L’Union européenne a manqué le train du développement de l’Internet. Elle n’a pas été de celui du e-commerce. Il était indispensable qu’elle conduise celui de la révolution du traitement des données. C’est chose faite, avec les principes que pose le Règlement Général sur la Protection des Données (RGPD). Tribune de Romain Gerardin-Fresse.
Dans la digne continuité de la Directive 95/46/CE du 24 octobre 1995, le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 entrera en vigueur le 25 mai prochain, auprès de l’ensemble des acteurs, publics ou privés, qui seront tenus de s’y conformer. S’il est certes établi dans la lignée du texte précurseur aux 34 dispositions, il est bien plus pointu, avec ses 99 articles et ses 173 considérants.
Surtout, il n’aura pas à être transposé en droit national, évitant le semi-échec de le Directive de 1995, dont les divergences d’application entre les différents États membres avaient posé de sérieuses difficultés aux entreprises qui exerçaient leurs activités au niveau européen. Et c’est tant mieux.
Car l’évolution rapide des technologies, l’ampleur considérable de la collecte et du partage des données en circuit mondialisé et l’essor sans précédent des réseaux sociaux, véritables mines d’or de renseignements personnels stockés, archivés, puis exploités, nécessitaient l’instauration d’un garde-fou.
Redonner à chacun la pleine propriété des données qui le concerne
Une des avancées majeures réside dans l’aspect géographique de son champ d’application.
Désormais, les dispositions nouvelles s’appliqueront dès lors qu’un responsable du traitement de ces données, ou qu‘un sous-traitant, est établi au sein de l’Union européenne. Le texte va même plus loin, en considérant que les édictions sont applicables à toutes données inhérentes à un résident européen.
Principe novateur et avancée notoire, l’accessibilité au site Internet du responsable de traitement ou de son sous-traitant proposant des biens pouvant être acquis, même à titre gracieux, au sein de l’Union européenne, emportera de plein droit l’application des dispositions prévues par le RGPD, et ce, sans que l’entité traitant les données ne soit physiquement présente au sein de l’espace européen.
A cet effet, en pratiquant la collecte des données, elle devra respecter les critères suivants :
La licéité, la loyauté et la transparence, impliquant une information préalable ;
la limitation des finalités du traitement ; en cela, les données devront être collectées à des fins préalablement déterminées et ne devront pas être par la suite utilisées à d’autres fins, qui seraient incompatibles avec les premières ;
la minimisation des données par voie de nécessité ; le responsable de traitement ne devra collecter les données qu’à condition que ces dernières soient pertinentes et limitées à ce qui est impérieux aux fins d’accomplissement des objectifs initiaux
le principe d’exactitude ;
la limitation de la conservation aux fins que ses données ne soient pas détenues plus longtemps que nécessaire, au regard de la finalité de leur traitement ;
l’intégrité et la confidentialité, visant à ce que les données soient collectées et conservées selon des procédés garantissant la protection contre les intrusions, la perte et la destruction.
Une autre avancée majeure réside dans le fait qu’il est formellement interdit au responsable de traitement, sauf à considérer des dérogations expressément consenties, de collecter des données biométriques ou génétiques, qui pourraient permettre d’identifier nommément un individu.
Renforçant le principe de la finalité du traitement des données personnelles, le RGPD dispose le droit à chaque individu de ne pas voir ses données collectées à des fins de profilage.
Son Article 4 le définit d’ailleurs clairement comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données {…} pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
Des sanctions très lourdes
Mais l’application de ce Règlement va avoir un impact organisationnel lourd pour les entités commerciales. Car l’une des révolutions induites par ce texte résulte du principe de responsabilité dans le traitement des données. En cela, chaque responsable de traitement, par conséquent de manière concrète chaque entreprise, aura pour obligation d’assurer un contrôle interne visant à respecter les édictions prévues, mais surtout à en garantir la sécurité et la pérennité, sans exercer de droit de propriété.
Et en cas de manquement, les sanctions seront lourdes. Très lourdes. L’Article 83 prévoit, selon la catégorie de l’infraction, de 10 à 20 millions d’euros d’amende, ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial. A cet effet, les entreprises devront donc se doter d’un référent en la matière, nouvellement dénommé DPO (Data Protection Officer), qui se posera en véritable chef d’orchestre de la conformité.
Si dans des cas particuliers, la nomination d’un DPO relèvera d’une obligation légale, devant l’importance de l’évolution en matière de règlementation et au regard de l’impact pécuniaire en cas de manquement, chaque entreprise sera tentée de l’inclure dans ses effectifs.
Il aura pour mission première d’instaurer ce que le RGPD qualifie de « Privacy by Design », comprenez un archétype ad-hoc, qui permettra de respecter, dès le traitement initial des données collectées, les mesures prévues par le Règlement, et devra s’assurer que le paradigme de minimisation de collecte des données exposé supra, dénommé « Privacy by Default », soit par ailleurs observé par l’entreprise.
Au tableau des évolution des contraintes légales, une structure pratiquant la collecte des données devra de surcroît mettre en place un registre des activités qu’elle exerce au titre de leur traitement.
Devant l’engagement de sa responsabilité pénale en cas de violation, de vol ou d’utilisation frauduleuse des données personnelles dont elle a la bonne garde, il sera impérieux pour chaque entreprise de réaliser un audit complet de ses protocoles de sécurité informatique, voire, pour celles qui jusque lors avaient été étrangères à ce type de problématique et qui n’avaient pas envisagé l’enjeu représenté, de se doter d’un arsenal de cyberdéfense. Cela représentera, pour toutes, un coût souvent parfaitement onéreux, sans qu’aucune disposition d’allègement ne soient actée en contrepartie.
Enfin, l’instauration de ces nouvelles dispositions dogmatiques aura une répercussion non- négligeable sur la conclusion des accords passés et à venir entre deux entités qui auront à se partager l’accès aux données collectées. En cela, des actes juridiques précis devront être formalisés aux fins que le partage de responsabilité soit proportionnel au partage de communication des informations personnelles exploitées.
En conclusion, s’il était indispensable de faire évoluer la règlementation applicable, devant la mutation de nos sociétés civiles actuelles, les conséquences en matière de structuration et d’encadrement devant être supportées par les entreprise engendreront des dépenses parfois colossales. Reste à savoir si le législateur envisagera, à court terme, la mise en place d’aides spécifiques, permettant d’alléger la facture pour le dirigeant.
Romain Gérardin-Fresse est expert juridique et fondateur du Cabinet GFK Conseils-Juridis. Spécialiste des stratégies d’entreprise et conseiller renommé de nombre de dirigeants, il signe chaque mois une tribune autour d’un sujet d’actualité.