Selon le Professeur Jean-Luc Sauron, « la collecte de données à caractère personnel et les différents traitements qui peuvent en résulter constituent le socle de la toute-puissance des GAFA[1] ». En effet, le traitement des données personnelles présente des enjeux économiques très importants pour les entreprises et le développement du numérique. Toutefois, il présente également des risques conséquents pour les personnes identifiées concernant la maîtrise de ces données.
Le RGPD, un nouveau cadre européen ?
Le règlement général 2016/679 du 27 avril 2016 sur la protection des données entrera en vigueur le 25 mai 2018 et viendra remplacer la directive 95/46/CE du 24 octobre 1995. Ce règlement opère une harmonisation des législations nationales au sein de l’Union européenne concernant le système de collecte, de traitement, d’utilisation et de commercialisation des données personnelles. Il poursuit trois objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation[2].
Un délai de deux ans est prévu pour laisser aux Etats membres et aux entreprises le soin de se préparer à l’entrée en vigueur du règlement. Ce délai démontre l’importance de l’enjeu en cause. En outre, le règlement accorde de nombreuses marges de manœuvres aux Etats membres, ce qui est inhabituel en matière réglementaire et risque d’entraîner des différences de degré de protection. En effet, un règlement, contrairement à une directive, est directement applicable sans loi de transposition dans tous les pays de l’Union européenne dès son entrée en vigueur et est donc de ce fait plus précise. Cette exception est toutefois nécessaire pour accroître l’efficacité de la mise en œuvre des dispositions prévues par le RGPD. Même si ce règlement ne constitue pas la première intervention du législateur européen en matière de protection des données personnelles, il procède à de nombreuses modifications. Les Etats membres et les entreprises doivent donc se préparer à son entrée en vigueur.
L’article 4.1 du RGPD désigne par données personnelles « toute information se rapportant à une personne physique identifiée ou identifiable », l’identifiant pouvant être notamment un nom, un numéro d’identification, des données de localisation, un identifiant en ligne. Cette définition englobe des données de différentes natures et démontre que le règlement a vocation à s’appliquer à de nombreuses situations.
Des intérêts divergents à concilier
Le traitement des données personnelles a donné naissance à un conflit entre protection des droits fondamentaux et intérêts économiques, que le règlement tente de concilier.
D’une part, ces données constituent une mine d’or pour les entreprises qui veulent pouvoir les collecter et les traiter librement, sans que leur action ne soit entravée par un arsenal juridique trop contraignant. Pour tenter de les satisfaire, le règlement reconnaît un principe de libre circulation des données en son premier article.
D’autre part, les personnes concernées par les données collectées exigent davantage de maîtrise sur ces dernières. Pour ce faire, le règlement impose le respect de règles venant encadrer la libre circulation des données. Par exemple, la reconnaissance d’un droit à la portabilité des données permet de redonner une certaine maîtrise aux internautes sur leurs données.
La fixation d’un point d’équilibre
Par ce règlement, l’Union européenne fixe un point d’équilibre entre l’objectif de protection des données personnelles et celui du développement de l’économie numérique, qui repose sur la responsabilisation des acteurs.
La directive de 1995 se fondait sur un mécanisme de déclarations et d’autorisations préalables à la collecte et au traitement des données personnelles. En France, c’est ce système qui est également en place depuis la loi « Informatique et libertés » du 6 janvier 1978.
Le règlement supprime, pour les données non sensibles, les obligations déclaratives à accomplir au préalable mais accroît, en contrepartie, la responsabilité des acteurs de traitement. Le contrôle sera assuréa posterioripar les autorités compétentes, à savoir la CNIL en France, et les utilisateurs.
La mise en place un système d’accountability qui désigne l’obligation pour les entreprises de mettre en œuvre des mesures de protection des données appropriées permettant de démontrer à tout moment le respect des règles imposées par le RGPD, s’inscrit également dans cette logique de conformité.
Par ailleurs, la mise en conformité au RPGD du système de traitement des données constitue un challenge de taille pour les entreprises. Le montant des amendes administratives pouvant être porté jusqu’à 20 millions d’euros pour une personne physique ou 4% du chiffre d’affaires annuel mondial pour une entreprise, cette mise en conformité apparaît indispensable.
Marine BUAT
[1] Dalloz IP/IT 2018 p.17 « Le RGPD : outil ou entrave de la société d’information ? » Jean-Luc Sauron, Conseiller d’État – Professeur associé à l’université Paris-Dauphine – Président de l’association Data Ring
[2] CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels » www.cnil.fr
Sources :
- Dalloz IP/IT 2018 p.17 « Le RGPD : outil ou entrave de la société d’information ? » Jean-Luc Sauron, Conseiller d’État – Professeur associé à l’université Paris-Dauphine – Président de l’association Data Ring
- Dalloz IP/IT 2018 p.23 « Le régime de sanction du RGPD : quand la complétude l’emporte sur la cohérence » Jean-Luc Sauron, Conseiller d’État – Professeur associé à l’université Paris-Dauphine – Président de l’association Data Ring et Myriam Quéméner, Magistrat – Docteur en droit
- Communication Commerce électronique n°2, Février 2018, entretien 4 « 3 questions à Guylène Kiesel Le Cosquer, présidente de la Compagnie nationale des Conseils en propriété industrielle (CNCPI) – Entretien »
- Dalloz actualité « Données personnelles : le futur cadre légal entrera en vigueur le 25 mai 2018 » Thomas Coustet
- CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels » cnil.fr
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016