Dès 1978, la loi « Informatique et liberté » a mis en exergue la crainte d’une utilisation massive des données à des fins douteuses. En effet, celle-ci a été mise en place suite à l’établissement d’un projet d’interconnexion des fichiers nominatifs de l’administration française, qui faisait redouter à la population un « fichage » généralisé des citoyens. Par la suite, le développement technique et économique du secteur numérique a été exponentiel, notamment en raison de l’émergence des acteurs tels que Google (en 1998) ou Facebook (en 2004). Or, ce développement a bouleversé le traitement des données personnelles, les transformant en un bien extrêmement convoité.
Intervient alors le Règlement général sur la protection des données adopté le 27 avril 2016 et rentrant en vigueur le 25 mai 2018. Celui-ci a pour objectif de réguler la collecte, le traitement et l’utilisation des données personnelles dans l’environnement numérique, et donc de replacer l’utilisateur au coeur de la gestion de ces dernières. Pour cela, il crée tout un panel de règles cherchant à renforcer les droits de l’utilisateur, mais aussi la responsabilisation des entreprises qui doivent désormais désigner un délégué à la protection des données (ou Data protection officer – DPO). Cependant, qui dit règle de droit dit sanction, sans quoi on pourrait douter de l’effectivité de ce nouveau règlement. Qu’en est-il ?
La question de l’autorité de contrôle
En matière de données personnelles, la question de la sanction amène nécessairement la question de l’autorité habilitée à prononcer celles-ci. Elle doit être impérativement indépendante de toute influence privée ou publique puisque le traitement des données concerne aussi bien l’administration que les entreprises.
L’article 51 dudit règlement dispose que « chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union ». En France donc, il réaffirme ainsi le pouvoir de la CNIL, qui voit ses pouvoirs d’enquêtes renforcés. Cette dernière peut de ce fait ordonner la transmission de toute information qu’elle juge utile, avoir accès à toutes les informations nécessaires dans le cadre de sa mission, et notifier l’entreprise lorsqu’une violation est alléguée.
Quant aux sanctions administratives, le RGPD a considérablement augmenté le pouvoir de sanction de la CNIL : elle peut prononcer des mesures correctrices ou des sanctions pécuniaires d’une ampleur bien plus importantes qu’auparavant. La mise en oeuvre de ces mesures se fait sur recours de l’intéressé ou suite à l’enquête de l’autorité de contrôle. L’ensemble de ses pouvoirs sont énumérés à l’article 58 du règlement, tels que notamment :
- la possibilité de limiter de manière temporaire ou définitive le traitement, voire l’interdire ;
- l’ordre de supprimer des données à caractère personnelle ;
- la contrainte envers le responsable du traitement d’informer un utilisateur en cas violation de son droit pour qu’il puisse en tirer les conséquences nécessaires ;
Enfin, le RGPD augmente de manière significative le montant de l’amende administrative qui peut être prononcée en complément – ou à la place – des mesures susvisées, ce dans les conditions prévues par le RGPD et en fonction de la situation donnée. Le montant maximum de l’amende à ce jour est de 150 000 euros (montant que Facebook a dû payer en mars 2017) ; avec le RGPD, la CNIL pourra demander jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.
La liste présentée ici n’est pas exhaustive mais donne un bon aperçu du renforcement des prérogatives de l’autorité de contrôle. En outre, la CNIL a une mission pédagogique importante – déjà assurée auparavant dans les faits – l’article 57 du RGPD disposant par exemple que l’autorité de contrôle doit favoriser « la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. »
Des doutes sur la juridiction compétente
Chaque utilisateur peut également exercer un recours juridictionnel à l’encontre des entreprises dès lors qu’il considère que les droits qui lui sont garantis par le RGPD ont été violés. L’action vise alors le responsable de traitement ou un sous-traitant à l’origine de la violation, qui devra réparer tout dommage subi par l’utilisateur de son fait.
Des règles de droit international privé ont été par ailleurs prévues en raison de l’échelle à laquelle se fait le traitement des données aujourd’hui. En effet, si une juridiction est informée qu’une action de même nature à l’encontre du même responsable est pendante dans un autre pays, alors elle peut contacter ladite juridiction, voire se dessaisir si elle n’est pas la juridiction saisie en premier lieu. Cependant, certains auteurs regrettent qu’il n’y ait pas plus de précisions à ce propos que le seul article 80 ; il persiste un risque de conflit de juridictions en raison de la mauvaise communication des informations entre les juridictions européennes.
Le règlement prévoit également que des sanctions pénales peuvent être établies par les États membres en plus des mesures administratives, dans le respect du principe non bis idem (« nul ne peut être jugé une seconde fois pour les mêmes faits »).
Un manque de moyens affaiblissant l’effectivité du RGPD
Selon Jean-Luc Sauron et Myriam Quéméner, « ni les autorités de contrôle, ni le Comité européen de la protection des données n’ont les moyens effectifs d’assurer les tâches qui leur ont été confiées. » En effet, les deux auteurs soulignent qu’une augmentation des moyens financiers et humains seraient la bienvenue afin d’accompagner l’entrée en vigueur du RGPD ; le règlement va en effet grandement accroitre l’activité de l’autorité de contrôle. Par ailleurs, le RGPD ne prévoit pas de réforme des délais d’examen des affaires. Or, le temps d’attente d’une décision judiciaire peut s’avérer assez couteux pour les entreprises, notamment en cas de renvoi préjudiciel devant la Cour de Justice de l’Union européenne.
Pour conclure, les entreprises ont tout intérêt à se mettre en conformité avec le règlement au regard de ces nouvelles sanctions. Si cela semble contraignant au premier abord, Jean-Luc Sauron défend l’idée inverse, selon laquelle « le respect des règles du RGPD pourrait devenir un outil concurrentiel en soi, un argument marketing à part entière ». Il faudra attendre le 25 mai prochain pour le dire…
Gaspard De Laubier
Bibliographie
- « Le régime de sanction du RGPD : quand la complétude l’emporte sur la cohérence», Jean-Luc Sauron, Myriam Quéméner, Dalloz IP/IT 23
- « Le RGPD : outil ou entrave de la société d’information ?», Jean-Luc Sauron, Dalloz IP/IT 17
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
- « Règlement général sur la protection des données», Liaisons sociales Quotidien – Le dossier pratique, Nº 101/2017, 2 juin 2017