RGPD : ces quatre lettres désignent le règlement général sur la protection des données entré en application le 25 mai 2018. Volumineux texte de 87 pages, il crée un cadre réglementaire global et unifié au niveau européen pour la protection des données à caractère personnel, qu’il définit comme « toute information se rapportant à une personne physique identifiée ou identifiable ». En dépit des nombreuses obligations qu’il impose, à la suite du scandale Cambridge Analytica, il a été qualifié de « très positif » par Mark Zuckerberg, le fondateur de Facebook.
Le RGPD participe de la volonté de la Commission européenne de créer un marché unique numérique et, plus largement, « une économie européenne fondée sur les données », parce que les technologies et les communications numériques sont devenues omniprésentes dans l’ensemble des aspects de la vie humaine. Les données personnelles sont, par conséquent, dorénavant essentielles pour la croissance économique, la création d’emplois ou encore le progrès sociétal.
Cette économie fondée sur les données – celles-ci apparaissant comme la monnaie de l’économie numérique – pourrait, selon la Commission, représenter 643 milliards d’euros d’ici 2020, soit 3,17 % du PIB global de l’UE. Ce chiffre permet de mieux mesurer les enjeux qui s’attachent à la protection des données à caractère personnel, pour les citoyens, les entreprises, mais également pour l’Union européenne et son fonctionnement.
L’enjeu de la protection des données à caractère personnel
Le règlement RGPD est symbolique de la place qu’accorde l’Union européenne à la protection des données en tant que droit fondamental. En effet, « Être européen, c’est avoir le droit de voir ses données à caractère personnel protégées par une législation forte, une législation européenne. […]. Car en Europe, la vie privée n’est pas un vain mot. C’est une question de dignité humaine ». Le premier alinéa de l’article 16 TFUE, qui reprend mot pour mot les termes de l’article 8-1 de la Charte des droits fondamentaux de l’UE, garantit à toute personne le « droit à la protection des données à caractère personnel la concernant ».
Ce règlement, emblématique de la protection des données, est le premier volet d’un triptyque, car l’Union a entrepris de réviser en profondeur le cadre juridique de la protection des données, afin de le moderniser et d’entrer dans l’ère du numérique. Une directive « police », adoptée en 2016 – tout comme le RGPD – et devant être transposée par les États membres pour le 8 mai 2018, en constitue le deuxième volet. Elle contient des règles spécifiques sur la protection des données à caractère personnel et leur libre circulation dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.
Un troisième texte a été présenté au début de l’année 2017 : il s’agit d’une proposition de règlement « vie privée et communications électroniques », dont l’adoption a pour but de parachever la modernisation du cadre juridique européen en matière de protection des données entamée par le RGPD. Les communications électroniques constituant des données à caractère personnel, ce futur règlement apparaît complémentaire et comme une lex specialis par rapport au RGPD. Il se fonde à nouveau sur l’article 16 TFUE, ainsi que sur l’article 7 de la Charte des droits fondamentaux, qui consacre le droit de toute personne « au respect de sa vie privée et familiale, de son domicile et de ses communications ».
Une Europe qui protège mieux ses citoyens
Le RGPD s’efforce de parvenir à un équilibre entre la logique de la société numérique et la protection des droits fondamentaux. En renforçant les droits des personnes, il trace en quelque sorte les contours d’une nouvelle citoyenneté, d’une cybercitoyenneté. L’article 5 du RGPD pose ainsi des « principes relatifs au traitement des données à caractère personnel ». Au nombre de trois, les principes de licéité, loyauté et transparence sont destinés à garantir un niveau élevé de protection. De même, le consentement du citoyen, qui doit être explicite et positif, devient un élément-clé pour la collecte et l’exploitation des données.
Afin que les citoyens concernés aient la faculté d’exercer un contrôle accru sur les données personnelles les concernant, le RGPD renforce des droits existants et en établit de nouveaux.
Les droits à l’information (notamment en cas d’accès non autorisé), d’accès, de rectification et d’opposition sont renforcés. L’article 13 du règlement fixe ainsi une liste d’informations que le responsable du traitement des données doit fournir à une personne concernée. Cette même personne a également le droit de demander au responsable du traitement, s’il traite des données la concernant, d’obtenir une copie de ces informations et, au titre du droit de rectification, la modification de données inexactes ou incomplètes (article 16). La protection contre les violations de données est accrue, avec notamment l’obligation de notifier les violations de données à l’autorité de contrôle dans les 72 heures, lorsqu’elles sont susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques (articles 32 et s.).
Deux droits nouveaux sont énoncés dans le RGPD. Le premier est le « droit à l’effacement (droit à l’oubli) » (art. 17), afin de protéger la vie privée des personnes. Dans l’affaire Google Spain de 2014, la Cour de justice de l’UE avait ouvert la voie à la reconnaissance d’un tel droit, en jugeant que l’exploitant d’un moteur de recherche devait procéder à l’effacement des données de la liste des résultats obtenus en entrant le nom d’une personne.
Le second est un nouveau droit reconnu aux internautes : la portabilité des données (art. 20). Il permet aux citoyens de demander à une entreprise de récupérer les données à caractère personnel fournies, ainsi que d’obtenir la transmission directe à une autre entreprise. La portabilité favorisera ainsi « le libre flux des données à caractère personnel au sein de l’Union […], et encouragera la concurrence entre entreprises ».
Une Europe qui responsabilise les entreprises
Le RGPD a aussi pour but de responsabiliser les entreprises et les sous-traitants (les prestataires de services) ; il introduit à cet effet la notion d’« accountability » ou principe de responsabilité (art. 24). Le changement est d’importance. Avant l’application du RGPD, les organismes et entreprises souhaitant exploiter des données personnelles devaient obtenir préalablement les autorisations de la CNIL (Commission nationale de l’informatique et des libertés), dont les pouvoirs sont d’ailleurs accrus. Dorénavant, elles ont la responsabilité de sécuriser le traitement des données personnelles, de façon à garantir le respect de la vie privée.
Depuis le 25 mai 2018, les entreprises doivent prouver que le consentement éclairé du citoyen a été obtenu, et que les données sous leur responsabilité sont protégées, notamment contre le risque de piratage. Elles doivent de ce fait tenir un registre des activités de traitement (art. 30), mener une analyse d’impact (art. 35) leur permettant de s’assurer de l’absence d’un « risque élevé pour les droits et libertés des personnes physiques ». Avec ces garde-fous, le RGPD repose sur le principe du contrôle a posteriori du bon usage des données à caractère personnel, ce qui responsabilise les entreprises y recourant. Elles doivent d’ailleurs désigner un Délégué à la protection des données (DPD).
En raison de l’énorme importance économique acquise par les données à caractère personnel, le RGPD procure des avantages aux entreprises. Une seule législation s’applique désormais au sein de l’UE, au lieu d’un patchwork de 28 législations nationales. La neutralité technologique du règlement permet à l’innovation de continuer à se développer. Avec le droit à la portabilité des données, les jeunes pousses et les petites entreprises auront accès aux marchés de données, trusté actuellement par les géants du numérique. Les PME sont exemptées de certaines obligations : elles n’auront pas à désigner de DPD, à consigner leurs activités de traitement, ni à signaler les violations de données aux personnes physiques.
La responsabilisation des entreprises va également de pair avec des recours et des sanctions plus lourdes, en cas d’infraction aux mesures requises ou au cas où des données personnelles se seraient « égarées », comme dans l’affaire Facebook-Cambridge Analytica. En cas d’utilisation de données personnelles en contradiction avec le RGPD, différentes voies de recours sont prévues : contre un responsable du traitement des données, un sous-traitant, ou une autorité de contrôle (la CNIL en France).
Pour obtenir réparation du préjudice subi, est également prévu une action collective par une association ou un organisme actif dans le domaine de la protection des données à caractère personnel (art. 77 et s.). Une amende administrative pourra s’élever jusqu’à 20 millions d’euros ou, pour une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial (art. 83).
Une Europe à la souveraineté renforcée
Un autre aspect fondamental, voire même révolutionnaire du RGPD, tient à son champ d’application territorial. Il s’applique à tout organisme de quelque nationalité qu’il soit et traitant des données à caractère personnel d’Européens, « que le traitement ait lieu ou non dans l’Union » (art. 3). Les mêmes règles vont donc s’appliquer pour toutes les entreprises, indépendamment du lieu où elles sont établies – ce qui crée des conditions de concurrence homogènes. Ainsi, Satya Nadella, PDG de Microsoft, a déclaré récemment au Journal Les Echos soutenir le RGPD, avoir décidé de l’appliquer « à l’échelle mondiale pour tous nos utilisateurs. Les informations, les données ne s’arrêtent pas aux frontières ».
L’Union européenne, qui est bien souvent présentée comme une « puissance normative », semble s’être dotée d’un outil juridique et normatif, possédant une dimension extraterritoriale – et mondiale – susceptible de contrecarrer la puissance américaine. Dans la guerre commerciale larvée opposant les deux rives de l’Atlantique, le secrétaire au Commerce américain, Wilbur Ross, n’a pas hésité à stigmatiser le RGPD, en considérant qu’il crée une « barrière commerciale inutile ». Malgré le Brexit, la volonté du Royaume-Uni de voir son superviseur rester au Comité européen de la protection des données créé par le RGPD (art. 68), constitue une preuve supplémentaire de cette puissance normative, de ce « Brussels effect ».
Avant l’application du RGPD, Facebook n’a d’ailleurs pas hésité à modifier ses conditions d’utilisation, afin de se protéger de ses aspects les plus répressifs, craignant en quelque sorte les nouveaux standards élaborés par l’Union, ainsi que sa volonté d’appliquer un « standard mondial » en matière de protection des données personnelles. Comme l’a déclaré le rapporteur du Parlement européen sur le RGPD, Jan Philipp Albrecht, c’est en effet « une des premières fois que l’Union met en place un vrai standard global ». L’UE a effectivement « une souveraineté numérique à construire » pour mieux réguler ses acteurs, protéger les citoyens européens, et taxer de manière plus juste les GAFAM.
De puissance normative, l’UE peut ainsi évoluer vers une puissance stratégique. En établissant des principes de nature constitutionnelle pour gérer les données à caractère personnel, elle protège la vie privée de ses citoyens, apporte un début de réponse à l’hégémonisme américain, tout en montrant une vision politique de l’Europe.