos des intervenants de l’atelier de recherche gendarmerie organisé par le CREOGN le 31 mai 2018, à Paris-Bercy. Elle prolonge une réflexion déjà ouverte par le CREOGN dans sa Note n° 22 : https://www.gendarmerie.interieur.gouv.fr/crgn/content/download/818/11959/version/1/file/RGPD-V-4P.pdf
Ce texte, ainsi que d’autres publications peuvent être visionnés sur le site du CREOGN
Texte long et austère, sujet complexe et technique, le Règlement général sur la protection des données (RGPD) [1] s’est paradoxalement vu porté, tout au long du printemps 2018, à la une de l’actualité. Notoriété inégalée pour un texte de droit européen : tout le monde connaît désormais le RGPD ; même si souvent c’est au prix d’une compréhension réductrice, « facebookienne », puisque ses principaux vulgarisateurs sont les réseaux sociaux. À l’ère numérique, le RGPD acte du passage de nos sociétés à un droit plus souple (soft law). D’un côté, l’État est davantage appelé à jouer un rôle d’accompagnateur, de régulateur, de facilitateur ; et de l’autre, les citoyens et les acteurs économiques sont toujours plus responsabilisés et « en-capacités » (empowerment). En outre, il souligne l’influence mondiale que l’Union européenne (UE) entend exercer en faveur des droits de ses citoyens dans l’espace numérique.
Nous verrons, dans un premier temps, pourquoi l’UE avait besoin de se doter de ce nouveau texte et en quoi il représente un acte de souveraineté européen dans le cyberespace. Nous étudierons ensuite la révolution culturelle que représente le règlement, tant du point de vue des responsables de traitement (RT) que des conseillers juridiques et de l’autorité de contrôle (en France, il s’agit de la Commission nationale de l’informatique et des libertés – CNIL).
I. – LE RGPD : UN ACTE QUI AFFIRME LA SOUVERAINETÉ EUROPÉENNE DANS LE CYBERESPACE
A. Pourquoi le RGPD ?
Avant le RGPD, le néant ? – La Commission européenne s’est saisie de la protection des données personnelles au début des années 1990, au moment de l’essor de l’informatique, soit bien après le Conseil de l’Europe et l’OCDE [2]. En la matière, le premier texte substantiel de l’Union est la directive de 1995 [3], où figurent déjà les grands principes du RGPD : intégrité des données, licéité de la collecte, régime spécial des données sensibles, droit d’accès et d’opposition, etc. Cependant, ce texte souffrait de son statut de directive, car – contrairement à un règlement – il n’était pas applicable directement dans les États membres et laissait donc subsister, entre les législations nationales, d’importantes disparités d’appréciation. Une divergence dénoncée dès les années 2000 – par la Commission, le Parlement et le Contrôleur européen à la protection des données – comme un obstacle au bon fonctionnement du marché unique. Dans ce contexte, le 4 novembre 2010, la Commission initiait le processus qui, cinq ans et demis plus tard, aboutirait à l’adoption du RGPD. Période marquée par des crises récurrentes en matière de protection des données (affaire Snowden notamment) qui ont conduit la Cour de justice de l’UE (CJUE) à développer une jurisprudence [4], dont le règlement porte la marque.
Un texte qui promeut la croissance économique par la confiance des consommateurs dans l’économie numérique – Le RGPD vient protéger un droit fondamental, celui du « droit à la protection des données à caractère personnel », reconnu à tout citoyen européen, depuis 2000, par la Charte des droits fondamentaux de l’UE dans son article 8 [5]. De cette manière, il a pour finalité de stimuler la croissance et la compétitivité des entreprises européennes en renforçant la confiance des consommateurs dans l’économie numérique. Ces derniers disposent désormais de toute une gamme de moyens d’action (e.g. notification en cas de perte de données ou de faille de sécurité, portabilité des données, droit d’accès, d’opposition, d’effacement, de limitation du traitement, etc.) qui sont pour eux autant d’« outils de réduction de l’incertitude ». Toujours dans ce sens, le RGPD oblige les RT : à utiliser des traitements conçus pour respecter la confidentialité des données (data protection by design ; par exemple la pseudonymisation des données collectées) et à ne collecter que les seules données nécessaires (data protection by default) [6]. Le règlement impose également aux RT de prouver à tout moment la bonne utilisation et la protection adaptée des données qui leurs sont confiées. Pour coûteuse et longue que soit cette mise en conformité, il permet aux entreprises de disposer in fine d’une base de données pertinente et intègre, représentant pour elle un authentique avantage concurrentiel.
Un texte qui introduit un droit plus souple – Le RGPD étend des mesures de droit souple à l’ensemble des États membres de l’Union : code de conduite, certification, analyse d’impact, registre d’activité et, surtout, obligation de disposer d’un délégué à la protection des données (DPD). C’est un changement de paradigme, plus bouleversant dans certains États membres que dans d’autres. Ainsi, l’autorité de contrôle s’oriente vers un rôle d’accompagnateur, de régulateur et de facilitateur. Quant aux RT, ils passent de la logique de déclaration à celle de conformité et de responsabilité (accountability). Facteur d’harmonisation, le RGPD laisse néanmoins aux États membres d’importantes marges d’autonomie pour décliner ses dispositions dans leur droit national. Pour la France, le contenu du règlement a été intégré à la loi « Informatique et Libertés » de 1978, par la loi du 20 juin 2018 [7]. Cette harmonisation bénéficie également aux entreprises – y compris extra-européennes – en tant qu’outil de cohérence de leurs pratiques et de conformité de leurs systèmes de traitement, mais surtout comme outil favorisant une nouvelle culture d’entreprise, dans laquelle confiance et respect de la vie privée se rejoignent. Le RGPD n’a pourtant pas une vocation générale, certains traitements continuant de relever de plusieurs textes différents et complémentaires. Ainsi, les transferts de données dans le cadre de la coopération policière et pénale internationale sont régis par la nouvelle directive 2016/680 [8], et les télécommunications par la directive 2002/58 (jusqu’à son remplacement par le futur règlement e-Privacy).
B. Un texte à vocation internationale, témoignage du soft power européen au XXIe siècle
Un acte de souveraineté de l’Union européenne – Le RGPD est une illustration du soft power européen. Par son biais, l’UE affiche sa volonté de garantir à ses citoyens une protection appropriée de leurs droits à l’ère numérique, mais également son ambition de faire adopter largement ses normes dans le cyberespace (les transferts de données hors UE étant conditionnés à l’existence d’une protection adéquate dans le pays destinataire). Plusieurs États travaillent d’ailleurs déjà à rapprocher leurs normes de celles du RGPD [9].
Des influences réciproques – Si le droit européen de la protection des données personnelles influence bien audelà des frontières de l’UE, la réciproque est tout aussi vraie. Ainsi, dans le RGPD, l’aggravation des sanctions et la notion d’accountability sont inspirées du modèle américain. Quant au concept de data Privacy by design, il a été développé au Canada dans les années 1990, par Ann Cavoukian [10], alors Commissaire à l’information et à la protection de la vie privée de l’Ontario. Plus globalement, le RGPD est fortement empreint de la conception américaine du droit souple (soft law), fondé sur l’autorégulation, la co-création des normes et les bonnes pratiques.
Une vocation extra-territoriale évidente, mais source de conflits – Étant donné l’étendue mondiale d’Internet et le fait que parmi les principaux RT actifs dans l’UE, beaucoup sont américains (réseaux sociaux, moteurs de recherche, fournisseurs de boîtes mail, etc.), le RGPD a naturellement vocation à s’appliquer à des entreprises qui n’ont pas leur siège dans l’UE. Certaines sociétés américaines emblématiques ont annoncé être ou se mettre en conformité avec le règlement. Inversement, d’autres puissances peuvent revendiquer l’application de leur législation à des entreprises européennes ou à des données stockées dans l’UE. A cet égard, l’affaire Microsoft c/ USA est symptomatique des enjeux que soulève la protection des données gérées par des multinationales, et les disparités de normes entre l’UE et le reste du monde. Cette bataille juridique avait débuté en 2013, après que Microsoft a refusé de divulguer les données d’un de ses clients – stockées en Irlande – que lui demandait le FBI. Or, sans attendre la décision de la Cour suprême des Etats-Unis, le Congrès a voté le 23 mars 2018, le CLOUD Act [11], intégré à la loi de finances. Ce « cavalier législatif » permet désormais aux autorités des États-Unis d’accéder aux données des entreprises américaines, sur le territoire national comme à l’étranger. Ce faisant, il entre en contradiction avec le RGPD, avec son article 48 notamment, qui prévoit que le transfert de données personnelles ne peut être demandé par un État tiers qu’en vertu d’un accord international. Le RGPD, à cet égard, marque le point de départ d’un long processus de négociations internationales.
L’UE a démontré qu’elle souhaite jouer un rôle de premier ordre dans la gouvernance du cyberespace, en imposant des normes innovantes et en suscitant l’adhésion au-delà de ses frontières. Cependant, il reste à savoir dans quelle mesure elle se donnera les moyens de son ambition.
II. – UNE VÉRITABLE RÉVOLUTION CULTURELLE
A. Le RGPD vu par les responsables de traitement : entre opportunité et difficultés pratiques
La mise en œuvre du règlement : l’opportunité d’une meilleure valorisation des données – L’enjeu de la transformation demandée par le RGPD n’a été, globalement, que tardivement appréhendé. Il a souvent permis un aggiornamento des pratiques passées et entraîné une prise de conscience de la valeur des données personnelles. Le formalisme de la déclaration qu’adressaient les RT à la CNIL l’avait emporté sur le fond, à savoir la donnée. Le traitement des données sensibles, à l’instar des données de santé, a demandé un travail particulièrement important de mise en conformité. Le ministère de la Santé a ainsi élaboré un référentiel de sécurité dès 2016 ; et il travaille à la mise en place d’un système national des données de santé (SNDS) avec différents niveaux d’habilitation. Ainsi, la sécurité des données n’est-elle plus vue comme un problème de technicien, mais bien comme une affaire de gouvernance, un facteur de compétitivité et de performance, mais aussi – et plus fondamentalement – de bonne réputation.
Le DPD : le difficile rôle d’un chef d’orchestre – Le passage du correspondant Informatique et Libertés (CIL, prévu par la loi de 1978) au DPD n’est pas une révolution, mais une évolution qui répond à la nouvelle philosophie du RGPD. Au carrefour du droit et des nouvelles technologies, le DPD est beaucoup plus polyvalent que son prédécesseur. Surtout, il n’est pas seul, même si sa caractéristique est d’être indépendant. Il agit, en effet, en coordonnateur d’un réseau, ce qui n’était pas le cas du CIL. C’est ainsi qu’en amont des traitements, il se fait l’interface entre le RT, le responsable de la sécurité des services d’information (RSSI) et les concepteurs des systèmes de traitement. Chargé de l’évaluation et de l’analyse juridique en amont, puis de l’analyse d’impact, mais également de la sensibilisation et de la formation des personnels, le DPD entre en relation directe avec les services chargés des traitements. Pour autant, son positionnement varie en fonction de la nature de l’établissement, de sa taille, de sa culture professionnelle et de sa responsabilité sociétale.
La situation des collectivités territoriales : faire face à la dissémination géographique et au manque de moyens – L’étude intitulée Données personnelles et collectivités territoriales [12], commanditée par le CREOGN, a permis d’identifier leurs problématiques. Tout d’abord, les rédacteurs ont insisté sur le véritable « trésor national » que représentent les données personnelles détenues par ces collectivités pour le bon fonctionnement de leurs services. Elles sont un véritable livre ouvert sur la vie privée des usagers. Par ailleurs, il apparaît dans cette étude que les pratiques des élus et des agents ne sont pas toujours en conformité avec les règles de protection des données personnelles. Rares sont, dans l’échantillon étudié, ceux qui ont une véritable culture de la sécurité, aussi bien informatique que physique. Tant le stockage que le transfert des données se font souvent sans aucun processus de sécurité adapté. Par exemple, aucune des collectivités sondées n’utilisait de technique de cryptage. Enfin, les RT (en l’occurrence, le maire ou le président de communauté de communes) avaient une vague conscience de leurs responsabilités, se reportant pour cette question sur leurs services juridiques et techniques. La crise causée en 2016 par le ransomware [13] Locky avait déjà sonné comme un rappel à l’ordre. Si un changement de culture est déjà en marche, l’application du RGPD pose surtout un problème de moyens aux petites collectivités. Ni les élus, ni les directeurs généraux des services ne sont des experts. Aussi l’étude préconise-t-elle la désignation de « structures de soutien » aux échelons national, régional et local, l’encadrement des relations aux prestataires extérieurs et le recrutement du DPD au niveau de l’intercommunalité.
B. Regards croisés de l’autorité de contrôle et d’un praticien du droit
Le big-bang du 25 mai n’a pas eu lieu… – Le RGPD n’a pas été la grande révolution annoncée par certains ou redoutée par d’autres. La CNIL a d’ailleurs effectué une grande campagne de dédramatisation à ce sujet. Ainsi, dans la plupart des cas, le règlement ne fait que réaffirmer des obligations inscrites dans le droit français depuis quarante ans. La durée de conservation, l’obligation d’information des personnes ou le droit d’accès remontent à la loi de 1978. Le RGPD ne raisonne pas en terme de taille des entreprises, mais de sensibilité des informations traitées. Par conséquent, pour une structure modeste dont le métier n’est pas le traitement de données personnelles ou une petite collectivité territoriale, l’effort de mise en conformité est infime, si au préalable elle était en conformité avec la loi « Informatique et Libertés »…
Des efforts de mise en conformité très variables en fonction des RT – Les grandes entreprises ont généralement commencé rapidement à s’approprier le RGPD : entre 15 et 18 mois avant le 25 mai, soit quelques mois seulement après la publication du règlement. Pour les entreprises de taille intermédiaire (ETI) et les petites et moyennes entreprises (PME), l’effort a été beaucoup plus tardif (entre 5 et 9 mois auparavant). L’insuffisance des ressources (financières et/ou humaines) en est une raison, mais le manque d’informations est tout aussi déterminant, beaucoup d’entreprises s’étant d’ailleurs contentées d’attendre la publication des fiches rédigées par la CNIL. Quant à l’acculturation, elle dépend beaucoup du secteur d’activité. Enfin, la mise en œuvre des outils de gouvernance suppose une concertation entre services et des prises de décision de la part des directions qui font encore souvent défaut.
La CNIL, de moins en moins « gendarme », de plus en plus accompagnatrice – Le RGPD est un changement extrêmement profond pour la CNIL et ses homologues européens. La Commission profite de la fin des obligations de déclaration pour renforcer son rôle d’accompagnateur. Si la CNIL peut désormais sanctionner plus lourdement les contrevenants [14], elle ne souhaite pas s’inscrire dans une approche strictement répressive, mais jugera des objectifs fixés et des efforts entrepris par les RT. De plus, elle se trouve impliquée davantage dans le réseau européen des autorités de contrôle (le G29). L’harmonisation offerte par le RGPD et le système du « chef de file » offrent un front uni des autorités de contrôle face aux grandes plates-formes numériques qui se jouaient jusque-là des compétences nationales au sein de l’UE.
En somme, le RGPD n’est pas une construction ex nihilo, ni un big-bang. Nous avons vu combien il doit aux textes qui l’ont précédé et aux influences extérieures. Œuvre d’harmonisation, il poursuit la construction européenne en étendant des règles plus protectrices : témoin de sa puissance normative mise au service des droits de ses citoyens, et de son ambition de s’affirmer comme une grande puissance dans l’espace numérique. Cependant, le règlement impulse une véritable révolution culturelle et un nouveau rapport à la donnée. Les efforts liés à sa mise en œuvre ont souvent révélé le « trésor » que constituent les données personnelles. Celles-ci sont désormais au cœur de l’activité de toute entreprise, de toute administration. Avec le RGPD, l’UE pose un acte de souveraineté dans le cyberespace, et nombre de pays déjà se rallient à la vision européenne. Le CLOUD Act, d’une certaine manière, est la réponse américaine à ce soft power européen. Plus qu’une simple liste d’obligations, plus qu’un nouveau rapport à la donnée, le RGPD modifie les rapports géopolitiques des puissances dans le cyberespace.
References