Nous l’attendions tous.
Le RGPD (Règlement Général sur la Protection des Données)[1] est entré en application ce 25 mai dernier. Cette date importante a donné lieu à de nombreux événements et réactions de la part des entreprises comme des institutions. Comme l’écrit l’Autorité de protection des données belge, il s’agit sans conteste d’« un nouveau vent, pas un ouragan ! ». Un nouveau vent qui visiblement porte jusqu’outre-Atlantique, puisque The Washington Post souligne la création d’« une norme mondiale de facto qui offre de nouvelles protections aux américains et des maux de tête aux entreprises technologiques nationales[2] ».
Ces « maux de tête » ne concernent pas uniquement les entreprises, mais également les États membres chargés de la mise en œuvre du texte. La France[3], l’Allemagne, l’Autriche, le Danemark, l’Italie, les Pays-Bas, l’Irlande, la Pologne, le Royaume-Uni et la Suède ont certes adapté leur législation générale nationale. Mais à ce jour la Belgique, la République Tchèque, la Finlande, la Grèce, la Hongrie et l’Espagne en sont toujours au stade des propositions de loi.
Et cela alors que le calendrier et les dispositions du texte législatif sont connus officiellement depuis le 4 mai 2016.
Les administrations françaises ne sont pas en reste ; certaines ont aussi souhaité bénéficier d’un délai. Ainsi, peu de temps avant l’entrée en application du RGPD, les collectivités territoriales ont indiqué qu’elles n’étaient pas prêtes, alors qu’elles étaient prévenues comme tout le monde depuis 2016.
Soixante sénateurs français se sont alors fait le relais de cette situation au point de menacer, puis de saisir le Conseil constitutionnel afin d’obtenir un délai dérogatoire.
La question du RGPD devient également de plus en plus prégnante, voire critique, dans les écoles et les universités pour garantir la vie privée des enfants comme des enseignants.
La problématique du formatage d’une société dans ses usages et pratiques dès l’école, dès le plus jeune âge, est un sujet soulevé par la Chaire VPIP depuis déjà de nombreuses années, et illustré par des cas pratiques majeurs tels que les jouets connectés et l’évidente propension croissante des GAFA à vouloir investir le secteur de l’enseignement.
Comme si cela ne suffisait pas, s’ajoute le contexte géopolitique et économique dans lequel s’inscrit le règlement. Deux éléments majeurs semblent remettre en question sa crédibilité telle qu’elle peut être constatée dans la temporalité actuelle, si rien n’est fait pour clarifier la situation :
- D’une part, le non-respect de l’accord conclu entre la Commission européenne et les Etats-Unis, le Privacy Shield, dénoncé notamment par la Commission LIBE du Parlement européen[4] ;
- D’autre part, la récente promulgation, le 23 mars 2018, c’est-à-dire précisément en amont de l’entrée en vigueur du RGPD, du CLOUD Act (Clarifying Lawful Overseas Use of Data) par Donald Trump.
Le CLOUD Act autorise sans ambiguïté l’administration américaine à accéder aux données personnelles des utilisateurs stockées hors des États-Unis par des sociétés américaines. Il n’est pas a priori un signal positif, de nature à rassurer, quand à la bonne volonté états-unienne de tout simplement respecter les règles européennes, dès lors qu’il s’agit des données personnelles.
Nous ne saurions oublier évidemment, comme si cela ne suffisait pas, le tonitruant scandale Cambridge Analytica, qui a donné lieu à de multiples auditions de Mark Zuckerberg auprès des institutions américaines et européennes, forcément stupéfaites, alors même que Facebook sous couvert de formulaires revisités annonce être en conformité avec le RGPD.
Ainsi, les quatre plaintes déposées dès le 25 mai par NOYB (None Of Your Business), l’organisation non gouvernementale fondée par l’autrichien Max Schrems, pour non-respect de la notion de consentement notamment à l’encontre du réseau social de Mark Zuckerberg, constituent un des éléments révélateurs de la difficulté à protéger notre modèle européen dans une économie numérique mondialisée[5].
Ce modèle, qui se veut être le nôtre, européen, et qui ne relève ni du capitalisme de surveillance, ni d’une surveillance dictatoriale, se fonde sur le respect des valeurs qui unissent nos Etats Membres dans leur pacte d’Union. Et nous rappellerons, tant que nécessaire, l’article 2 du Traité sur l’Union européenne :
« L'Union est fondée sur les valeurs de respect de la dignité humaine, de liberté, de démocratie, d'égalité, de l'État de droit, ainsi que de respect des droits de l'homme, y compris des droits des personnes appartenant à des minorités. Ces valeurs sont communes aux États membres dans une société caractérisée par le pluralisme, la non-discrimination, la tolérance, la justice, la solidarité et l'égalité entre les femmes et les hommes ».
Nous rappellerons forcément l’article 7 de la Charte des droits fondamentaux de l'Union européenne, qui dispose de façon claire et explicite que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ».
Ces valeurs sont portées par le RGPD, mais pas uniquement. Le règlement n’est, en effet, qu’un élément d’un ensemble législatif actuellement en cours de construction. Citons notamment :
- La proposition de Règlement e-Privacy, qui entend élargir le champ d’application de l’actuelle direction 2002/58/CE aux services par contournement (en anglais Over-The-Top service ou OTT) comme WhatsApp ou Skype et aux méta-données[6] ;
- La proposition de règlement relatif à la libre circulation des données à caractère non personnel[7], qui donne actuellement lieu à de vifs débats sur la question de la définition de la « donnée non personnelle » et des « ensembles mixtes de données » (données personnelles et données non personnelles)[8] et dont l’objectif est, selon la députée européenne Anna Maria Corazza Bildt, d’établir « de fait les données comme la cinquième liberté du marché unique de l’Union européenne »[9].
En parallèle, relevons la révision en cours du cadre relatif à la cybersécurité afin de mettre en place une véritable politique européenne concomitamment garante du respect de la vie privée et des données personnelles de nos concitoyens et de nos valeurs. A n’en pas douter, 2019 sera également l’année du cyberAct[10].
Un véritable modèle européen est donc en cours de construction.
Avec ses valeurs.
Un modèle qui sert déjà d'inspiration et de réflexion dans d'autres pays et régions du globe, y compris sur la terre même des GAFAM.
Ce ne sont pas moins de 629 000 californiens qui ont signé la pétition ayant participé le 28 juin 2018 à l’adoption par les parlementaires de l’État américain le plus peuplé de la loi californienne sur la protection de la vie privée des consommateurs[11].
Celle-ci, applicable à partir du 1er janvier 2020, étend la définition des informations personnelles (incluant les données de "tracking" et les identifiants) et reprend des obligations qui rappellent celles imposées par le RGPD, notamment :
- Le contrôle par la personne concernée, matérialisé par de nouveaux droits en matière de transparence, d'accès, de portabilité, d'opposition, de suppression et de choix des informations collectées ;
- La protection des mineurs avec l'obligation d'obtenir une "autorisation affirmative" pour vendre ou révéler les informations concernant les enfants de moins de 16 ans ;
- La violation de données personnelles (avec la possibilité de poursuivre une société si l’absence de mesures de sécurité entraine un vol de données).
La Californie, chef de file sur la scène nationale de la protection de la vie privée, ouvre ici la voie à d'importants changements dans la façon dont les entreprises interagissent avec leurs clients. Le texte, le plus contraignant présenté à ce jour aux États-Unis, est de fait et presque forcément critiqué par les géants de la Silicon Valley, qui réclament déjà des "assouplissements".
Nous laisserons donc à cet égard, par rappel d'ironie de situation, le dernier mot à un ex-Président américain, et non des moindres, Barack Obama. S’adressant aux peuples européens, ce dernier a tenu à souligner lors d’un discours à Hanovre en Allemagne en 2016 :
« Europeans, like Americans, cherish your privacy. And many are skeptical about governments collecting and sharing information, for good reason. That skepticism is healthy. Germans remember their history of government surveillance - so do Americans, by the way, particularly those who were fighting on behalf of civil rights.
So it’s part of our democracies to want to make sure our governments are accountable »[12]
Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom ParisTech
Ivan Meseguer, Cofondateur de la Chaire VPIP, Affaires Européennes, Institut Mines-Télécom
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119 du 4.5.2016, p. 1, http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679.
[2] The Washington Post, “Europe, not the US, is now the most powerful regulator of Silicon Valley”, https://www.washingtonpost.com/business/technology/europe-not-the-us-is-now-the-most-powerful-regulator-of-silicon-valley/2018/05/25/f7dfb600-604f-11e8-8c93-8cf33c21da8d_story.html?noredirect=on&utm_term=.899f116b688c.
[3] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, JORF du 21 juin 2018, https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=27A98AC45687EEBF56EDB334BA1B963E.tplgfr29s_2?cidTexte=JORFTEXT000037085952&categorieLien=id.
[4] Draft Motion For a Resolution, European Parliament resolution on the adequacy of the protection afforded by the EU-U.S. Privacy Shield, 10.04.2018, http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/RE/2018/06-11/1149002EN.pdf.
[5] Quatre plaintes ont en effet été déposées auprès des autorités nationales de protection des données, contre Google en France, Instagram en Belgique, Facebook en Autriche et WhatsApp en Allemagne.
[6] Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»), 2017/0003 (COD), https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52017PC0010.
[7] Proposition de règlement du Parlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne, Bruxelles, le 13.9.2017, COM(2017) 495 final ? https://eur-lex.europa.eu/legal-content/FR/TXT/?qid=1530257181996&uri=CELEX:52017PC0495.
[8] Communication from the Commission - Towards a common European data space, Brussels, 25.4.2018 COM(2018) 232 final «Vers un espace européen commun des données»
[9] Establishing the fifth freedom: free flow of non-personal data, 4.06.2018, http://www.eppgroup.eu/press-release/Free-flow-of-non-personal-data?usebuid=13136.
[10] Le paquet cybersécurité comprend notamment un règlement donnant davantage de poids à l’ENISA et organisant un système de certification, une communication qui met à jour la stratégie européenne de cybersécurité de 2013 une directive sur la lutte contre la fraude en matière de paiement, voir https://ec.europa.eu/digital-single-market/en/policies/cybersecurity#usefullinks.
[11] The California Consumer Privacy Act of 2018, AB-375 Privacy: personal information: businesses. Assembly Bill No. 375, CHAPTER 55, An act to add Title 1.81.5 (commencing with Section 1798.100) to Part 4 of Division 3 of the Civil Code, relating to privacy. [Approved by Governor June 28, 2018. Filed with Secretary of State June 28, 2018. ], https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375.
[12] Remarks by President Obama in Address to the People of Europe, Hannover Messe Fairgrounds, Hannover, Germany, April 25, 2016, https://obamawhitehouse.archives.gov/the-press-office/2016/04/25/remarks-president-obama-address-people-europe.