Règlement européen sur la protection des données : quels nouveaux droits pour les citoyens, quels enjeux pour les entreprises ?
Règlement européen sur la protection des données :
Quels nouveaux droits pour les citoyens, quels enjeux pour les entreprises ?
Alors que le gouvernement chinois a annoncé mi-mars le lancement de la phase de test de son “système de crédit social” [un système national de réputation des citoyens, basé sur une surveillance de masse utilisant les technologies d’analyse du big data], de l’autre coté du continent, le Règlement Général sur la Protection des Données Personnelles [RGPD] entrera en application le 25 mai prochain. Près d’un an après sa parution au journal officiel de l’Union Européenne et alors que l’échéance approche, le règlement européen soulève encore de nombreuses interrogations quant à son application et ses conséquences pratiques. Pour y voir plus clair, Sciences Pi [association de la spécialité Droit de l’innovation du master Droit économique] et le professeur Michel Vivant, ont reçu le 9 mars dernier, rue Saint-Guillaume, un parterre de professionnels, d’étudiants et de citoyens concernés.
Il s’agissait alors d’éclairer les enjeux du textes à l’aide de trois regards différents : celui du professeur Yves Poullet, ancien directeur du Centre de Recherche pour l’Innovation et le Développement (CRID), expert auprès du Conseil de l’Europe et recteur honoraire de l’Université de Namur; celui d’un grand acteur du marché numérique, Marc Mossé, directeur juridique et des affaires publiques de Microsoft et enfin celui du régulateur, Florence Raynal, cheffe du service des affaires européennes et internationales de la CNIL.
*******
Pour le Professeur Yves Poullet, trois grandes tendances se dégagent du RGPD et en font un texte de première importance. D’abord, il observe que le changement opéré par le législateur européen, qui a abandonné le forme de la précédente directive au profit d’un règlement, est porté par un souci d’uniformisation du droit. La forme réglementaire est importante dans la mesure où un règlement est applicable directement dans les Etats-membres et ce contrairement à une directive (voir l’article 288 TFUE). Ce règlement est pour lui le fruit d’une véritable volonté de cohérence entre les systèmes européens afin de garantir son efficacité.
Le texte européen est avant tout une actualisation de la directive de 1995 dont l’Europe avait grandement besoin. En effet, conçu lors des balbutiements de l’internet, le texte de 1995 n’était plus adapté face aux profonds changements apportés par deux décennies d’innovations. Entre autres bouleversements, l’apparition de méthode de collecte du big data ou encore le développement du cloud et des objets connectés qui ont rendu internet ubiquitaire. Aujourd’hui, les ordinateurs sont capables de faire des choses qu’avant seuls les hommes pouvaient faire – on pense ici aux progrès de l’intelligence artificielle – confrontant le législateur à la difficulté grandissante de produire des normes efficaces et durables dans un monde qui se veut en perpétuel renouvellement. Pour Yves Poullet, il s’agit tout simplement là d’un changement de paradigme, justifiant une réactualisation du texte de 1995, le tout dans une démarche de rédaction “a-technologique”.
Enfin, Yves Poullet observe la détermination du législateur européen a rendre effective une telle réglementation. Il se félicite d’ailleurs du large panel de recours disponibles en dehors des voies traditionnelles auprès des autorités de contrôles (article 77 et suivants) comme l’arbitrage, la médiation ou encore les codes de conduite (article 40). Il note que ces derniers traduisent un rapprochement avec le système américain de ‘compliance’ et introduisent en Europe un mécanisme de co-régulation : les entreprises développent un code de conduite qui précise le cadre général fixé par le législateur. Cette pratique facilitera la conformité au règlement dans une logique bottom-up.
Il souligne également la monté en puissance des autorités nationales de protection des données. D’un simple avis consultatif, la CNIL et ses homologues européens pourront dorénavant exercer un pouvoir coercitif en émettant des sanctions administratives, sur le modèle des autorités de concurrence, pouvant aller jusqu’à 4% du chiffre d’affaire mondial de l’entreprise sanctionnée.
S’il semble favorable à cette réglementation, le professeur n’en reste pas moins critique et regrette la séparation que le droit européen opère entre les questions de données personnelles et les questions portant sur les conditions d’épanouissement de la personne. Il regrette également que le règlement ne reconnaisse pas le droit à l’anonymat, le droit à se déconnecter ou le droit à la maison virtuelle et la trop grande ‘technicisation’ de ce droit en pleine construction. Enfin il soulève plusieurs interrogations : le règlement est-il à la hauteur des enjeux sociétaux posés par les technologies développées ? A-t-on bien pris en compte l’évolution de la technologie ? Qu’en est-il de l’ouverture de la question à d’autres branches du droit (concurrence par exemple) ? Le droit est-il capable de faire face aux questions de dignité de la personne et aux questions éthiques ? Comment articuler besoin de réglementation et innovation ?
*******
Selon Marc Mossé, le RGPD peut être analysé sous trois aspects, ce qu’il appelle avec humour les trois « c » : cohérence, conformité, culture.
Pour le dirigeant des affaires juridiques de Microsoft, le Règlement répond avant tout à un souci de cohérence européenne, par l’harmonisation des droits des Etats-membres, ce qui lui fait saluer cette initiative qu’il qualifie de « bonne facture ». Il remarque lui aussi que le passage d’une directive à un règlement est le signe d’une volonté d’harmoniser les systèmes juridiques.
Plus qu’un outil d’harmonisation européenne, il considère que c’est également un outil de convergence des droits américains et européens. Le débat sur le règlement a construit un pont entre les deux rives de l’Atlantique, comme en témoigne les exemples d’échanges institutionnels multiples et en premier lieu, celui du ‘Safe Harbour’ américain et du ‘Privacy Shied européen’. L’Europe, plutôt en avance sur ces sujets, fixe à travers ce règlement des standards globaux et participe à la construction du patrimoine mondial du droit des données.
Il rappelle d’ailleurs que l’action d’un acteur institutionnel global comme l’UE a des répercussions bien au-delà de ses frontières et tout comme en matière d’industrie pharmaceutique ou bancaire, les multinationales sont désormais dans l’obligation de se conformer au règlement si elles veulent pouvoir conduire une activité sur le ‘territoire’ de l’Union. D’une certaine manière, le règlement conduit donc ces entreprises à intégrer les problématiques liées à la protection des consommateurs européens, principalement en terme de responsabilité (accountability) ou d’enjeux de vie privée (privacy), et ce dès la conception de leur services et produits (concept de privacy by design). Marc Mossé appelle de ses voeux l’apparition d’un cercle vertueux entre des consommateurs soucieux de leurs droits et la volonté des entreprises de leur proposer des fonctionnalités toujours plus respectueuses du droit et des protections. En outre, il considère la ‘culture des données personnelles’ comme le grand enjeu de la prochaine décennie. Partant du constat que le ‘temps de la régulation n’est pas le même que celui du développement technique’, le juriste se trouve face à une alternative : le législateur doit-il essayer de rattraper son retard en proposant de nouvelles normes dès qu’une nouvelle technologie émerge ou faut-il adopter une vision plus téléologique, flexible en utilisant des textes généraux pour trancher les questions nouvelles au fur et à mesures de leur apparition ?
Ainsi, pour lui, la réponse à cette rapidité du développement technologique est ailleurs, elle ne se trouve plus entre les mains du régulateur mais dans l’inflexion du du comportement des entreprises. Il annonce une ère « du droit de la co-création » où juristes, ingénieurs et commerciaux seront imprégnés de ces questions de données personnelles. Ces dernières ne se règleront plus seulement par la régulation mais seront intégré à leur formation. Par conséquent, il propose que les développeurs soient soumis à une charte éthique – comme le sont les médecins et les avocats – et souligne la nécessité d’une diversité d’origine et de parcours qui s’avère fondamentale pour l’innovation.
*******
Du coté du régulateur, Florence Raynal se déclare favorable au nouveau cadre juridique, le qualifiant de « chance » tant pour les entreprises, que pour les citoyens, le juge et les autorités de contrôle. Rebondissant sur les interventions d’Yves Pouillet et Marc Mossé, elle a rappelé que même s’il s’agit d’un règlement européen – directement applicable – il n’en demeure pas moins que chaque pays est en train d’élaborer une loi d’accompagnement nationale. Cette étape pourrait être plus complexe qu’il n’y paraît. En effet, en France, le texte est actuellement soumis aux deux chambres du Parlement, et face aux interrogations qu’il soulève dans chacune d’entre elles, la représentante de la CNIL prédit la désignation d’une commission mixte paritaire et ce sans être convaincue qu’elle aura lieu avant le 25 mai. Outre ses nombreuses remarques, elle note que le texte renforce les principes de la directive de 1995, principes, ‘capables de s’adapter aux nouvelles technologies’. Elle souligne également l’importance du principe de ‘l’accountability’: La boite à outils mise à la disposition de l’entreprise afin de lui permettre à être en conformité avec le droit.
En outre, le nouveau cadre juridique oblige les différentes autorités de régulation à modifier leur organisation. Le groupe du G29 – composé de la CNIL et de ses homologues européens – qui se réunit régulièrement pour décider des positions communes à adopter, a gagné une véritable capacité juridique avec le règlement européen. Ses décisions seront désormais contraignantes. Ce comité européen assurera également la cohérence de l’interprétation du règlement européen entre les différentes autorités de régulation. Ces dernières changent également de dimension dans leur coopération face aux grands groupes. In fine, le texte prévoit un “guichet unique européen” pour décider de sanctions communes.
D’ailleurs, le G29 travaille actuellement à l’établissement d’une douzaine de guidelines interprétant le règlement. La CNIL, quant à elle, développe également un certain nombre d’outils pour accompagner les acteurs français et réfléchit à la création d’un diplôme pour les délégués à la protection des données personnelles.
Elle se félicite de l’application du règlement aux multinationales extra-européennes qui visent le marché européen et souligne l’utilité du cadre réglementaire comme outil de compétitivité pour les entreprises européennes. La confiance des utilisateurs leur permettra de prendre le train des nouvelles technologies et de rivaliser sur le terrain mondial. D’autre part, elle remarque que la question de la vie privée est désormais soulevée par un grand nombre d’acteurs institutionnels et notamment le Conseil de l’Europe, l’OCDE et l’APEC. De tels enjeux sociaux sont donc source de débats qui dépasse le simple cadre de l’Union Européenne. A la clef, se trouve des enjeux colossaux et puisque le règlement européen renforce le cadre juridique sur la protection des données, ‘nul doute qu’il aura un impact hors de nos frontières’. Elle invite cependant le citoyen et le juge à se saisir de la question et à ne pas l’abandonner aux multinationales. Pour rééquilibrer les forces, leur mobilisation est capitale.
********
Q&A: Etudiants, professionnels et citoyens présents à Sciences Po ont eu le loisir de réagir aux interventions en posant plusieurs questions.
Avocat au barreau de Paris : le principe du RDGP a vocation à être technologiquement neutre, quel sera son impact sur la blockchain ?
Florence Raynal : la position de la CNIL est en cours de développement et devrait être publiée bientôt.
Yves Poullet : la blockchain pose la question du droit à l’oubli, c’est une question tellement importante qu’il est difficile d’y apporter une réponse.
Avocat : pour préciser la question, le règlement peut-il être appliqué à la blockchain dans la mesure où chaque participant à la blockchain devient détenteur de données ?
Yves Poullet : cette question est passionnante et mériterait d’être traité dans un article.
Étudiant : comment s’articule le droit à l’oubli par rapport à l’intelligence artificielle puisqu’une machine qui apprend ne peut désapprendre ?
Yves Poullet : la question de la durée des données est en effet incompatible avec le machine learning.
Florence Raynal : dans le règlement, le principe reste très flexible et pourrait intégrer les questions soulevées par l’IA. Toutefois, le machine learning ne fait pas forcément appel à des données personnelles.
Étudiant : s’agit-il par ce règlement de punir les autres pays, comme les Etats-Unis, afin de compenser le retard que les pays européens accumulent dans le domaine du machine learning?
Florence Raynal : les autres pays doivent jouer le jeu, s’ils absorbent les données économiques en Europe, ils doivent absolument suivre les règles européennes. Ce n’est pas pour les punir mais simplement pour les faire respecter les standards européens
Etudiant : le règlement est flexible, mais il est surtout plein d’incertitudes. Il constate une déconnection entre une conception du règlement très élaborée et de grande qualité et la réalité. L’impact n’est-il pas déjà condamné tant que les citoyens ne se sentent pas concernés ?
Yves Poullet : s’il y a encore des zones d’incertitude dans certains articles, il revient à la jurisprudence de les régler. L’enjeu en vaut la peine.
Florence Raynal : les entreprises remontent les inquiétudes face à la complexité du texte. En tant que régulateur, elle pense qu’il faut changer la vision sur la vie privée. Aux Etats-Unis, certaines entreprises mettent en place des mécanismes sur la vie privée.
En France, le respect de la vie privée a trop longtemps consisté à simplement notifier à la CNIL certains fichiers. Pendant très longtemps, la CNIL était dans le désert et les entreprises étaient des compagnons silencieux. Le régulateur a en effet donné des vrais pouvoirs aux régulateurs pour changer la vision des citoyens et des entreprises sur la vie privée.
Élève avocat : les multinationales disposent d’équipes de juristes compétents pour se conformer au règlement, serait-il possible de mettre à disposition des outils techniques pour les petites et moyennes entreprises ?
Florence Raynal : l’activité de la CNIL est chargée mais il s’agit d’un sujet prioritaire. Un pacte de conformité PME est actuellement en cours de réalisation pour accompagner les petites entreprises aves des outils bientôt disponibles sur le site de la CNIL.
Étudiant : le citoyen se sent-il concerné ? Comment l’intéresser ?
Florence Raynal : c’est l’un des grands enjeux. Il est impératif d’améliorer l’information afin que les citoyens se rendent compte des risques sur le long terme des données. Elle compte sur le relais de la société civile et sur les interventions de la CNIL pour faire ce travail de vulgarisation. Les citoyens pour s’informer ont à disposition les fiches de la CNIL sur les droits de la personne, le droit à l’oubli.