Le 25 mai 2018 restera comme la date à partir de laquelle l’Union Européenne a lancé une nouvelle ère dans la récolte et le traitement des données personnelles. Pour faire face aux GAFA et aux entreprises qui, en échange de services toujours plus personnalisés, collectent toujours plus d’informations sur les individus, l’UE s’est dotée d’un arsenal inédit et se pose en protecteur de la vie privée.
Le Règlement Européen pour la Protection des Données (RGPD) responsabilise désormais les organismes publics et privés dans l’utilisation des données qu’ils collectent et traitent. Ce règlement s’applique à toutes les entreprises qui traitent des données personnelles pour leur compte ou pour le compte d’un tiers. Ces entreprises peuvent être des entreprises européennes ou bien des entreprises étrangères qui traitent des données provenant de ressortissants européens.
Le RGPD repose sur trois principes essentiels qui sont :
· Le renforcement du droit des personnes physiques
· La responsabilisation des acteurs du traitement des données en entreprise
· L’harmonisation du cadre juridique au niveau européen
Ainsi, les entreprises doivent désormais adopter une démarche responsable dans l’utilisation qu’elles font de leurs données sous peine de s’exposer à des amendes pouvant aller jusqu’à 20 millions d’euros ou bien même jusqu’à 4% de leur chiffre d’affaires mondial.
Qu’est-ce que cela a changé pour les entreprises ?
Auparavant, les conditions générales de ventes ou d’utilisation étaient les seuls documents auxquels les utilisateurs pouvaient se référer pour connaître leurs droits et comment leurs données étaient collectées, traitées et échangées. Ces documents sont généralement affichés sur des pages peu visitées des sites internet et surtout leur longueur n’incite pas à la lecture. De fait l’utilisateur final ne dispose pas clairement des informations concernant l’utilisation qui est faite de ses données.
Désormais, les entreprises ont un devoir d’information auprès des utilisateurs et doivent expliciter les finalités de collecte : pourquoi les données sont récoltées et dans quel but ? Les finalités doivent être en rapport avec le cœur de métier de l’entreprise et surtout être pertinentes. Par exemple, on ne peut pas demander la taille d’un individu pour lui proposer un service de divertissement.
La mise en conformité aux règles de protection de données est un processus qui peut sembler rébarbatif, chronophage. Toutefois, il s’inscrit dans une démarche à long terme qui permet de regrouper toutes les informations nécessaires pour prouver la bonne foi de l’entreprise. Chaque entreprise doit désormais tenir un registre listant le traitement des données lui permettant de disposer d’une vision d’ensemble de l’utilisation de ses données.
À toutes les entreprises qui ont des doutes ou qui ne seraient pas totalement en conformité à l’heure actuelle, la CNIL propose un guide pour s’y conformer et éviter tout désagrément.
À ces modifications d’ordre technique s’ajoutent des modifications au niveau des ressources humaines. En effet, un des principes fondamentaux du RGPD est la responsabilisation du traitement des données en entreprise. C’est pourquoi le responsable du traitement doit désigner un Délégué à la Protection des Données (DPD ou bien DPO, pour Data Protection Officer). Ce dernier peut être un des employés de l’entreprise mais il peut également être un tiers. Il est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
L’harmonisation au niveau européen et le caractère coercitif des amendes comme points d’ombre
La mise en application du RGPD a été un grand chamboulement comme promis par les autorités. Une prise de conscience collective est à noter et les chiffres parlent d’eux-mêmes :
La CNIL a reçu plus de 11 000 plaintes et procédé à plus de 300 contrôles en 2018 ;
70 % des français se disent plus sensibles à la protection de leurs données que par le passé ;
Les visites sur le site de la CNIL ont enregistré une croissance de 80 % en 2018 par rapport à 2017 ;
Le G29, qui est l’autorité qui regroupe les 29 CNIL européennes, a mené plusieurs enquêtes concernant le vol de données ou non-respect des dispositions du RGPD :
La première enquête porte sur le vol de données de 57 millions d’utilisateurs de l’application Uber, une amende de 400 000 € a été prononcée. Ce qui est dérisoire comparé au chiffre d’affaire de l’entreprise (11 milliards d’euros en 2018).
La seconde et la plus médiatisée est l’amende infligée à Google. Pour faire suite aux plaintes de milliers d’utilisateurs elles-mêmes relayées par les associations numériques None of your business et la Quadrature du net, qui reprochaient à Google de “ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité”, le G29 a enquêté et déclaré la firme coupable de manquement au RGPD, et lui a infligé une amende de 50 millions d’euros.
Malgré tous les efforts des pays européens pour contrer la mainmise des grandes entreprises (notamment les GAFA) sur la collecte et l’échange de données massives, les sanctions prononcées ne sont pas assez punitives pour changer les comportements et ainsi mettre en œuvre les promesses du RGPD. Prenons par exemple les sanctions infligées à Google par la commission européenne à la concurrence. Margrethe Vestager, qui est à sa tête, a fait de Google son bouc émissaire et a prononcé pas moins de trois amendes en trois ans. Ces amendes ont été infligées systématiquement pour abus de position dominante et ont démontré que l’Europe n’est plus candide face aux grands groupes.
Ces amendes offrent une nouvelle fenêtre de tir au régulateur européen concernant la protection des données et l’application du RGPD. Pourtant, il est beaucoup plus difficile de prouver un manquement au RGPD et de le sanctionner car le cadre législatif est encore flou sur certains points. Ainsi, les multiples mises en demeure et sanctions de la CNIL ont certes un effet plus retentissant de par le nouveau cadre législatif mais comme à chaque fois lorsqu’il s’agit d’harmonisation au niveau européen les différences de points de vue et de traitement sont marquées.
Depuis la mise en application du RGPD, les entreprises étrangères qui traitent des données de ressortissants européens doivent rendre compte auprès de la CNIL du pays où elles ont installé leur siège. On observe ainsi que les entreprises choisissent des pays où les régulateurs sont beaucoup plus souples et conciliants afin de bénéficier de clémence voire d’arrangements. Prenons l’exemple de l’Irlande qui est un des pays en Europe où le taux d’impôt sur les sociétés est parmi les plus bas d’Europe mais également où la CNIL est l’une des moins regardantes concernant le respect du RGPD. On note ainsi que les GAFA y ont tous établi leur siège social européen. Encore un motif d’insatisfaction qui fait grincer des dents dans les hautes sphères de la commission européenne.
Comment les innovations technologiques (IoT, IA, 5G etc.) offrent de nouvelles sources de récolte et mettent à mal la règlementation en vigueur ?
L’Internet des Objets représente l’interconnexion d’objets divers (téléphones, réfrigérateur, voitures, télévisions, capteurs etc.) en utilisant les technologies de l’information et de la communication (TIC). Ces objets sont également utilisés par les entreprises pour améliorer leur process et réduire leurs coûts mais depuis quelques années on observe un engouement de la part des particuliers en recherche de nouveauté. On estime que 40 % des foyers dans le monde disposent d’au moins un objet connecté, ce taux monte jusqu’à 70 % aux États-Unis.
Les données remontées en temps réel permettent aux entreprises de disposer d’un véritable trésor, en effet les données sont à l’état brut et peuvent concerner un pan entier de la vie privée d’un individu. Avec l’avènement de la 5G, la densité d’appareils connectés va considérablement augmenter et ce grâce à un meilleur débit et une réduction de la latence, ce qui encouragera ce mouvement.
Toutefois, les usages ne se limitent pas à des fins commerciales et marketing. Les progrès de l’intelligence artificielle permettent par exemple aux médecins de bénéficier d’un nouvel appui dans leur diagnostic. Les hôpitaux et centre de recherches contre le cancer utilisent de plus en plus des logiciels de deep learning et de big data analytics pour affiner le dépistage des cancers. L’IA permet également aux médecins de se décharger de certaines tâches répétitives et chronophage grâce à une automatisation de tout ces processus.
De nombreux scandales viennent tempérer l’engouement autour de toutes ces nouvelles prouesses technologiques et on retrouve encore une fois un GAFA comme accusé : Amazon. La firme dirigée par Jeff Bezos est au cœur d’un scandale d’espionnage des utilisateurs de l’enceinte connectée Alexa. Selon la direction de l’entreprise, les conversations peuvent être enregistrés pour améliorer l’efficacité de l’assistant virtuel. De plus, il n’est pas dit explicitement que les conversations peuvent être écoutées et a fortiori l’utilisateur peut limiter l’utilisation des enregistrements sans jamais pouvoir empêcher la transmission !
Cela nuirait à la crédibilité du RGPD de voir des petites entreprises pénalisées pour des manquements mineurs si Amazon ne connaissait pas de poursuite sur ce dossier.
Beaucoup de travail a été effectué concernant la protection des données personnelles. Le RGPD offre désormais un cadre légal à la récolte et au traitement des données des utilisateurs. Pourtant comme lors de chaque décision juridique en Europe les différences de points de vue apportent avec elles leur lot de divergences entre les Etats qui l’appliquent.
De plus l’on observe une prise de conscience générale aussi bien au niveau de la population qu’au niveau des pouvoirs publics. L’écho de ce règlement est arrivé jusqu’en Californie, terre des GAFA. Le régulateur a pris les devants suite à la grogne des habitants et a voté la mise d’un RGPD local : le California Consumer Privacy Act. C’est une version beaucoup light mais cela augure une éventuelle harmonie au niveau mondial. Affaire à suivre …