Le règlement publié le 4 mai 2016 et fruit de discussions engagées à Bruxelles depuis 2012, remplacera en mai 2018 notre loi «informatique et libertés» qui a créé il y a près de quarante ans en France un cadre particulièrement protecteur pour les individus. Ce Règlement général sur la protection des données (RGPD) ambitionne un double objectif : renforcer la compétitivité des entreprises tout en assurant un haut niveau de protection des personnes fichées. Or si le nouveau cadre juridique donne effectivement des marges de manœuvre aux professionnels, via des outils de corégulation et d’harmonisation au niveau européen, rien n’est certain quant au niveau de protection réel des internautes.
Les entreprises européennes grandes gagnantes du texte
C’est une petite révolution qui est actuellement à l’œuvre pour les professionnels. Avec le RGPD, les règles qui encadrent la création de fichiers nominatifs sont assouplies. Les entreprises n’auront plus de déclarations à adresser à la Cnil, elles définiront par elles-mêmes leur politique interne de protection des données – sous le contrôle interne d’un délégué à la protection des données – et elles bénéficieront, pour leurs fichiers transeuropéens, d’un dispositif de «guichet unique» leur permettant de choisir en Europe le pays et le régulateur national qui sera leur interlocuteur direct. Ces évolutions sont bienvenues pour renforcer la compétitivité de nos start-up européennes et les enjeux associés en termes d’emploi. En effet, elles sont confrontées à la concurrence régulièrement peu loyale d’opérateurs Internet installés en dehors de l’UE (Etats-Unis, Asie) qui bénéficient d’une relative impunité sur la gestion de nos données personnelles, compte tenu de la difficulté à les contrôler lorsque les sièges sociaux ou les serveurs informatiques sont installés à l’autre bout du monde.
Concernant par ailleurs les individus, la Commission européenne n’a eu de cesse d’insister sur le renforcement des droits, prévus par le nouveau texte, des individus en général et des internautes en particulier. Un point majeur sur lequel de nombreuses incertitudes continuent néanmoins de peser.
Individus : des droits améliorés à la marge, de gros «oublis»
Tout d’abord, le RGPD ne modifie en réalité qu’à la marge les droits dont les internautes bénéficient déjà. Le «consentement préalable», lequel a été présenté comme la condition sine qua non à tout fichage, est en réalité assorti de tant d’exceptions qu’il n’aura qu’une effectivité très limitée, comme c’est d’ailleurs le cas actuellement. Le «droit à la portabilité» et le «droit à l’oubli» qui permettront à l’internaute d’obtenir la copie sous format standard de ses données personnelles ou de demander leur effacement ne sont en réalité que des modifications cosmétiques de règles qui existent déjà dans notre droit (le droit d’accès et le droit d’opposition). De plus, si le texte vise juridiquement à contraindre les opérateurs établis hors UE à respecter le nouveau cadre, il ne suffira pas à lui seul à assurer l’effectivité des droits des internautes, sauf à adopter des accords internationaux qui pour l’heure n’existent pas.
Ensuite, le RGPD n’apporte pas de réponse concrète aux véritables enjeux de la protection des données sur Internet. Ainsi (en raison peut-être d’un intense lobbying), pas une disposition ne vise spécifiquement les moteurs de recherche ni ne crée à leur égard d’obligation particulière. Le «droit au déréférencement», lequel a été consacré en 2014 par la Cour de justice de l’Union européenne face au silence de la Cnil et de ses homologues européens, n’est même pas formellement visé dans le texte. Les moteurs de recherche, lesquels sont tous établis en dehors de l’UE, sont pourtant devenus le nœud incontournable de l’accès à l’information sur Internet, ainsi qu’une formidable machine à générer du cash en exploitant au maximum nos données personnelles. De même, la question de l’identité numérique n’est pas véritablement abordée dans le texte, alors que la question de l’identification en ligne est aujourd’hui devenue essentielle pour garantir aux internautes le plein exercice de leurs droits.
Et les régulateurs nationaux ?
Restent enfin toutes les questions sur la stratégie qui sera définie par les régulateurs nationaux pour s’assurer du respect, par les professionnels, du nouveau cadre juridique. La Cnil pourra désormais prononcer des sanctions financières à hauteur de 20 millions d’euros ou 4% du chiffre d’affaires global d’une entreprise. En réalité, elle dispose déjà de pouvoirs de sanctions pécuniaires qu’elle n’a utilisés en 2015, selon son rapport annuel, qu’à trois reprises… Seule la mise en œuvre d’une politique ambitieuse de contrôle et de sanction pourra garantir l’effectivité des droits garantis aux internautes, et le chemin semble encore long… De même, le règlement européen met en œuvre des mécanismes dits de «contrôle de cohérence» – pour ne pas dire des «usines à gaz» – qui obligeront désormais la Cnil à obtenir, avant d’agir, l’assentiment d’autres régulateurs nationaux ou d’instances européennes, pour tous les traitements mis en œuvre au niveau transeuropéen par les entreprises. Ces mécanismes pourraient bien constituer, si elle n’y prend pas garde, un sérieux caillou dans les souliers de la Haute Autorité.
Souhaitons que la Cnil, qui a patiemment construit depuis quarante ans le cadre français de protection des données, lequel est devenu une référence au niveau international, sera à la hauteur des nouveaux défis induits par la réforme européenne.
Guillaume Desgens-Pasanau, magistrat, enseignant associé au Cnam et ancien chef du service juridique de la Cnil.