Le RGPD, un an après

Les 176 considérants et 99 articles du règlement général sur la protection des données fêtent aujourd’hui leur premier anniversaire. Retour sur une année de mise en œuvre.

Le 25 mai 2018, le fameux RGPD entrait en vigueur, conformément à l’article 99 du texte. Véritable révolution juridique, ce texte allait théoriquement soumettre l’ensemble des États membres à une même norme pour encadrer l’usage des données personnelles dans l’Union chez les « responsables de traitements ».

Nous avions rédigé une analyse ligne par ligne des 99 articles dans un long papier découpé en trois volets, toujours d'actualité :

• Le RGPD expliqué ligne par ligne (articles 1 à 23)
• Le RGPD expliqué ligne par ligne (articles 24 à 50)
• Le RGPD expliqué ligne par ligne (articles 51 à 99)

…Accompagné d’une série de questions/réponses pour expliquer concrètement les changements apportés par cette nouvelle législation européenne. 

Ambitieux projet que de mettre l’ensemble des personnes physiques à la même enseigne, favoriser la concurrence entre les entités concernées, mais aussi lutter contre les stratégies d’optimisation. Sous le règne antérieur, il était fréquent qu’une entreprise décide de s’implanter ici plutôt que là, afin de bénéficier d’un climat juridique peu contraignant, voire bénéfique pour ses petites affaires.

L’unité promise par le règlement a toutefois été mise à mal en sortie de procédure parlementaire, ce en raison des dizaines de renvois aux législations nationales qu’a incrustées le législateur européen.

Un exemple, parmi tant d’autres, l’âge à partir duquel un mineur peut consentir valablement à voir ses données personnelles aspirées, traitées, exploitées par Facebook. Le texte fige cet âge de la maturité personnelle à 16 ans, tout en permettant à chaque législation de prévoir un âge plus précoce. Pas étonnant que l’Irlande ait choisi 13 ans, plancher partagé avec la loi américaine, qui permet de ne pas trop bouleverser les habitudes des géants du Net.

Ce renvoi aux législations nationales a conduit la France à prendre une loi spécifique qui a également eu pour objet d’adapter notre droit à ces nouvelles conditions climatiques. La France, fer de lance du débat européen, n’a publié ce texte que près d’un mois après le 25 mai, après validation presque intégrale du Conseil constitutionnel.

Comme décrit, le 21 juin, au Journal officiel, la loi française a donc programmé une série de mesures avec en tête la mise en œuvre des actions de groupe en matière de données personnelles, afin d’autoriser les victimes à obtenir réparation du préjudice subi.

Cette procédure n’est réservée qu’aux seules associations régulièrement déclarées depuis cinq ans au moins et « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ». Elle est également ouverte aux associations de défense des consommateurs représentative agréée au niveau national, si le problème « affecte des consommateurs ». Enfin, aux syndicats représentatifs de salariés ou de fonctionnaires, du moins quand leurs intérêts sont là encore affectés.

Cette loi a également fixé la majorité RGPD à 15 ans. En dessous de ce seuil, il est nécessaire d’obtenir l’accord des parents.

De plus, elle a prévu la possibilité pour le président d’une des deux chambres, celui d’une commission ou d’un président d’un groupe de saisir la CNIL pour avis en amont d’une proposition de loi.

Sur le terrain des procédures, les agents de la CNIL,  qui avaient déjà la possibilité d’opérer des contrôles à distance, peuvent maintenant utiliser des identités d’emprunt, à condition de ne pas inciter un responsable à commettre une infraction. Une disposition classique en la matière.

La loi a également autorisé le gouvernement à prendre une ordonnance pour réécrire l’ensemble de la loi Informatique et libertés de 1978. L’ordonnance fut prise en décembre 2018, après avis de la CNIL, qui a avait regretté toutefois un texte parfois « très peu lisible ».

Un changement d'ampleur

L’un des principaux enseignements du RGPD réside dans un changement de stratégie. D’une logique déclarative afférente à tous les traitements, le texte opte pour une logique de responsabilité. Les responsables de traitement ont l’obligation, dès la conception de leurs systèmes, de pouvoir démontrer qu’ils ont assuré un haut niveau de protection des données transitant entre leurs mains.

Les droits reconnus aux personnes physiques ne sont toutefois pas tous révolutionnaires : sacro-saint consentement (en concurrence avec l’intérêt légitime du responsable), droit à l’information, droit d’accès et de rectification, mais aussi l’avènement d’un véritable droit à l’oubli qui fut préalablement consacré dans les moteurs par la Cour de Justice de l’Union européenne, via le droit à l’effacement…

L’autre pierre fondamentale est la portée géographique du règlement. Y sont astreints non seulement les acteurs privés et publics installés en Europe, mais également les responsables de ceux des pays tiers qui ciblent des personnes présentes en Europe. Par ce simple jeu territorial, voilà un corps de règles se propageant sur l’ensemble de la planète, avec dans ses valises les valeurs inscrites au fil de sa (presque) centaine d’articles.

Un texte n’est rien sans action en justice, levier nécessaire pour en assurer l’effectivité. Aux premières heures de la mise en œuvre du règlement, Maximilian Schrems, de l’initiative NOYB (nope of your business), s’attaquait à Google, Instagram, WhatsApp et Facebook, accusés de plusieurs légèretés règlementaires, en particulier ces politiques de tout ou rien qui, selon le règlement, ne permettent pas d’avoir un consentement libre et éclairé.

Au même moment la Quadrature du Net s’attaquait à Amazon, Apple, Facebook Google et LinkedIn devant la CNIL. Rien de moins. Elle a dénoncé à l’encontre de la firme de Mountain View, qu’en vertu des conditions générales d’utilisation, « toute personne utilisant ses services manifeste, du simple fait de son utilisation ordinaire des sites Internet en question (Google Search ou YouTube), sa volonté de donner son consentement à l'analyse de ses activités à des fins de ciblage publicitaire ».

Plusieurs références au RGPD dans les délibérations rendues en 2018 

Au long de l’année 2018, la CNIL a rendu plusieurs délibérations qui se sont muées parfois en sanctions. Les faits remontaient toutefois dans la quasi-totalité des cas à la période antérieure au 25 mai, rendant impossible les nouvelles sanctions promises par le RGPD (jusqu’à 4 % du chiffre d’affaires mondial).

Néanmoins, les références aux règlements se sont démultipliées, au fur et à mesure que nous nous avancions dans l’année. Par exemple ces deux délibérations ou celle concernant un établissement scolaire, épinglé pour vidéosurveillance excessive. La première véritable mise en demeure publique, s’appuyant sur le règlement, date d’octobre 2018. Elle vise une solution de publicités ciblées sur mobile, dans les supermarchés.

Ces références ont concerné d’autres institutions. Le Conseil d’État a rendu une importante décision, toujours pour des faits antérieurs. Il a posé qu’un site – ici Challenges.fr – ne peut déposer des cookies, tout en proposant de paramétrer son navigateur pour espérer répondre au droit d’opposition de la loi de 1978. La solution vaudrait sans nul doute aujourd’hui.

Au sein de la CJUE, d’importantes décisions sont attendues, notamment celle qui pourrait consacrer une coreponsablité entre l’éditeur d’un site et Facebook, tout simplement parce que le premier a décidé d’implanter un bouton « Like », derrière lequel le second torpille en coulisse l’internaute de traitements. 

Explosion du nombre de plaintes

Sur le terrain des statistiques, la CNIL a sans grande surprise constaté une explosion des plaintes au fil de ses bilans. À peine 100 jours après la mise en œuvre du règlement, elle enregistrait enregistré « 2 770 plaintes contre 1 780 sur la même période en 2017, qui était déjà une année record ». Soit une hausse de près de 56 %.

L’affaire DisinfoLab a évidemment joué dans la balance (voir notre interview de Me Oriana Labruyère, spécialisée sur les questions de données personnelles) En novembre, 6 mois après le jour J, le chiffre des plaintes est monté à 6 000. Pour l’ensemble de l’année 2018, 11 077 ont été enregistrées, soit nettement plus que les 8 000 constatées les années précédentes. Depuis, ce nombre est passé à 11 900. Une hausse de 30 % par rapport à la période mai 2017-mai 2018.

L’autorité avait promis que le 25 mai ne serait pas une date couperet. Les premiers mois allaient être consacrés à un accompagnement des entreprises et personnes morales de droit public dans la compréhension du règlement. Elle savait aussi qu’avec un tel véhicule, l’Europe jouerait sa crédibilité, comme l’a expliqué Isabelle Falque-Pierrotin en janvier 2018 et répété en avril 2018.

« On angle sur une stratégie d’accompagnement de ces acteurs pour faire en sorte qu’elles comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer » témoignait l’ex-présidente de la commission dans nos colonnes. Avec Bpifrance, la CNIL a ainsi publié au même moment un guide et des fiches réservées aux PME.

Elle a aussi diffusé sur son site des éléments fondamentaux pour les entités soumises à ces nouvelles obligations, comme en novembre 2018, la liste des opérations où l’analyse d’impact prévue par le règlement est toujours requise. 

Une sanction de 50 millions contre Google

La logique d’accompagnement allait nécessairement trouver ses limites. En janvier 2019, elle décide d’infliger 50 millions d’euros de sanction à l’encontre de Google. Cette décision est le fruit de l’action lancée par Byod et LQDN respectivement les 25 et 28 mai 2018. L’autorité s’est estimée compétente pour sanctionner Google LLC, malgré les efforts trop tardifs de celle-ci pour s’abriter sous le ciel irlandais.

Elle a dégommé plusieurs contrariétés : manque « d’accessibilité, de clarté et de compréhension » dans les informations délivrées aux internautes, un manque de base légale, des cases précochées par défaut (une hérésie RGPDienne), la liste des reproches est longue. 

D'autres foyers d'inquiétudes

Le pain est toujours sur la planche. De nombreuses procédures sont sur la rampe. De plus les foyers d’inquiétudes sont désormais multiples, pas seulement sur la question des trackers ou les répliques de fichiers contenant des injures multiples et autres noms d’oiseaux. 

La smart city a le vent en poupe en France : reconnaissance faciale à Nice, contrôle d’accès dans des établissements scolaires testées dans le Sud de la France, sans oublier le Big Data de la tranquillité, ce Minority Report made in Marseille.

D’autres sujets vont susciter des attentions : les publicités ciblées à la télévision, qui attisent les convoitises des chaînes, agacées de la concurrence des sites Internet sur ce marché juteux. N’oublions pas dans l’inventaire, les fichiers de santé, avec le dernier exemple en date, ce croisement entre un fichier psychiatrique (Hopsyweb) avec celui relatif aux signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).

Au menu pour 2019...

La CNIL a déjà dévoilé son programme de contrôle pour l’année 2019. Respect des droits, traitements des données des mineurs et la responsabilité des sous-traitants. Un programme annuel qui représente qu’un quart des investigations, sachant que la commission ne s’interdira évidemment pas d’aborder d’autres sujets selon les plaintes, les réclamations qui lui sont adressées et l’actualité.

Elle promet encore de poursuivre sa logique d’accompagnement au profit des collectivités locales et des start-ups, et elle multiplie les références à ses nombreux outils d’accompagnement rendus disponibles ces derniers mois, comme ce MOOC sur le RGPD. « L’année 2019 sera décisive pour crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel » conclut-elle.