Le 25 mai dernier, le RGPD entrait en application. Ce nouveau réglement oblige administrations et entreprises des 27 pays de l’UE à se mettre en conformité avec la loi en matière de protection des données à caractère personnel. Depuis sa création en 2013, la chaire de recherche de l’IMT « Valeurs et politiques des informations personnelles (VPIP) » se propose d’aider les entreprises, les citoyens et les pouvoirs publics dans leurs réflexions sur la collecte, l’utilisation et le partage des informations personnelles. Dans cette tribune, Claire Levallois-Barth, coordinatrice de la chaire, et Ivan Meseguer, cofondateur, reviennent sur le contexte géopolitique et économique dans lequel s’inscrit le RGPD, et les freins qui subsistent à sa mise en œuvre effective.
La version originale de cet article a été publiée sur le site de la chaire VPIP. Cette chaire réunit des chercheurs de Télécom ParisTech, Télécom SudParis et Institut Mines Télécom Business School, et est soutenue par la Fondation Mines-Télécom.
Nous l’attendions tous.
Le RGPD (Règlement Général sur la Protection des Données)[1] est entré en application ce 25 mai dernier. Cette date importante a donné lieu à de nombreux évènements et réactions de la part des entreprises comme des institutions. Comme l’écrit l’Autorité de protection des données belge, il s’agit sans conteste d’« un nouveau vent, pas un ouragan ! ». Un nouveau vent qui visiblement porte jusqu’outre-Atlantique, puisque The Washington Post souligne la création d’« une norme mondiale de facto qui offre de nouvelles protections aux américains et des maux de tête aux entreprises technologiques nationales[2] ».
Ces « maux de tête » ne concernent pas uniquement les entreprises, mais également les États membres chargés de la mise en œuvre du texte. La France[3], l’Allemagne, l’Autriche, le Danemark, l’Italie, les Pays-Bas, l’Irlande, la Pologne, le Royaume-Uni et la Suède ont certes adapté leur législation générale nationale. Mais à ce jour la Belgique, la République Tchèque, la Finlande, la Grèce, la Hongrie et l’Espagne en sont toujours au stade des propositions de loi.
Et cela alors que le calendrier et les dispositions du texte législatif sont connus officiellement depuis le 4 mai 2016.
Les administrations françaises ne sont pas en reste ; certaines ont aussi souhaité bénéficier d’un délai. Ainsi, peu de temps avant l’entrée en application du RGPD, les collectivités territoriales ont indiqué qu’elles n’étaient pas prêtes, alors qu’elles étaient prévenues comme tout le monde depuis 2016.
Soixante sénateurs français se sont alors fait le relais de cette situation au point de menacer, puis de saisir le Conseil constitutionnel afin d’obtenir un délai dérogatoire.
La question du RGPD devient également de plus en plus prégnante, voire critique, dans les écoles et les universités pour garantir la vie privée des enfants comme des enseignants.
La problématique du formatage d’une société dans ses usages et pratiques dès l’école, dès le plus jeune âge, est un sujet soulevé par la Chaire VPIP depuis déjà de nombreuses années, et illustré par des cas pratiques majeurs tels que les jouets connectés et l’évidente propension croissante des GAFA à vouloir investir le secteur de l’enseignement.
Comme si cela ne suffisait pas, s’ajoute le contexte géopolitique et économique dans lequel s’inscrit le règlement. Deux éléments majeurs semblent remettre en question sa crédibilité telle qu’elle peut être constatée dans la temporalité actuelle, si rien n’est fait pour clarifier la situation :
- D’une part, le non-respect de l’accord conclu entre la Commission européenne et les Etats-Unis, le Privacy Shield, dénoncé notamment par la Commission LIBE du Parlement européen[4] ;
- D’autre part, la récente promulgation, le 23 mars 2018, c’est-à-dire précisément en amont de l’entrée en vigueur du RGPD, du CLOUD Act (Clarifying Lawful Overseas Use of Data) par Donald Trump.
Le CLOUD Act autorise sans ambiguïté l’administration américaine à accéder aux données personnelles des utilisateurs stockées hors des États-Unis par des sociétés américaines. Il n’est pas a priori un signal positif, de nature à rassurer, quand à la bonne volonté états-unienne de tout simplement respecter les règles européennes, dès lors qu’il s’agit des données personnelles.
Nous ne saurions oublier évidemment, comme si cela ne suffisait pas, le tonitruant scandale Cambridge Analytica, qui a donné lieu à de multiples auditions de Mark Zuckerberg auprès des institutions américaines et européennes, forcément stupéfaites, alors même que Facebook sous couvert de formulaires revisités annonce être en conformité avec le RGPD.
Ainsi, les quatre plaintes déposées dès le 25 mai par NOYB (None Of Your Business), l’organisation non gouvernementale fondée par l’autrichien Max Schrems, pour non-respect de la notion de consentement notamment à l’encontre du réseau social de Mark Zuckerberg, constituent un des éléments révélateurs de la difficulté à protéger notre modèle européen dans une économie numérique mondialisée[5].
Ce modèle, qui se veut être le nôtre, européen, et qui ne relève ni du capitalisme de surveillance, ni d’une surveillance dictatoriale, se fonde sur le respect des valeurs qui unissent nos Etats Membres dans leur pacte d’Union. Et nous rappellerons, tant que nécessaire, l’article 2 du Traité sur l’Union européenne :
« L’Union est fondée sur les valeurs de respect de la dignité humaine, de liberté, de démocratie, d’égalité, de l’État de droit, ainsi que de respect des droits de l’homme, y compris des droits des personnes appartenant à des minorités. Ces valeurs sont communes aux États membres dans une société caractérisée par le pluralisme, la non-discrimination, la tolérance, la justice, la solidarité et l’égalité entre les femmes et les hommes ».
Nous rappellerons forcément l’article 7 de la Charte des droits fondamentaux de l’Union européenne, qui dispose de façon claire et explicite que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ».
Ces valeurs sont portées par le RGPD, mais pas uniquement. Le règlement n’est, en effet, qu’un élément d’un ensemble législatif actuellement en cours de construction. Citons notamment :
- La proposition de Règlement e-Privacy, qui entend élargir le champ d’application de l’actuelle direction 2002/58/CE aux services par contournement (en anglais Over-The-Top service ou OTT) comme WhatsApp ou Skype et aux méta-données[6] ;
- La proposition de règlement relatif à la libre circulation des données à caractère non personnel[7], qui donne actuellement lieu à de vifs débats sur la question de la définition de la « donnée non personnelle » et des « ensembles mixtes de données » (données personnelles et données non personnelles)[8] et dont l’objectif est, selon la députée européenne Anna Maria Corazza Bildt, d’établir « de fait les données comme la cinquième liberté du marché unique de l’Union européenne »[9].
En parallèle, relevons la révision en cours du cadre relatif à la cybersécurité afin de mettre en place une véritable politique européenne concomitamment garante du respect de la vie privée et des données personnelles de nos concitoyens et de nos valeurs. A n’en pas douter, 2019 sera également l’année du cyberAct[10].
Un véritable modèle européen est donc en cours de construction.
Avec ses valeurs.
Un modèle qui sert déjà d’inspiration et de réflexion dans d’autres pays et régions du globe, y compris sur la terre même des GAFAM.
Ce ne sont pas moins de 629 000 californiens qui ont signé la pétition ayant participé le 28 juin 2018 à l’adoption par les parlementaires de l’État américain le plus peuplé de la loi californienne sur la protection de la vie privée des consommateurs[11].
Celle-ci, applicable à partir du 1er janvier 2020, étend la définition des informations personnelles (incluant les données de « tracking » et les identifiants) et reprend des obligations qui rappellent celles imposées par le RGPD, notamment :
- Le contrôle par la personne concernée, matérialisé par de nouveaux droits en matière de transparence, d’accès, de portabilité, d’opposition, de suppression et de choix des informations collectées ;
- La protection des mineurs avec l’obligation d’obtenir une « autorisation affirmative » pour vendre ou révéler les informations concernant les enfants de moins de 16 ans ;
- La violation de données personnelles (avec la possibilité de poursuivre une société si l’absence de mesures de sécurité entraine un vol de données).
La Californie, chef de file sur la scène nationale de la protection de la vie privée, ouvre ici la voie à d’importants changements dans la façon dont les entreprises interagissent avec leurs clients. Le texte, le plus contraignant présenté à ce jour aux États-Unis, est de fait et presque forcément critiqué par les géants de la Silicon Valley, qui réclament déjà des « assouplissements ».
Nous laisserons donc à cet égard, par rappel d’ironie de situation, le dernier mot à un ex-Président américain, et non des moindres, Barack Obama. S’adressant aux peuples européens, ce dernier a tenu à souligner lors d’un discours à Hanovre en Allemagne en 2016 :
« Europeans, like Americans, cherish your privacy. And many are skeptical about governments collecting and sharing information, for good reason. That skepticism is healthy. Germans remember their history of government surveillance – so do Americans, by the way, particularly those who were fighting on behalf of civil rights.
So it’s part of our democracies to want to make sure our governments are accountable »[12].
À lire sur I’MTech
2 comments
Pingback: Portabilité des données : l'Europe soutient la recherche dans ce domaine
Pingback: Archives -Média 2013 – 2017 | Chaire Valeurs et Politiques des Informations Personnelles