[VIDEO] La protection des données personnelles, par Thomas NOËL

Dans cette vidéo, Thomas NOËL nous parle de la protection des données personnelles et du RGPD (Règlement général sur la protection des données). Il explique notamment l’impact sur les particuliers mais aussi sur les entreprises. 

Vous êtes avocat spécialisé en protection des données personnelles, qu’est-ce qui vous a amené vers ce choix ?

Alors ma situation est un peu particulière car je n’ai pas commencé mes études par le droit mais par l’informatique. Après ma réorientation, j’ai gardé cet intérêt particulier pour l’informatique et les technologies de manière générale. Or la question des données personnelles est un des sujets du droit qui a le plus d’interactions avec l’informatique : les logiciels, applications et sites internet traitent un nombre considérable de données personnelles ; mieux : la valorisation des données, et donc des données personnelles, est devenue depuis maintenant de nombreuses années un véritable enjeu pour toutes les entreprises, et notamment les entreprises IT.

Aujourd’hui, en effet, à l’ère du big data et du deep learning, les technologies sont focalisées sur le fait de tirer profit au maximum des données disponibles pour anticiper les comportements de consommation, ou alors simplifier la vie des utilisateurs.

Et c’est justement ici qu’intervient la protection des données personnelles.

L’enjeu est de protéger les données personnelles des individus, en ce que ces données leur sont propres, qu’elles sont l’émanation de leur identité, de leur vie, tout en ne freinant pas l’innovation. L’autre intérêt de cette matière pour moi est qu’elle a une portée quasiment universelle. Chacun a ses données traitées, sur son smartphone, au travail sur l’ordinateur, dans sa voiture, quand il réserve des vacances, etc. Chaque personne est ainsi à un moment ou à un autre ce qu’on appelle une personne concernée. A l’inverse, chacun également est amené à collecter des données d’autres personnes, à les traiter, pour verser un salaire, vendre un service, appeler une personne suite à sa candidature, etc. La protection des données personnelles soulève donc des préoccupations qui touchent tout le monde.

Enfin, c’est une matière qui est en perpétuelle évolution. En effet, elle est intimement liée aux technologies et elle doit donc s’adapter aux diverses évolutions. Par exemple, l’avènement du commerce électronique, et l’utilisation mondiale des données personnelles ont mené à l’élaboration de normes supra nationales dont la plus connue est le RGPD.

On entend beaucoup parler de protection des données surtout depuis le RGPD, mais pourquoi ?

Alors le RGPD, ou règlement général sur la protection des données, est un texte européen de 2016 qui est entré en application le 25 mai 2018. Ce n’est pourtant pas le premier texte sur la protection des données.

En France, la protection des données personnelles est d’ailleurs un enjeu, une préoccupation assez ancienne puisqu’elle date d’une loi de 1978 : la loi informatique et libertés. Cette loi a été adoptée au moment où l’informatique commençait à peine à se développer. Elle est toujours aujourd’hui le texte de référence, même si elle a été modifiée de nombreuses fois.

Même au niveau européen, le RGPD n’est pas le premier texte. Dès 1995, l’Union Européenne s’était dotée d’un texte sur le sujet : la directive 95/46. En réalité, le RGPD, qui a abrogé cette directive, est particulièrement connu pour plusieurs raisons :

• Il s’agit déjà d’un règlement et non d’une directive. Dès lors les règles fixées ont vocation à s’appliquer de manière uniforme dans tous les Etats membres. La marge de manœuvre de ceux-ci est ainsi beaucoup plus limitée que dans le cadre d’une directive qui nécessite une transposition dans le droit national de ces Etats membres ;
• Une autre raison est que le RGPD a considérablement augmenté le pouvoir de sanction des autorités de contrôle (en France, la CNIL). Les sanctions peuvent ainsi aller jusqu’à 4% du chiffre d’affaires annuel mondial d’une société. Ce qui est énorme quelle que soit la taille de la société, que ce soit une multinationale ou alors une PME.

Avant, les risques financiers liés au non-respect des règles de protection des données étaient difficilement quantifiables, ils étaient parfois même sous-estimés. Mais avec le RGPD, les acteurs ont pris conscience que la protection des données devait être un sujet qui nécessitait une attention toute particulière.

Il y a également la question de l’image de l’entreprise qui se fait condamner par une autorité pour non-respect de la protection des données. Une telle condamnation ou même simplement une mise en demeure nuit nécessairement à l’image de cette société. Il suffit de voir la diffusion des sanctions prononcées par les autorités de contrôle depuis le RGPD et leur impact.

Concrètement, qu’est-ce que ça change le RGPD pour les particuliers ?

Alors pour l’essentiel, le RGPD a repris des principes qui existaient déjà mais a mis en place des mécanismes pour assurer leur effectivité. Par exemple, un cadre a été créé qui simplifie les exercices de droits des personnes concernées, c’est-à-dire par exemple le fait pour une personne dont les données personnelles sont traitées, de demander à accéder à toutes ses données personnelles ou alors d’en demander la suppression. Autre exemple : l’information sur le traitement de ses données. Une obligation en ce sens existait déjà. Mais le RGPD a donné plus de précisions, puisqu’il impose désormais avec son article 12 : une information rédigée « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Le règlement présente quand même un certain nombre de nouveautés :

• Le consentement des mineurs ;
• Le droit à la portabilité ;
• La communication en cas de fuite de données (comme ça a été le cas avec Decathlon).

Si on devait résumer, l’apport principal du RGPD réside dans une plus grande transparence des acteurs vis-à-vis des personnes concernées pour le traitement de leurs données personnelles.

Et pour les entreprises, quels sont les grands défis soulevés par la protection des données personnelles ?

En fait le vrai défi de la protection des données personnelles est que c’est un sujet qui doit être appréhendé de manière transverse. Effectivement, ce sujet nécessite une prise en compte au plus haut niveau de l’entreprise. Cela se justifie facilement au regard des sanctions que l’on a évoquées et du préjudice d’image pour la société. Ça nécessite également des échanges réguliers et transparents entre les différents services de l’entreprise. En effet, chaque service traite des données personnelles, que ce soient les données des clients (par exemple, le service marketing), ou alors les données des salariés (par exemple les fonctions supports comme les ressources humaines ou la DSI). Donc un dialogue doit nécessairement s’installer entre les services et l’équipe (qu’elle soit interne ou externe), à qui l’entreprise confie la tâche d’assurer la conformité à la protection des données.

L’organisation est donc pour moi l’élément indispensable pour réussir sa conformité, car même si le RGPD semble être un texte difficile d’accès, avec ses 99 articles, ses 173 considérants, les principes qu’il édicte sont eux assez simples : information transparente, respect des exercices de droits des personnes, encadrement des transferts de données personnelles hors de l’Union Européenne, etc. C’est donc bien l’organisation mise en place au sein d’une entreprise pour assurer le respect de cette réglementation qui peut faire la différence.

Est-ce que la CNIL est particulièrement active pour faire respecter la protection des données ?

Oui. La CNIL, l’autorité française pour la protection des données à caractère personnel, est une des autorités européennes les plus actives.

Depuis l’entrée en vigueur du RGPD, l’activité de la CNIL a augmenté de manière exponentielle : 32% d’augmentation de plaintes en 2018 par rapport à 2017, alors même que le RGPD est entré en application le 25 mai 2018 ! Cela s’explique notamment par une prise de conscience des consommateurs quant au traitement de leurs données personnelles. Cette activité croissante s’est d’ailleurs confirmée en 2019, année qui a commencé par la condamnation de Google à une amende de 50 millions d’euros par cette autorité.

Néanmoins, il faut rappeler que même si ce rôle de sanction est très médiatisé, il ne résume pas à lui seul l’activité de la CNIL puisqu’elle remplit d’autres rôles :

• Un rôle doctrinal : elle édicte des normes, publie des articles (sur les cookies, les mentions d’informations), des guides également ;
• Elle a également un rôle de conseil : il est tout à fait possible pour un particulier ou même pour une entreprise d’appeler la CNIL pour lui poser une question rentrant dans son champ de compétence et obtenir ainsi son avis.

On se rend d’ailleurs compte en visitant le site de la CNIL, que c’est une autorité qui est particulièrement active.

Un mot pour la fin ?

J’aimerais souligner que même si la réglementation, et notamment le RGPD, peut apparaître comme contraignante, il faut ne pas la voir comme un frein mais au contraire comme une opportunité. Pourquoi ? Une opportunité tout d’abord vis-à-vis des consommateurs. Aujourd’hui, avec le RGPD, les consommateurs sont mieux informés de leurs droits par rapport au traitement de leurs données personnelles. Ainsi, entre deux prestataires sensiblement équivalents, un consommateur averti peut privilégier le prestataire qui apparaît le plus transparent au niveau de sa politique de protection des données personnelles. Avec une meilleure information, en effet le prestataire va être privilégié par rapport à un autre prestataire, moins transparent. Une opportunité également vis-à-vis des entreprises clientes. Le RGPD, au titre de l’article 28, encadre strictement le recours à un sous-traitant (au sens informatique et libertés) ; ceux-ci doivent présenter des garanties suffisantes. Par conséquent, un prestataire qui affiche spontanément sa prise en compte du sujet auprès d’une entreprise cliente pourrait se voir privilégié par rapport à ses concurrents. Par conséquent, la mise en conformité à la protection des données à caractère personnel peut donc constituer un investissement rentable et un avantage concurrentiel.