La mise en œuvre du RGPD : la France est-elle prête ?

Création : 25 mai 2018
Dernière modification : 15 juin 2022

Autrice : Frédérique Berrod, professeure de droit public, Université de Strasbourg

Le 25 mai 2018 est la date de l’entrée en application du règlement général sur la protection des données personnelles ou RGPD. La date arrivée, tout le monde est en retard. Cela peut être un préjudice pour le modèle européen de protection des données personnelles, au moment même où il devient une référence au niveau mondial.

Un modèle juridique compétitif.

A l’heure du big data, protéger les données personnelles a pu être considéré comme un combat d’arrière-garde, voire un « racket protectionniste ». Le scandale Cambridge Analytica est venu à propos rappeler que l’exploitation des données personnelles suppose la confiance du citoyen et pas sa manipulation par des fake news. Mark Zuckerberg a beau s’excuser devant le Parlement européen le 22 mai, il ne convainc pas.

Mais l’idée que l’individu doit donner son consentement éclairé au traitement de ses données personnelles et en maîtriser la diffusion par le « spray » que constitue Internet fait son chemin. L’Union européenne ne sur-réglementerait pas – ou plus – l’utilisation des données personnelles, mais elle serait le promoteur d’une protection plus universelle de celles-ci. La solution normative de l’UE gagne ainsi en légitimité sur le plan mondial, même si les dissensions restent vives à l’intérieur de l’UE mais aussi de part et d’autre de l’Atlantique sur la responsabilité des plateformes numériques dans le traitement de telles données.

Un règlement partiel de la protection.

L’UE a adopté en 2016 le RGDP. Ce règlement est mis en application le 25 mai 2018. Chacun avait donc deux ans pour se préparer. Rappelons qu’un règlement ne peut pas être transposé par une loi nationale et qu’il entre en vigueur en général au jour de sa publication au journal officiel de l’UE. Le fait de décaler dans le temps son application est le signe de l’importance des changements qu’il induit. Des droits nouveaux sont protégés (dont le controversé droit à l’oubli ou encore la portabilité des données) et il organise surtout une nouvelle gouvernance des données personnelles. En France, il impacte très directement la loi Informatique et libertés de 1978 et le travail de la CNIL, en particulier en supprimant le célèbre contrôle a priori des fichiers informatiques. La déclaration préalable est en effet remplacée par une responsabilisation des auteurs du traitement et des pouvoirs de contrôle a posteriori assumés par la CNIL.

Cette dernière avait joué le jeu et fait un substantiel travail d’information sur son site internet. Elle attendait seulement que le législateur veuille bien lui donner les instruments pour entrer dans cette nouvelle ère et toiletter en conséquence ses fonctions et ses pouvoirs. La loi qui vient modifier celle de 1978 a été votée, après de vives discussions (de nombreux amendements et un blocage entre l’Assemblée nationale et le Sénat), le 14 mai seulement. Le Conseil constitutionnel fut saisi dès le 16 mai, ce qui retarde d’autant l’entrée en vigueur de la loi nouvelle. En toute hypothèse, les décrets d’application ne seront plus adoptés dans les temps, même si le gouvernement assure qu’ils sont prêts.

Le RGDP s’applique néanmoins au 25 mai, même si la loi tarde un peu. Enfin presque. Ce règlement dit général laisse en effet de nombreuses marges de manœuvre aux États, ce qui en fait un règlement incomplet et finalement bien singulier. La France a utilisé ces marges a minima (voir le rapport d’information de l’Assemblée nationale), ce qui est plutôt une bonne chose pour les responsables du traitement des données, qui ne seront pas handicapés par une divergence normative trop forte. Mais, pour utiliser ces marges nationales, il faut que la loi détermine par exemple l’âge de la majorité numérique.

Il est étonnant de constater que malgré ces débats à trancher, la France ait attendu si longtemps avant de proposer une loi. La précipitation d’un vote avec de tels enjeux pour la protection des personnes, mais aussi le développement de l’économie numérique, de plus en plus conditionné par la récolte et le traitement des données, est bien difficilement compréhensible.

Ce retard est encore plus préoccupant quand on constate qu’une directive est aussi transposée par la loi récente, applicable aux fichiers de la sphère pénale. La transposition d’une directive suppose le choix de moyens, qui sont, en l’espèce, nécessaires à la protection des données personnelles. La CNIL s’était étonnée de ce retard dans le paquet « Données personnelles », dans son avis du 13 décembre 2017. Enfin, la loi réforme profondément celle de 1978 mais reste finalement peu lisible, du fait du refus de modifier la structure de l’ancienne loi. Une ordonnance est même prévue pour assurer la lisibilité de ce texte, qui touche pourtant ni plus ni moins au droit fondamental à la protection des données personnelles, consacré comme tel par l’article 8 de la Charte des droits fondamentaux de l’UE. Rien n’est fait semble-t-il pour écrire un cadre stable dont les entreprises et les administrations ont pourtant bien besoin.

Une appropriation trop lente par les entreprises et les administrations.

Les péripéties législatives françaises ajoutent à l’impréparation des entreprises et des administrations à cette nouvelle gouvernance des données personnelles. D’après la présidente de la CNIL, Isabelle Falque-Pierrotin, « le RGPD est une opportunité pour les opérateurs européens. Il dessine le cadre de confiance qu’attendent les consommateurs, et leur donne des arguments de différenciation concurrentielle. Il offre aux administrations l’opportunité d’améliorer leurs pratiques et de créer autour du délégué une gouvernance interne de la donnée indispensable à l’ère numérique, sans faire obstacle à des utilisations innovantes des données au service des politiques publiques, bien au contraire ». Le RGDP est pourtant aujourd’hui plus perçu comme une gabegie financière pour l’économie européenne. Il est paradoxal de constater qu’il gagne en légitimité internationale alors qu’il perd en crédibilité au sein de l’UE. Le grand saut vers la protection des données personnelles n’aura pas lieu le 25 mai.

Il faut rappeler qu’une telle évolution de la protection des données personnelles suppose une adaptation singulière des structures administratives, comme de celles des entreprises. Chaque responsable de traitement doit en effet désigner un Délégué à la Protection des données personnelles et cartographier les risques de traitement de ces données dans son activité pour identifier les failles de protection. Le consentement au traitement de données personnelles doit aussi être spécifiquement recueilli et indiquer pour quelles finalités le traitement est prévu. La CNIL a mis en demeure Direct Energie pour que le consentement soit réellement éclairé, c’est-à-dire que le consommateur soit spécifiquement et complètement informé, lors de la pause des compteurs Linky. La conséquence de cette exigence est que l’on voit fleurir des mails dans nos boîtes, nous informant de ce printemps des données personnelles et nous sommant de consentir au traitement de nos données pour « garder le contact ».

Mais, et l’enjeu est fondamental pour les entreprises, le RGDP induit aussi une nouvelle réflexion sur les processus de fabrication, en consacrant le privacy by design. Cette obligation est lourde puisqu’elle suppose que la protection des données soit prise en compte dans la conception même des produits et services. Le coût de cette adaptation est certain et le temps de sa mise en œuvre conséquent. En prenant du retard les entreprises s’exposent à des sanctions avec la mise en œuvre du RGDP. En ce sens, privilégier une application formaliste de la protection des données est très mauvais et risque de miner l’innovation des entreprises françaises. Si le mouvement s’étend dans les autres États membres, qui cumulent aussi des retards de mise en œuvre, c’est le modèle européen même qui risque une remise en question particulièrement préjudiciable pour tous.

Une erreur dans ce contenu ? Faites-le-nous savoir : contact@lessurligneurs.eu