Voilà quatre ans qu’est appliqué le Règlement général sur la protection des données (RGPD) dans l’Union européenne. C’est en effet le 25 mai 2018 que ce texte, appelé GDPR en anglais, est entré en application.
Dès lors, le temps paraît bien loin quand, au tournant de 2018, les internautes recevaient dans leur boîte de réception un torrent de mails de rappel leur priant d’accorder leur consentement. Sans cet accord, les services auxquels ils sont inscrits risquaient de ne plus être en capacité de leur adresser légalement le moindre courrier promotionnel.
Le RGPD constitue le texte de référence en matière de protection des données personnelles. C’est lui qui encadre l’accès et l’usage de ces informations et qui contraint les sites web à afficher des encarts d’avertissement lorsqu’on leur rend visite pour la première fois. Mais c’est aussi pour les entreprises un cadre uniforme, à l’échelle du continent.
Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le cadre européen pour le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.
Avant le RGPD — dont le nom plus solennel est le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données — existait une directive sur la protection des données personnelles qui date de 1995. Ce texte est abrogé par le RGPD.
Où en est le RGPD aujourd’hui ?
Le RGPD est aujourd’hui en vigueur et appliqué comme n’importe quel autre texte de loi. Le Règlement a été adapté dans la loi française, offrant à la population un meilleur contrôle sur leurs données personnelles, et fixant pour les entreprises, les organisations et les administrations un cadre uniformisé, clarifié et simplifié. Mais aussi plus exigeant.
La première année post-RGPD avait été qualifiée « d’exceptionnelle » par la Cnil (Commission nationale de l’informatique et des libertés), qui avait relevé une prise de conscience du public — et une très forte d’activité en découlant. Depuis, la Cnil tient régulièrement des points d’étape, notamment à travers ses rapports d’activité et ses focus.
À titre d’exemple, à l’occasion de Journée de la protection des données qui a eu lieu le 28 janvier 2022, la Commission a remarqué que 2021 a été une année sans précédent, tant par le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) que par le montant cumulé des amendes, qui atteint plus de 214 millions d’euros. Signe qu’il y a encore du chemin.
Plus trivial, mais constituant toutefois un autre indicateur éclairant, le travail réalisé par Joseph O’Connor, un archiviste britannique. Il s’est mis en tête de recenser les sites d’actualité américains qui bloquent (ou non) les internautes européens pour éviter d’avoir à respecter les dispositions du RGPD. En date du 20 mars 2019, 1 129 sites n’étaient pas normalement accessibles.
Quel est l’objectif du RGPD ?
L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa vétusté, révélée par l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.
Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne, ainsi que dans la vingtaine d’autres pays de l’Union. De cette façon, la fragmentation juridique sur le Vieux Continent s’en trouve atténuée.
D’où vient ce texte européen ?
L’idée initiale vient du constat fait par la Commission européenne que la législation d’alors, entrée en vigueur en 1995, avait besoin d’être actualisée pour tenir compte des évolutions technologiques. En 2012, Bruxelles a donc proposé un nouveau règlement, dont la carrière législative au niveau européen s’est étalée jusqu’en 2016, avec notamment le 15 décembre 2015, un accord entre le Conseil, le Parlement et la Commission.
Le parcours du texte au niveau européen s’est fait dans un contexte particulier : le 13 mai 2014, la Cour de justice de l’Union européenne rendait son fameux arrêt qui oblige essentiellement Google à donner satisfaction aux internautes du Vieux Continent qui demandent le retrait de résultats qui les concernent, consacrant ainsi l’existence d’un droit au déréférencement (sorte de droit à l’oubli light) sur le net.
Un an plus tard, le 1er octobre 2015, la même Cour de justice a invalidé le régime juridique dit du « Safe Harbor » qui permettait aux entreprises américaines d’importer aux USA des données personnelles de citoyens européens. Celui-ci a été jugé invalide en raison des révélations d’Edward Snowden sur le programme PRISM, par lequel la NSA accéderait aux données stockées aux USA.
Quand le Règlement général sur la protection des données est-il entré en vigueur ?
Le déploiement du RGPD dans l’espace européen s’est fait en deux temps : il y a d’abord eu, le 14 avril 2016, l’adoption définitive du texte par le Parlement, suivi quelques jours plus tard, le 27, de sa promulgation au Journal officiel. Cependant, son application ne s’est pas déroulée au même moment : il a été décidé de la décaler de deux ans, au 25 mai 2018.
Ce laps de temps a été fixé pour que les législations nationales et les entités procédant à la collecte et au traitement des données personnelles de s’y préparent, en transposant dans le droit des États membres les dispositions du RGPD et en adaptant les traitements déjà mis en œuvre pour qu’ils soient en conformité avec le texte. Depuis le 25 mai, tout traitement en infraction avec le RGPD peut déboucher sur des sanctions.
C’est quoi une donnée personnelle ?
Une donnée personnelle (ou donnée à caractère personnel) est une information qui concerne une personne physique, identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :
Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la Cnil et dont l’intérêt public est avéré.
Que change le RGPD pour l’internaute ?
Du point de vue de l’internaute, le RGPD met en place ou conforte un certain nombre de protections. Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’elles s’assurent que les enfants en dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.
Le RGPD inclut aussi une reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, le droit d’être informé en cas de piratage des données.
Les internautes peuvent aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.
Qui doit se conformer au RGPD ?
Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire du Vieux Continent. Un groupe américain, japonais ou chinois qui collecte et mouline des données personnelles européennes doit aussi s’y conformer.
Des géants comme Google, Facebook, Amazon ou encore Uber doivent donc tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte. Même une petite startup qui se lance dans de l’e-santé doit aussi être dans les clous.
On m’a contacté pour me mettre en conformité, est-ce légal ?
Si vous gérez une entreprise manipulant des données personnelles, ne pas être à jour de la loi n’est plus admissible. Si ce n’est pas fait, mettez-vous à niveau, quitte à faire appel à un prestataire externe. Attention, la précipitation peut être mauvaise conseillère : il faut prendre garde à ne pas faire appel à n’importe qui, pour ne pas tomber sur une arnaque.
La Commission nationale de l’informatique et des libertés a ainsi mis en garde sur les risques d’arnaques autour du RGPD : si les grands groupes sont immunisés à ce type de souci, parce que leur département juridique peut prendre en charge cette mise en conformité, les startups, les TPE et les PME sont plus exposés. Il vaut mieux se documenter en ligne avant de faire appel à tout prétendu expert.
Et si besoin, la Cnil peut vous conseiller par téléphone via une ligne dédiée : 01 53 73 22 22.
Comment le règlement sur la protection des données personnelles se traduit-il en France ?
En France, le cadre du RGPD est transposé dans la législation via un projet de loi relatif à la protection des données personnelles. Il a été présenté le 13 décembre 2017 par Nicole Belloubet, alors ministre de la Justice. La procédure accélérée a été enclenchée par l’exécutif pour aller vite. Mais dans les faits, le parcours législatif a été un peu plus difficile que prévu.
L’Assemblée nationale et le Sénat ont en effet affiché leur désaccord sur le projet de loi. Il y a par exemple eu un désaccord sur l’âge à partir duquel un jeune est majeur sur le plan numérique. La question n’est pas tout à fait anodine, car cela définit à quel âge un adolescent ou une adolescente peut donner directement son feu vert pour le traitement de ses données personnelles.
Une commission mixte paritaire a été mise en place, mais elle n’a pas permis de rapprocher les points de vue. Le texte est alors repassé une deuxième fois devant chaque chambre et c’est finalement l’Assemblée nationale qui a eu le dernier mot, là où les députés de La République en marche sont majoritaires. Le texte a fait l’objet d’une saisine du Conseil constitutionnel de la part des sénateurs.
Les Sages de la rue de Montpensier ont rendu leur décision le 12 juin. On notera que la loi adaptant le droit français au RGPD a été validée pour l’essentiel, le Conseil ne censurant qu’un point relatif aux fichiers pénaux, lorsque les traitements sont « sous le contrôle de l’autorité publique ». Aucune réserve d’interprétation n’a été formulée par ailleurs.
Les prérogatives de la Cnil ont par ailleurs été précisées, tandis que l’usage par une administration d’un algorithme, sans intervention humaine, pour établir des décisions individuelles a été approuvé, au motif que les garanties prévues dans la loi étaient assez nombreuses pour échapper aux abus et garantir « la sauvegarde des droits et libertés des personnes ».
Le texte a été publié au Journal officiel le jeudi 21 juin 2018.
Quelles sont les sanctions prévues par le RGPD ?
Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.
Il faut imaginer ce que cela peut représenter pour des géants du net si une procédure est lancée contre eux. L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage. Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les conséquences, du fait de sa qualité de responsable du traitement.
Cela étant, les multinationales ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles ont des détachements de juristes et d’experts qui travaillent déjà à plein temps depuis des mois pour être absolument dans les clous du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.
Quels moyens pour la Cnil ?
La Commission nationale de l’informatique et des libertés (Cnil), qui est l’autorité de référence pour s’occuper du RGPD en France, dispose d’un budget annuel supérieur à 21,5 millions d’euros et compte plus de 200 personnes dans ses rangs. Ce sont des moyens en hausse régulière, même si l’ampleur de la tâche et le poids croissant du numérique laissent à penser que cela reste insuffisant.
Sur le temps long, c’est-à-dire en regardant l’évolution des moyens et des effectifs de la Cnil sur plusieurs années, les hausses ne sont certes pas dérisoires. Ainsi, entre 2018 (année d’arrivée du RGPD) et 2021 (date du dernier budget), ses moyens ont augmenté de 4 millions d’euros. Par ailleurs, quelques dizaines de postes ont été ouverts au fil des ans.
Quelles sont les grandes actions lancées au nom du RGPD ?
Il serait sans doute vain de liste l’intégralité des actions judiciaires menées dans le cadre du RGPD. On peut toutefois noter l’activité intense de certaines associations sur ce terrain, à l’image de La Quadrature du Net, de l’UFC-Que Choisir ou bien de Noyb, acronyme de None of your business, qui est animée par le juriste autrichien Maximilian Schrems.
Les actions conduites par ces différents plaignants ciblent avant tout les géants du net que sont Google, Facebook, Amazon et Microsoft, ainsi que leurs filiales, car ce sont des entreprises qui se sont construites en partie, voire intégralement, sur le business des données personnelles. Compte tenu de leur poids sur le web, elles sont des cibles prioritaires.
L’effort contre ces immenses silos à données personnelles se déroule en partie non pas en France, mais en Irlande (et dans une moindre mesure au Luxembourg), car c’est dans ce pays que se trouvent les principaux sièges européens des géants du net. C’est donc la Cnil locale (Data Protection Commission) qui réceptionne la plupart du temps des dossiers sensibles.
En 2019, le DPC a déclaré que ses services instruisaient 51 gros dossiers, dont 17 ont un lien avec le numérique ou la tech. Sont cités Apple, Facebook, Instagram (filiale de Facebook), LinkedIn (filiale de Microsoft), Twitter et WhatsApp (filiale de Facebook). Et sur ces 17 dossiers, 11 impliquent Facebook ou ses filiales. Mais la DPC est parfois accusée d’être un peu molle.
Quelles sanctions jusqu’à présent ?
En France, la première sanction remarquable décidée sous l’égide du RGPD a été prise à l’encontre de Google, le 21 janvier 2019. Saisie par deux associations, une française et une autrichienne, la Cnil estime que l’entreprise américaine commet trois manquements (accessibilité et clarté de l’information, et absence de consentement valable pour la publicité personnalisée).
Pour ces erreurs, qui n’ont pas été corrigées depuis, l’autorité administrative a décidé d’infliger une sanction de 50 millions d’euros. La firme de Mountain View a toutefois annoncé un recours devant le Conseil d’État, la plus haute juridiction française de l’ordre administratif. L’association La Quadrature du Net a salué cette sanction, mais regrette la faiblesse du montant de l’amende.
Ailleurs en Europe, des sanctions ont été prononcées dans onze pays : l’Allemagne, l’Italie, la Pologne, l’Autriche, le Danemark, le Portugal, la Norvège, la Lituanie, la Bulgarie, la Hongrie et Chypre, mais les montants sont beaucoup plus modestes. Ils vont de 9 700 euros (en Autriche) à 400 000 euros (au Portugal).
Le RGPD, source d’inspiration ailleurs dans le monde
Si le RGPD a fait l’objet de critiques, notamment du côté des États-Unis, pays qui n’a pas la même vision que l’Europe sur la donnée européenne, il semble toutefois que le texte ait une certaine influence sur d’autres législateurs. Ainsi, outre-Atlantique, un projet de loi est en discussion au niveau fédéral (mais le texte devrait toutefois être plus laxiste que celui en vigueur en Europe).
Notons aussi qu’il existe des projets au niveau des États fédérés américains, comme la Californie et New York. Un texte est même passé cet été dans le Golden State, siège d’un grand nombre de géants du web. Cependant, son application n’a eu lieu qu’à partir du 1er janvier 2020 ; par ailleurs, elle est moins stricte. Par exemple, l’autorisation des internautes à toute collecte de donnée personnelle n’est pas requise.
Plus inattendu, la Chine, dont le modèle de développement paraît assez distant des standards occidentaux, serait aussi en réflexion sur le sujet, selon Emmanuel Pernot, doctorant en droit spécialisé dans la protection des données personnelles. Des indices d’une évolution législative ont été remarqués. Mais il faut garder en tête que le texte gardera naturellement les spécificités du régime chinois.
(mise à jour de la FAQ avec les quatre ans du RGPD)
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
