GDFR-EU-min

Dans tout juste un an, le Règlement général sur la protection des données (RGPD) de l’Union européenne entrera en vigueur. Dans le contexte de cette évolution imminente, nous avons demandé à Aurélie Pols, experte dans le domaine de la protection et confidentialité des données, d’apporter son éclairage sur ce texte décisif : les motivations qui ont conduit à sa rédaction, les responsabilités qu’il implique pour les sociétés et ses répercussions sur les entreprises comme sur les consommateurs.

Aurélie, expliquez-nous le contexte de ce nouveau règlement. Quelles sont les raisons qui ont motivé sa mise en place ?

L’actuelle Directive sur la protection des données (95/46/CE) a été adoptée en 1995. Les technologies de l’information et les capacités de stockage des données ont connu depuis une évolution spectaculaire, avec pour conséquence de grands bouleversements dans les modes de collecte, de traitement et de partage des informations chez les particuliers comme les entreprises.

Par ailleurs, ce texte étant une directive, il a fait l’objet d’une application différenciée parmi les États membres, ce qui a provoqué des problèmes de conformité dans les entreprises. Le Règlement général sur la protection des données, qui entrera en vigueur en mai 2018, résout en partie ces difficultés. Il permet néanmoins aux États membres de spécifier des exigences locales sur certains aspects si nécessaires. Ce qui nous occupe actuellement, c’est de savoir dans quelle mesure le RGPD est calqué sur les réglementations locales. Le principal objet de divergences est probablement l’âge de consentement, qui devrait être abaissé à 13 ans dans la plupart des pays et ainsi s’inscrire dans la droite ligne du Children’s Online Privacy Protection Act (COPPA) américain.

Le RGPD est le texte qui a subi le plus de lobbying de toute l’histoire de la législation européenne : il a fait l’objet de plus de 500 amendements et de plusieurs années de négociations depuis l’adoption de la réforme initiale, en 2012. Il s’efforce de refaire valoir les droits des utilisateurs dans l’univers des données, en renforçant les principes de responsabilité et les droits d’accès tout en ajoutant de nouveaux droits, notamment en ce qui concerne la portabilité des données.

L’Union européenne s’attache à garantir le respect des principes de la Charte des droits fondamentaux de l’UE dans tous les États membres, du respect de la vie privée et familiale à la protection des données à caractère personnel, en passant par la dignité (et la capacité d’agir) humaine : « La dignité humaine est inviolable. Elle doit être respectée et protégée. » La question de savoir si ces droits sont bel et bien respectés en cas de transfert des données en dehors des frontières de l’Union européenne dépend manifestement des cadres internationaux, et notamment du bouclier de protection des données (Privacy Shied), de plus en plus controversé.

Le RGPD fait très souvent référence aux « données à caractère personnel ». De quel type de données s’agit-il ? Cette définition est-elle identique à celle(s) des réglementations américaines ?

La législation relative à la vie privée pointe toujours le bout de son nez dès qu’il est question de traitement des données à caractère personnel. À noter que la notion de « traitement » recouvre celle de collecte selon le RGPD (article 4.2, Définitions ; Traitement).

Selon l’article 4.1 : « On entend par “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Par ailleurs, le RGPD introduit le concept de données « pseudonymes » (article 4.5) : « On entend par “pseudonymisation”, le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. »

Notons que le considérant 26 prévoit que « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Et, au cas où ce ne serait pas clair, le considérant 28 ajoute : « L’introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données. »

Par conséquent, les obligations de protection des données s’appliquent à la catégorie des « données pseudonymes », qui comprennent les cookies et les identifiants uniques (considérant 30).

Qu’est-ce que cela signifie ?
Dans le cadre de l’application de la législation en matière de protection des données, le traitement doit être licite.
L’article 6 (Licéité du traitement) permet à cet égard l’utilisation de mécanismes spécifiques pour garantir la licéité des pratiques de traitement, notamment par le consentement (option a) ou, de préférence, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers  (option f).
Cela étant, ce joker des « intérêts légitimes » présente une petite réserve : le règlement lex specialis ePrivacy, qui s’applique au secteur du digital analytics, est toujours en cours de négociations. Et la version actuelle de ce texte, dans son célèbre article 8, n’inclut pas les intérêts légitimes comme motif de traitement licite. La bonne nouvelle, en revanche, est qu’elle comprend une dérogation pour « mesurer des résultats d’audience sur le Web » (d).

Le caractère flou et mouvant des frontières des « données à caractère personnel » et de la portée des obligations légales de respect de la confidentialité a également été mis en évidence l’année dernière, à l’occasion des fameux débats au sujet des adresses IP dynamiques. La Cour de justice de l’Union européenne a conclu que les adresses IP dynamiques devaient être considérées comme des données personnelles dans certaines circonstances, prolongeant ainsi l’ancienne recommandation du Groupe de travail Article 29, datant de 2009, selon laquelle les adresses IP pouvaient constituer des données personnelles.

De l’autre côté de l’Atlantique, à l’Ouest, la présidente de la Federal Trade Commission de l’époque, Edith Ramirez, a déclaré lors d’un discours en août 2016 : « Nous considérons les données comme nominatives dès lors qu’un lien peut raisonnablement être établi avec une personne, un ordinateur ou un appareil en particulier. Dans de nombreux cas, les identifiants permanents, par exemple les identifiants d’appareils, les adresses MAC, les adresses IP statiques et les numéros de carte de fidélité, répondent à ces critères. »

Cependant, à la différence de l’Union européenne, les États-Unis ne disposent pas de loi omnibus en matière de confidentialité qui couvre tous les domaines et toutes les activités à la manière du RGPD. Les quelques textes qui existent à l’échelle fédérale portent sur un seul secteur. Citons les plus célèbres d’entre eux : HIPAA, COPPA, VPPA, etc.
La caractérisation des informations nominatives de même que le champ d’application des obligations de conformité sont donc laissés à la discrétion des 50 États américains. Par exemple, selon le California Privacy Protection Act (CalOPPA), les renseignements personnels comprennent la date de naissance, la taille, le poids et la couleur de cheveux des individus.

Aujourd’hui, Edith Ramirez a quitté le FTC ; trois des cinq fonctions à la présidence de la commission sont actuellement vacantes dans l’administration Trump.

Lorsque le RGPD sera entré en vigueur, quels seront les évolutions et les changements les plus significatifs pour les entreprises ?

Amendes et sanctions : les risques liés à l’utilisation des données augmentent considérablement avec le RGPD : , en vertu de la directive actuelle, au montant le plus élevé entre 4 % du chiffre d’affaires mondial et 20 millions d’euros dans le cadre du RGPD.
C’est pour cette raison que les discours sur les données abordent tout à coup les choses sous un autre angle : la toxicité.

Droits : le RGPD a pour objectif de (ré)équilibrer le triangle des responsabilités entre les entreprises, les citoyens et, enfin, la loi, à la lumière de l’évolution rapide de l’économie des données.
Il instaure de nouveaux droits et en renforce d’autres dans le chapitre III (Droits de la personne concernée) ; les responsables du traitement des données et les sous-traitants devront apprendre à respecter ces nouvelles obligations, au-delà de l’aspect strictement juridique des contrats. Cela soulève par exemple des problématiques de traçabilité des données, notamment si les données pseudonymes, notamment les cookies, sont censées relever de telles obligations.
L’article 19 concernant l’« obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement » aux destinataires des données représente un enjeu intéressant, en particulier si le RGPD s’applique au secteur de la publicité sur Internet, par application du règlement ePrivacy que nous avons déjà mentionné. Peut-on imaginer la traçabilité des points de données dans la sphère de la publicité programmatique actuelle ? Pourra-t-elle être instaurée par le biais des organismes de normalisation et des organisations du secteur ? Ce serait certainement le moyen de résoudre par ailleurs des problèmes de fuites et de mesurabilité.

Notifications en cas de violation de données : par ailleurs, au-delà du domaine de la publicité numérique, les données sont de plus en plus reconnues comme une ressource. À partir de là, elles ont souvent fait l’objet de pertes ou de vols, que l’on résume sous le terme de « violations ». Au fil des ans, de nombreuses lois ont été adoptées les unes après les autres, à l’échelle mondiale, pour régir les notifications en cas de violation de données ; naturellement, on les retrouve aujourd’hui dans le RGPD. Le délai maximal de notification à l’autorité de contrôle a été fixé à 72 heures, ce qui souligne la nécessité de renforcer l’efficacité des procédures internes par lesquelles les entreprises fournissent toutes les informations requises par l’article 33 dans un premier temps, puis éventuellement se conforment à l’article 34 en faisant part aux citoyens de la violation en question.
Le RGPD, qui s’appuie sur les bonnes pratiques en matière de sécurité (des « mesures techniques et organisationnelles appropriées », par exemple la pseudonymisation) intègre la protection des données dès la conception et des obligations par défaut (article 25). Il attire également l’attention sur la possibilité d’avoir recours à des mécanismes de certification approuvés, axe de développement mis en avant par le règlement, que certains partenaires technologiques ont l’intention de pourvoir. Enfin, il souligne la nécessité de se soumettre à des analyses d’impact relatives à la protection des données « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35), tout en ouvrant la porte à la consultation des autorités de contrôle, qui viennent maintenant remplacer les autorités de protection des données.
Pour renforcer l’efficacité de la collaboration avec ces autorités, des délégués à la protection des données seront désignés dans certaines circonstances, qui sont détaillées dans l’article 37.

Nous avons listé quelques-uns des points clés du RGPD en matière de responsabilités et d’obligations. Les circonstances d’utilisation des données étant toutes différentes les unes des autres, il ne s’agit en aucun cas d’une présentation exhaustive des changements apportés par ses 99 articles et 173 considérants.

Compte tenu du Brexit, le RGPD s’appliquera-t-il au Royaume-Uni ?

Dans la mesure où il entrera en vigueur en mai 2018, le RGPD s’appliquera sans doute aux entreprises du Royaume-Uni.
En fonction des négociations liées au Brexit, les scénarios suivants peuvent se présenter :

  • Si, à l’issue des négociations entre l’Union européenne et le Royaume-Uni, le Brexit n’a pas lieu ou le Royaume-Uni fait partie de l’Espace économique européen, la question ne se pose pas. Le pays sera dans la même situation que la Norvège, l’Islande et le Liechtenstein.
  • Si le Royaume-Uni intègre l’Association européenne de libre-échange, comme la Suisse, il devra chercher à maintenir une harmonisation afin de garantir le respect des droits des membres en matière de confidentialité. Il faut voir cela comme le cadre de son bouclier de protection des données, qui devra faire l’objet de négociations.
  • Si le Royaume-Uni fait cavalier seul et :
    • accepte le RGPD « tel quel », ce qui est assez peu probable mais dépend en réalité de la façon dont, dans la pratique, la législation européenne sera « réécrite » (ou non) dans le droit britannique, rien à signaler, tout le monde est content ;
    • demande une « version allégée du RGPD », il devra chercher à maintenir une harmonisation ;
    • reste soumis à la législation actuelle (ou trouve une solution sur mesure dans ses propres textes), une harmonisation sera peu plausible et les flux de données entre l’Europe et le Royaume-Uni seront certainement paralysés. Il est peu probable qu’on laisse cette situation se produire, cependant au Royaume-Uni la certitude n’est pas vraiment monnaie courante ces temps-ci.

Les paris sont ouverts, peut-être sur la « version allégée du RGPD », d’où la nécessité de mettre en place un mécanisme d’harmonisation : éventuellement des contrats types ou des règles d’entreprise contraignantes, qui sont également les outils disponibles actuellement pour les cadres autres que le bouclier de protection des données. Les clauses contractuelles types ou standard, cependant, se trouvent dans une situation précaire et relèvent de la Cour de justice de l’Union européenne. Les règles d’entreprise contraignantes qui régissent les transferts entre les sociétés restent à ce jour l’option la plus probable.

Le RGPD s’appliquera-t-il également aux entreprises non européennes ?

Oui. À la différence de la directive actuelle, le RGPD s’applique aux activités de traitement des données de toutes les entreprises qui s’adressent aux citoyens européens. L’article 3 définit son champ d’application territorial en énonçant dans le paragraphe 2 :

« 2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »

Compte tenu de la dimension mondiale d’Internet, la question est la suivante : dans quels cas les entreprises établies ailleurs que dans l’Union européenne doivent-elles prendre en considération le RGPD ?
Certains signes, comme la traduction des contenus en allemand ou en catalan, la proposition de paniers en euros ou la livraison dans l’Union européenne sont, bien sûr, des indicateurs directs révélant que le RGPD s’applique.

Il y aura, cependant, des cas limites qui se feront jour au fil du temps. Mais, avant de rejeter toute cette loi d’un bloc, il faut bien garder à l’esprit que la présomption d’innocence est inversée : il ne s’agit pas de prouver que l’entreprise est coupable, mais d’être en mesure de justifier son innocence et d’en conserver la trace. Le format électronique fera parfaitement l’affaire.

Remarquez également la référence à des services gratuits.

Les entreprises non européennes s’engageront-elles à adapter leur activité à leurs clients européens ? Est-il possible que certaines mettent en doute l’adaptation du RGPD à leur situation ou contestent son champ d’application territorial ? Dans ce cas, quelles seraient les conséquences pour les citoyens européens ?

Malheureusement, on ne peut pas voyager dans le temps pour connaître l’avenir. En tout cas, les tribunaux devront régler les éventuels litiges.
Étonnamment, il n’y a eu que très peu de procès et de jurisprudence au sujet de la confidentialité et de la protection des données. Cela devrait évoluer avec le RGPD et à la suite d’événements tels que l’intervention de Max Schrems, célèbre pour avoir aidé à faire invalider un accord international de transfert de données connu sous le nom de Safe Harbor ; depuis qu’Edward Snowden a confirmé les soupçons de pratiques de surveillance de masse, nous savions tous (même dans notre secteur) que cet accord présentait des failles.

Les entreprises sont bien sûr libres de contester le RGPD : il sera intéressant de voir comment les autorités de contrôle, ainsi que le comité européen de protection des données (qui a plus de pouvoir que le Groupe de travail Article 29 à ce jour), parviendront à un accord dans ces circonstances. Si le RGPD implique de grands changements pour les entreprises, il en va de même à mon avis pour les autorités actuelles de protection des données et leur organisation.

Si l’on se fie à l’histoire, on pourrait penser au cas curieux des hôtels Wyndham, qui se sont fait pirater à plusieurs reprises avant d’être attaqués par la Federal Trade Commission. Ils ont contesté la plainte, au motif que la FTC n’avait pas autorité sur les questions de sécurité des données. Ils ont perdu et ont dû payer. Les dommages subis par la marque n’ont pas été évalués au cours de cette procédure répétitive et relativement longue.

Les résultats de ces batailles juridiques pour les citoyens européens restent donc encore à définir. Il semble également y avoir des ouvertures vers la possibilité de recours collectifs, portés par des associations de consommateurs. Si l’on suit la logique américaine, cela pourrait représenter un peu d’argent pour les consommateurs européens, une somme toutefois négligeable. Certaines sociétés évoquent la possibilité de ne plus s’adresser au marché européen en raison du renforcement des obligations de confidentialité ; d’autres, à l’inverse, soutiennent l’idée d’une « concurrence dans le respect de la confidentialité ». Cette transformation des obligations de traitement des données façonnera sans aucun doute le marché ; cependant, ce sera probablement le citoyen européen qui en profitera, en bénéficiant d’un contrôle renforcé sur ses propres données.

***

Découvrez la deuxième partie de cet entretien avec Aurélie Pols.

***

En savoir plus sur les grands principes de la confidentialité et de la protection des données afin de garantir la conformité de vos activités Digital Analytics ! Téléchargez le Livre Blanc.

GDPR Guide FR
Auteur

Native de la Silicon Valley, Ashley possède 10 ans d’expérience en tant que concepteur-rédacteur marketing, ayant travaillé auparavant dans le marketing B2B digital chez Google. Elle a rejoint l’équipe AT Internet en 2014 où elle contribue à créer et à déployer nos communications internationales dans 6 langues. Le challenge qu’elle préfère : utiliser des mots sans chichis pour transformer l’univers digital, avec toute sa complexité et son évolution perpétuelle, en message clair, captivant et concret.

Comments are closed.