RGPD : Un changement de philosophie

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données est un texte européen qui viendra remplacer une directive de 1995 et qui va réglementer la protection des données au sein de l’Union européenne. Ce texte a la particularité, par rapport à la directive, d’être directement applicable. Il n’y aura pas besoin d’avoir des lois nationales qui viendront le transposer. Ce sera la garantie que les principes, les obligations, les droits, en matière de protection des données, seront les mêmes pour tous. Sur le fond, le règlement réaffirme l’ensemble des grands principes de protection des données qu’en France nous connaissons depuis 1978. Il n’y a pas de bouleversement sur les obligations que doivent respecter les responsables de traitement ou sur les droits des personnes.

Il y a quand même des évolutions notables puisque le monde numérique de 2018 n’est évidemment pas le monde pré numérique de 1995. Il y a trois grandes idées à retenir de ce règlement :

• La première est le renforcement du pouvoir et de la crédibilisation des CNIL européennes. D’une part en renforçant leur pouvoir de sanction. Avec le nouveau règlement, les CNIL qui n’avaient pas de pouvoirs en auront, et celles pour lesquels ils n’étaient pas très élevés, comme en France où les amendes étaient d’un montant relativement limité, verront ces pouvoirs renforcés avec des amendes pouvant aller de 20 millions d’euros à 4% du chiffre d’affaires mondial. Ce sont des montants tout à fait significatifs pour être crédible vis-à-vis des acteurs du numérique.
• Le deuxième volet de cette crédibilisation est l’instauration d’un mécanisme de coopération entre les CNIL européennes. De façon à ce qu’un acteur qui a un fichier concernant plusieurs pays européens – je pense par exemple à Amazon, Facebook ou Airbus – n’ait pas des interlocuteurs différents ou des législations différentes pays par pays. Ces grands groupes internationaux auront un seul interlocuteur, la CNIL nationale compétente qui devra discuter avec tous ses homologues pour apporter une réponse unifiée. C’est un élément extrêmement fort du règlement qui n’était pas dans la directive.
• Le troisième volet est le renforcement du droit des personnes. L’idée est qu’elles ne puissent plus voir leurs données traitées sans qu’elles en soient informées, sans qu’elles aient décidé de ce que deviennent ces données, et sans qu’elles puissent réellement exercer des droits.

Il y a donc une consolidation et une affirmation des droits qui existent depuis 40 ans chez nous, mais aussi la création de nouveaux droits dont le plus emblématique est celui à la portabilité. C’est un droit nouveau qui va permettre à toutes personnes dont les données sont traitées, d’aller voir un responsable de fichier, d’avoir accès à l’ensemble de ses données sous format numérique, et de porter ses données à un autre responsable de traitement. Nous ne sommes plus prisonniers d’un réseau social, d’une application à qui nous aurions confié nos données, d’autres pourront en bénéficier pour nous proposer des services ou des offres. Nous fondons beaucoup d’espoir sur ce droit qui va redonner le pouvoir à la personne dont les données sont traitées.

Enfin, le RGPD va nous permettre de sortir de la logique de formalité administrative : la déclaration de fichier, la demande d’autorisation CNIL, etc. Il y a beaucoup moins de formalité voire quasiment plus, mais en échange le règlement impose aux entreprises ou aux administrations d’internaliser le contrôle des fichiers. Nous appelons cela le principe de responsabilisation. L’entreprise va devoir être en mesure de démontrer qu’elle respecte les règles tout au long de la vie du fichier en faisant des audits, en contrôlant à tout moment que les mesures de sécurité et les droits des personnes sont bien respectés.

Pourquoi y avait-il besoin de faire évoluer la réglementation ?

Aujourd’hui, les traitements sont de plus en plus transnationaux. Il y avait donc besoin que ces règles soient correctement appliquées au niveau européen. C’était le premier grand objectif.

Le deuxième était d’introduire une mécanique nouvelle. Nous changeons d’ère dans la donnée. Tout évolue extrêmement vite, il faut donc que les règles soient plastiques et surtout que le contrôle soit évolutif dans le temps. La seule façon d’y arriver était de responsabiliser ceux qui avaient ces données en se calquant sur la logique de la sécurité informatique, avec des mises à niveau constantes au regard des menaces. C’est pour cela que le règlement à supprimer un très grand nombre de formalités administratives et a créé des nouveaux outils, des nouvelles obligations à la charge des responsables de traitement. Notamment avec la consécration du délégué à la protection des données. Une personne, dont le métier est de vérifier que les données sont traitées conformément au règlement, doit être désignée dans les entreprises ou administrations.

Il y a également l’obligation de tenir des registres pour que l’entreprise sache où se sont les données, quel type de fichier elle déteint, et quelles sont les garanties qui entourent ces traitements. L’idée est d’accompagner le changement d’échelle du traitement de la donnée, en changeant de philosophie et de façon de la protéger.

Et que cela change-t-il pour les organismes publics ?

Sur les organismes spécifiquement publics, il y a l’obligation d’avoir un délégué. Il doit présenter un certain nombre de garanties, notamment en termes de compétences juridiques. En France, nous connaissons bien le principe puisque depuis 2004 nous avons les correspondants Informatique et Libertés (CIL).  Avoir ce délégué devient une obligation alors que les CIL étaient facultatifs. Il faut qu’il soit, de par son positionnement au sein de la structure public, en mesure de peser sur les décisions. Il doit devenir acteur de la gestion de la donnée. Le règlement est un texte qui est un peu compliqué, mais si les organismes publics se dotent d’un bon délégué, qui maîtrise un peu les subtilités du texte, qui a un pouvoir et une voix qui porte, la bonne mise en œuvre du règlement sera grandement facilitée.

Après, d’une manière générale, il doit y avoir un effort de transparence vis-à-vis des personnes dont les données sont collectées. L’information doit être plus accessible, plus lisible. L’idée n’est pas de rajouter des phrases à des mentions d’informations que les gens ne lisent pas, mais que ces derniers puissent comprendre réellement ce que deviennent leurs données et comment elles sont traitées. Il s’agit de remettre le pouvoir entre leurs mains, que les personnes qui souhaitent protéger leurs données et exercer leurs droits soient en mesure de le faire.

Sommes-nous en France plus avancés que les autres pays européens sur le sujet ?

La loi française était assez précurseur. Les responsables de traitements maîtrisent donc déjà un certain nombre d’outils qui sont maintenant proposés ou imposés par le règlement. Je prends l’exemple des CIL qui existent depuis de nombreuses années en France, c’est un avantage concurrentiel par rapport à d’autres pays. Le passage au délégué à la protection des données n’est pas difficile car nous avons déjà des bons réflexes sur le sujet. Idem pour les mécanismes de code de conduite de certification. La CNIL délivrait déjà des labels. Ce mécanisme d’auto évaluation est connu des responsables de traitement. Et puis la CNIL les accompagne depuis un certain nombre d’années. Elle a établi une doctrine solide qu’il va aussi falloir réviser à l’aune des nouvelles obligations, mais elle a déjà produit un certain nombre d’éléments méthodologiques ou juridiques sur son site et elle va poursuivre son effort d’accompagnement. Nous essayons d’établir un cadre sécurisé pour que les responsables de traitement ne soient pas laissés à l’abandon seul face à ce règlement.

+ d'informations

Le site de la Commission Nationale Informatique et Libertés