RGPD : « Les citoyens connaissent de mieux en mieux leurs droits en matière de données personnelles. Et ils sont bien décidés à les faire respecter ! »

Temps de lecture estimé : 19 minute(s)

Avocate spécialisée dans les nouvelles technologies et le droit des données personnelles, Blandine Poidevin est à la tête du cabinet lillois Jurisexpert, qui accompagne OVH depuis ses débuts. L’entrée en vigueur prochaine du RGPD a mis le sujet des données personnelles au cœur du débat public, alors qu’il était jusque-là plutôt circonscrit aux cercles de juristes, chercheurs et militants. Blandine Poidevin, qui fait le constat d’une inflation significative des recours en justice liés aux données personnelles, est convaincue qu’une prise de conscience a eu lieu chez les citoyens français et européens.

Mieux informés, mieux outillés, mieux accompagnés, ils sont aujourd’hui plus nombreux à faire respecter leurs droits quand les organismes à qui ils confient leurs données manquent à leurs obligations ou portent atteinte à leur vie privée. Blandine Poidevin souligne également le risque d’image pour les entreprises mises en cause, celui-ci s’ajoutant à un risque financier désormais significatif. Entretien sur les enjeux du RGPD, un peu plus d’un mois avant l’application des nouvelles règles du jeu.

En tant qu’avocate spécialisée en droit des données personnelles, quel est selon vous l’état du risque juridique en ce domaine ?

Blandine Poidevin : Depuis les premières règles élaborées en 1978 (loi informatique et libertés), le cadre juridique protégeant la vie privée des personnes physiques s’est très nettement renforcé : en 1995, avec la directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, puis en 2004. Elle se renforcera aussi et surtout cette année, avec l’entrée en vigueur en mai du règlement général sur la protection des données (dit GDPR ou RGPD en anglais).

L’objectif de ce texte européen, par le biais notamment du renforcement des sanctions applicables, est de permettre aux citoyens de reprendre véritablement la main sur leurs données et de disposer d’outils efficaces pour cela.

Le renforcement du cadre juridique au cours de ces dernières années s’est accompagné d’une montée en puissance de l’autorité de contrôle, la Commission Nationale Informatique et Libertés (CNIL), dont les effectifs se sont étoffés (d’une trentaine au début des années 80, ils sont aujourd’hui près de 200).

La CNIL assure un rôle de sensibilisation du public sur les problématiques de protection de la vie privée, doublé d’un pouvoir de contrôle et de sanction à l’encontre des entités qui ne respectent pas les règles. Dans ce contexte, son activité croissante, tout comme l’évolution des règles applicables, ont rendu possible une véritable prise de conscience, par les citoyens, de la nécessité de protéger leurs données personnelles.

« Le nombre de plaintes a plus que triplé entre la fin des années 1990 et aujourd’hui. »

Cela s’est-il traduit par l’augmentation du nombre de plaintes relatives à ce sujet ?

B. P. : Le nombre de plaintes a plus que triplé entre la fin des années 1990 et aujourd’hui. [La CNIL évoque même une « explosion » du nombre de requêtes déposées à son guichet dans son bilan 2017, voir ci-dessous, ndr]. Cette inflation traduit la connaissance qu’ont désormais les citoyens des droits qui sont les leurs et des moyens de les faire respecter. Plus largement, les utilisateurs commencent à s’intéresser sérieusement aux données qu’ils remettent entre les mains des entreprises, ce qu’elles racontent de leur mode de vie et habitudes de consommation, comment elles sont exploitées. Les utilisateurs revendiquent un meilleur contrôle, en témoigne l’engouement récent pour les outils mis à disposition par Facebook et Google, entre autres, pour consulter, télécharger et éventuellement supprimer les informations confiées à ces plateformes.

Et les recours en justice se sont professionnalisés…

B. P. : Si certaines entreprises considèrent encore la menace comme théorique, au motif que les citoyens ne sont pas suffisamment armés pour faire valoir leurs droits en matière de données personnelles, elles doivent définitivement changer de paradigme.

Nous constatons, depuis plusieurs années, une professionnalisation des recours présentés par des clients, des consommateurs, à l’égard des entreprises auxquelles ils confient leurs données personnelles.

Il n’est ainsi plus rare que lesdits clients ou consommateurs soient accompagnés par un avocat ou une association de défense des consommateurs. Car, oui, les règles sont complexes et monter un recours nécessite bien souvent une bonne compréhension de leurs mécanismes.

Prenons l’exemple d’un salarié licencié, qui demanderait à son ancien employeur, via son droit d’accès tel que reconnu par la Loi informatique et liberté, la copie d’attestations établies par d’autres salariés pour justifier le licenciement. Ces attestations contiennent certes des données personnelles le concernant, mais également des données relatives à des tiers. La CNIL considère, dans ce cas, que le droit d’accès ne portant que sur des données et non sur des documents, seules les informations concernant le salarié, extraites des documents en question, pourraient lui être communiquées, ce qui priverait la demande d’une bonne partie de son intérêt…

Quid des actions de groupe en matière de données personnelles, à l’instar des class actions existantes dans le droit américain ?

B. P. : La possibilité d’une action de groupe en matière de données personnelles a été introduite dans les récentes évolutions de la Loi informatique et libertés à l’automne 2016, dans le cadre de la Loi de modernisation de la justice. L’article 43ter stipule ainsi qu’une association dont l’objet est la défense de la vie privée, une association de consommateurs ou encore une organisation syndicale peut représenter devant la justice des collectifs de personnes « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature ».

Le RGPD, dans son article 80, va plus loin en instaurant que « La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit. »

En clair, il n’est plus nécessaire qu’un manquement similaire soit commun à plusieurs plaignants pour qu’un organisme puisse être mandaté et agir au nom d’une victime devant la CNIL ou une juridiction nationale ou encore européenne le cas échéant.

Les différents états de l’UE pouvaient transposer ou non au sein de leur réglementation nationale (en l’occurrence la Loi informatique et libertés) le fait que les organismes mandatés par un plaignant puissent, en plus de faire cesser le manquement à la loi, obtenir réparation du préjudice. D’abord écartée dans les débats parlementaires qui ont eu lieu au début de l’année, la possibilité d’obtenir réparation a été réintroduite par le dépôt d’un amendement de la députée Paola Forteza, lequel a été approuvé par la commission des lois (1).

Désormais accompagnées de professionnels du droit et dotées d’un cadre juridique adapté, les personnes physiques disposent d’armes puissantes pour faire respecter leur vie privée.

En conséquence, le risque juridique lié au non-respect, par les opérateurs traitant des données ou par les prestataires auxquels ils les confient, des lois et règlements en vigueur, n’a jamais été aussi élevé, dans la mesure où les sanctions sont désormais à un niveau très élevé et que les citoyens semblent, à juste titre, bien décidés à faire respecter leurs droits à l’aide des protections nouvelles qui leur sont offertes.

« Le risque, pour les entités traitant des données, se situe aujourd’hui également sur le plan de l’image. »

Pour une entreprise, le risque est-il seulement financier ?

B. P. : Le risque, pour les entités traitant des données, se situe aujourd’hui également sur le plan de l’image. Non seulement la CNIL n’hésite pas, comme la loi le lui permet, à publier certaines des sanctions qu’elle prononce. Mais, en outre, la presse s’en fait désormais le relais et donne un écho important aux condamnations prononcées.

Ainsi, en janvier 2018, le quotidien Le Monde faisait état de la sanction prononcée le même jour par la CNIL à l’encontre d’une enseigne spécialisée dans la vente d’électroménager pour atteinte à la sécurité des données clients. Dans cette affaire, plusieurs centaines de milliers de demandes ou réclamations, contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles à tous via internet. Dans son communiqué, la CNIL regrettait, outre le défaut de sécurisation des données, le manque de réactivité de l’enseigne mise en cause.

La collecte de données est devenue un enjeu stratégique pour les entreprises. La protection des données doit, elle aussi, devenir un enjeu stratégique. Sans quoi les consommateurs pourront être tentés de se tourner vers des enseignes concurrentes, plus vertueuses en matière de respect des données personnelles.

La conséquence ? Il appartient désormais aux opérateurs économiques de faire les bons choix pour garantir à leurs clients la protection de leurs données et s’assurer la préservation d’une image de marque respectueuse de la vie privée de chacun.

Comment le respect de la vie privée est-il devenu une valeur fondamentale dans nos sociétés européennes ?

B. P. : Le concept de vie privée est assez ancien. On en trouve déjà la trace dans les écrits d’Aristote au IVe siècle avant J.-C., qui opposait la sphère publique (associée à la politique) à la sphère privée (associée à la vie domestique).

Le concept de vie privée a éclos en parallèle des idées de libertés individuelles et d’égalité, qui émergent à la fin du 18e siècle et cheminent jusqu’à trouver leur place jusque dans les constitutions.

L’invention de la photographie et le développement de la presse donnent une actualité nouvelle au concept de vie privée, que deux avocats américains définissent en 1890 comme « le droit d’être laissé tranquille ».

Avec le développement des réseaux informatiques et des moyens de communication modernes, les risques d’atteinte à la vie privée se sont démultipliés, engendrant des problématiques nouvelles. Si les utilisateurs ont volontairement exposé certaines données sur des sites comme Facebook, d’autres données ont été collectées à leur insu (par exemple via les cookies tiers), avec le risque qu’elles soient croisées, enrichies, exploitées sans consentement, éventuellement de façon déloyale. Ou encore qu’elles soient cédées à des tiers, piratées parce que mal sécurisées par les entreprises auxquelles elles ont été confiées.

Informations administratives, données de santé, comptes bancaires, informations sur nos habitudes de consommation… des pans entiers de nos existences ont été massivement numérisés. Si, isolément, certaines données n’ont pas une grande valeur, leur recoupement peut permettre d’établir des profils assez précis à destination des annonceurs publicitaires (voire même de déterminer votre classe sociale, si l’on s’intéresse à l’un des derniers brevets déposés par Facebook). Et on peut facilement imaginer que cette masse de donnée puisse être utilisée pour ajuster votre prime d’assurance ou aider votre banque à décider de l’obtention de votre prochain crédit immobilier.

« Le choix d’un hébergeur pour une entreprise n’est plus qu’une « simple » question technique. La dimension juridique, liée à la localisation des données, doit aussi être prise en considération. »

Avant l’adoption du RGPD, les révélations d’Edward Snowden en 2013, sur l’existence d’une surveillance de masse par l’agence nationale de sécurité américaine, avaient déjà permis une prise de conscience quant à la nécessité de protéger nos données…

B. P. : Edward Snowden a effectivement démocratisé la question de la protection de la vie privée. On se souvient de sa déclaration : « Lorsque vous dites « le droit à la vie privée ne me préoccupe pas, parce que je n’ai rien à cacher », cela ne fait aucune différence avec le fait de dire « Je me moque du droit à la liberté d’expression parce que je n’ai rien à dire », ou ‘de la liberté de la presse parce que je n’ai rien à écrire. »

Il est difficile d’évaluer l’ampleur de la prise de conscience provoquée par les révélations de ce lanceur d’alerte chez les citoyens, à titre individuel. En revanche, il est certain que cet épisode a ouvert une série de questions quant à la notion de souveraineté numérique. Un concept qui n’a pas réellement de base juridique, mais qui révèle que la localisation des données n’est pas seulement un débat technique. Les enjeux sont géopolitiques : qui a accès aux données ? Entre quels pays circulent-elles ? Comment sont-elles protégées, non seulement de l’espionnage par des puissances étrangères, mais aussi des attaques informatiques…

Le RGPD apporte des réponses juridiques à ces enjeux cruciaux pour l’Europe, en renforçant d’une part l’information des clients (sur la localisation des données, les différents intervenants de la chaîne de traitement, la finalité de ces traitements) et les obligations des entreprises.

Par conséquent, le choix d’un hébergeur pour une entreprise n’est plus qu’une « simple » question technique. La dimension juridique, liée à la localisation des données, doit aussi être prise en considération. En ce sens, la campagne #ReprenezLeContrôle lancée par OVH participe à la nécessaire sensibilisation des entreprises sur ces sujets.

Jusqu’à présent, avec la Loi informatique et liberté, les entreprises étaient dans une démarche de déclaration et d’autorisation préalable. Avec le RGPD, on passe à une logique de responsabilisation (accountability) des entreprises et responsables de traitement. Que cela change-t-il ?

B. P. : Avec le RGPD (et sa transposition dans la loi française), il appartient en effet au responsable de traitement – celui qui détermine les moyens et la finalité du traitement –  de prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données, et donc la conformité du traitement avec la réglementation.

Le responsable de traitement est considéré comme un acteur responsable, dont le devoir est de prendre les mesures techniques et organisationnelles nécessaires, en fonction de la nature des données traitées. En cela, le cadre offert par le RGPD peut sembler moins contraignant que la loi actuelle, mais c’est une idée fausse.

Les données traitées par les organismes qui les collectent sont de toutes natures. Certaines sont extrêmement sensibles, d’autres le deviennent par un possible recoupement avec d’autres jeux de données. D’autres types d’informations sont beaucoup moins sensibles. Si la loi cherchait à embrasser tous les cas de figure possibles, elle fournirait un cadre inadapté dans de nombreuses situations. Aussi, il doit y avoir une réflexion au sein des entreprises sur ces sujets, qui mêle les aspects juridiques, mais aussi éthiques qui entrent en jeu lorsque l’on traite des données personnelles. Animer cette réflexion et la porter jusque dans les Comex est l’une des missions des Data Protection Officer que l’on voit apparaître dans les entreprises, à l’instar de Florent Gastaud nommé chez OVH en octobre 2017.

Cette réflexion peut également avoir lieu à l’échelle des associations professionnelles. Ainsi OVH a pris l’initiative de fédérer les fournisseurs européens de services d’infrastructures cloud au sein d’une association professionnelle, le Cloud Infrastrastructure Services Providers in Europe (CISPE), lequel a publié en septembre 2016 un code de conduite relatif à la protection des données (CISPE Data Protection Code of Conduct).

En quoi cette logique d’accountability (il n’existe pas vraiment d’équivalent en français) offre-t-elle de meilleures garanties aux utilisateurs ?

B. P. : S’il n’a plus à déclarer préalablement son traitement ni à solliciter une autorisation préalable, le responsable de traitement doit en revanche tout documenter. En cas de contrôle par la CNIL, il faut pouvoir justifier des mesures prises, et même des réflexions qui y ont mené. Cela va de l’étude d’impact dans certains cas, jusqu’à la consignation dans un procès-verbal de la décision de nommer, ou de ne pas nommer un DPO à un instant T, si l’entreprise ne le juge pas nécessaire.

L’obligation de documenter les process, pour en rendre compte le cas échéant, a plusieurs vertus : favoriser la réflexion sur les pratiques, responsabiliser les acteurs (davantage que l’obtention d’une autorisation, qui peut être perçue comme un blanc-seing) et permettre une meilleure information de l’utilisateur final.

« La transparence est alors absolument nécessaire. Je peux très bien accepter qu’une application mobile de navigation collecte des données en échange du service rendu, encore faut-il le faire en toute connaissance de cause. »

Certains ont opposé RGPD et innovation, dans le sens où certains services, certaines fonctionnalités nouvelles, peuvent émerger à partir de l’analyse de données initialement collectées avec une finalité différente. C’est d’ailleurs l’une des promesses du Big Data et de l’intelligence artificielle que d’extraire du sens, des corrélations, à partir de données éparses.

 B. P. : Sans même parler de services nouveaux, beaucoup d’applications exploitent les données des utilisateurs pour personnaliser leur expérience, l’améliorer ou encore leur rendre des services « gratuitement ».

La transparence est alors absolument nécessaire. Je peux très bien accepter qu’une application mobile de navigation collecte des données en échange du service rendu, encore faut-il le faire en toute connaissance de cause. L’itinéraire proposé par cette application tient-il compte seulement de critères comme le trafic routier et la météo, ou me fait-il passer à dessein à proximité d’un restaurant dans lequel elle sait que je suis susceptible de m’arrêter ? De la même façon, si un crédit m’est refusé en fonction d’un scoring calculé par un algorithme, je dois pouvoir comprendre comment ce score disqualifiant m’a été attribué, sans quoi il est impossible de le contester.

Pour en revenir à l’innovation, il peut être opportun de reconsidérer les choses. Repérer des signaux faibles, des corrélations entre des données comportementales éparses, par exemple dans le domaine prometteur de la santé, ne peut-il pas se faire avec des données anonymisées / pseudonymisées ? On doit aussi envisager de supprimer plus systématiquement les données recueillies par exemple dans le cadre d’un test ou une phase de R&D, dès lors qu’il n’y a plus nécessité de les conserver.

Il faut d’ailleurs savoir qu’une demande de dérogation auprès de la CNIL restera possible dans le cadre des expérimentations dans les domaines du Big Data et de l’intelligence artificielle. Cela restera à mon sens marginal, car concevoir un modèle expérimental qui ne pourrait pas être mis en application sans contrevenir aux règles du jeu fixées par le RGPD n’a pas beaucoup de sens.

Enfin, comme le soulève justement le chercheur Olivier Ertzscheid dans l’un de ses derniers billets, la question de la finalité est centrale. Qui a conscience qu’en s’appliquant à renseigner les Captcha basées sur l’image [le but originel d’un captcha est de discriminer les humains des robots malveillants, ndlr], on peut sans le savoir participer à l’entraînement d’algorithmes d’intelligence artificielle qui peuvent être utilisés… par exemple pour le guidage de drones militaires ?

Au-delà de la protection de la vie privée, on sait que les algorithmes d’IA sont gourmands en corpus de données pour s’entraîner. Est-on toujours bien informé de toutes les finalités de tels projets ? Il y a là aussi un devoir de transparence des entreprises vis-à-vis des utilisateurs.

« Dans l’économie numérique, la confiance est une valeur cardinale. »

D’un point de vue juridique, le RGPD peut-il constituer un avantage compétitif pour les entreprises européennes ?

B. P. : Quand on voit l’importance que les citoyens européens accordent au sujet des données personnelles, on peut le penser.

Certains y voient un outil de protectionnisme, instaurant des « barrières réglementaires » susceptibles de freiner l’expansion d’acteurs américains ou asiatiques, pour que puissent se constituer des géants européens.

Par ailleurs, l’harmonisation du droit à l’échelle européenne est une chance. Ou du moins une première étape dans la construction d’un marché unique européen. La « balkanisation » de l’Europe nuit aux acteurs européens. Elles les empêchent de croître au même rythme que des concurrents américains ou chinois qui profitent de marchés intérieurs gigantesques. Pour cette raison, ce qui va dans le sens de plus d’harmonisation est bénéfique.

Un autre signe positif est que même les entreprises non européennes s’intéressent au RGPD. Bien sûr parce qu’elles doivent s’y soumettre lorsqu’elles traitent des données de ressortissants de l’UE en vertu de l’application extraterritoriale de ce règlement, mais aussi parce que l’esprit de ce règlement leur semble vertueux pour restaurer la confiance des utilisateurs envers leur capacité à fournir des services numériques respectueux de leur vie privée.

Or, dans l’économie numérique, la confiance est une valeur cardinale. L’une des lois françaises majeures en la matière ne s’appelle-t-elle pas « loi pour la confiance dans l’économie numérique » ?


(1) Voir l’article : RGPD : quelle place pour l’action collective ? par Valérie Peugeot le 24 janvier 2018, vecam.org

 

Copywriter at OVH.