« RGPD[1] : sommes-nous prêts ? ». Tel était le titre de l’atelier-recherche organisé par le Centre de Recherche de l’École des Officiers de la Gendarmerie Nationale le 31 mai dernier. Lors de cet atelier, Claire Levallois-Barth est intervenue sur le thème de l’évolution de la protection des libertés et des droits fondamentaux à l’ère du numérique.
Texte ambitieux s’il en est, le RGPD vise à assurer le droit fondamental pour les personnes physiques à la protection de leurs données personnelles, reconnu notamment par l’article 8 de la Charte des droits fondamentaux de l’Union européenne[2]. Cependant, il ne s’agit pas d’un droit absolu. Il existe en effet une absence de hiérarchie entre les droits fondamentaux, notamment les libertés d'expression et la liberté d'entreprise. Lors de la mise en balance de deux droits fondamentaux, par exemple la protection des données personnelles et la liberté d’information comme dans l’arrêt de la Cour de Justice de l’Union européenne Google Spain, le principe de proportionnalité s’applique[3].
Par ailleurs, ce droit fondamental s’inscrit dans l'intégration économique. C’est ici un double objectif qui est recherché : protection des données personnelles et libre circulation de ces mêmes données. Si cet objectif n’est pas nouveau (il figurait déjà dans la directive 95/46/CE[4]), on peut cependant se demander si l’accent n’est pas plutôt mis sur le marché. Ainsi, le législateur cherche à instaurer la confiance peut-être moins du citoyen et plus du consommateur, la protection de ce dernier étant une condition préalable pour qu’il « accepte » l’économie numérique.
Dans ce contexte, la régulation du marché mobilise ce que l’on appelle le « droit flexible », c’est-à-dire un droit « qui invite plus qu’il ne contraint, qui propose plus qu’il n’impose »[5]. Ce droit cherche à instaurer la confiance des utilisateurs via des mécanismes de réduction de l’incertitude et de gestion des risques via le RGPD :
- Réduction de l’incertitude via des règles censées permettre à la personne de décider en connaissance de cause, notamment en renforçant les obligations d’information et de transparence et en instaurant de nouveaux droits : droit à l’effacement (droit à l’oubli), droit à la limitation des données, droit à la portabilité des données.
- Gestion des risques, en particulier avec la nouvelle obligation de protection des données dès la conception et par défaut, et preuve de cette gestion via l’introduction de l’obligation de responsabilité.
Cette vision européenne de la protection des droits fondamentaux a cependant un coût non négligeable pour les entreprises soumises au RGPD, et ce d’autant plus que le RGPD renforce les sanctions et introduit la possibilité d’action de groupe. Face notamment aux Etats-Unis, l’Europe a-t-elle réellement les moyens d’imposer sa vision des droits de l’homme ? Mais si des organisations américaines, et non des moindre, entendent être en conformité avec le RGPD, il est cependant permis d’avoir quelques doute quant à l’application l’effectivité de la protection ainsi que le montre le scandale Cambridge Analytica.
Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom ParisTech
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JOUE L 119/1 du 4 mai 2016, http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR.
[2] L'article 8, § 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, § 1, du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
[3] Arrêt de la Cour (grande chambre) du 13 mai 2014. Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González.
[4] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281, p. 31.
[5] Mekki, M., (2009). Propos introductifs sur le droit souple, in Le droit souple, Dalloz, Coll. « Thèmes et commentaires », 2009, p. 11.