Protection des données : l’Europe à la rescousse ? Regards croisés de Gilles Babinet et de Paula Forteza sur le RGPD

Le règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018, dans l’ensemble de l’Union européenne. Une proposition de loi visant à adapter le cadre normatif français avant l’application de ce règlement a été adoptée le 12 avril en seconde lecture à l’Assemblée nationale. Paula Forteza, rapporteure de la Commission des lois pour ce texte, et Gilles Babinet, entrepreneur du numérique et digital champion pour la France, décryptent les enjeux de ce nouveau règlement européen.

Quels sont les principaux enjeux de ce texte ? Le point d’équilibre a-t-il été trouvé entre principe d’expérimentation et protection des données personnelles ?

PAULA FORTEZA : Le principal enjeu de ce texte est lié à sa nature juridique. Il s’agit d’un règlement européen, il est donc d’application directe dans les ordres juridiques nationaux en laissant toutefois des marges de manœuvre (56 au total) aux États membres. Ce projet signe donc la fin de 22 ans de législation éclatée et disparate.

Cette première ambition, à savoir l’harmonisation des règles européennes, est gage d’une meilleure protection de la vie privée des citoyens. Autrement dit, les entreprises ne pourront plus installer leur siège dans un pays de l’Union où la législation leur est plus favorable. Par ailleurs, le RGPD prévoit de s’appliquer dès lors que des données de ressortissants européens sont traitées : sachant que l’Europe est le continent qui produit le plus de données au monde, cette protection était nécessaire.

Parallèlement, de nouveaux droits sont créés pour les citoyens : rectification, oubli, portabilité, qui leur permettront une meilleure maîtrise de leurs données personnelles.

Face à toutes ces nouvelles protections, l’enjeu était de ne pas freiner l’innovation.Le RGPD change la logique que nous connaissions en France : création d’une entreprise, demande d’autorisation à la CNIL, puis possibilité de se lancer sur le marché. Désormais le rôle de la CNIL n’est plus celui d’une autorité d’agrément mais celui d’une autorité d’accompagnement. Les entreprises auront la possibilité d’entrer sur le marché sans cette autorisation préalable si elles répondent à certaines exigences de mise en conformité : la CNIL pourra les conseiller et les orienter en amont.

Grâce à l’équilibre trouvé entre protection et innovation, le texte permet de renforcer l’attractivité de la France pour les acteurs économiques au sein de l’Union européenne.  


GILLES BABINET : Il est difficile de parler de point d’équilibre tant ce texte est “principiel” : c’est une base qui affirme l’importance du respect des données personnelles à l’échelle de l’Europe. Le point d’équilibre sera probablement davantage défini par ce qui va se passer après : toute la régulation, la jurisprudence qui va en découler. Il est aussi difficile de parler de point d’équilibre dans le monde actuel. À chaque instant, nous découvrons de nouvelles opportunités, ainsi que de nouvelles menaces issues de la révolution numérique.

Si point d’équilibre il y avait, il me semble qu’il devrait plutôt s’exprimer en termes de doctrine politique et de tempo. Doctrine, car en dehors de la data et de l’antitrust, très nombreux sont les chantiers qui restent à être pris en main par les acteurs politiques. Tempo, car il est clair que la régulation courrait après l’innovation.

Le RGPD, on oublie souvent de le mentionner, est un pari sur le droit ; après quatre ans de débats et des milliers d’amendements, il conserve des principes fondamentalement audacieux et sans précédent. C’est une première réussite sur le plan numérique pour les institutions européennes.

La législation est-elle le meilleur outil pour réguler sur ces sujets ?  

PAULA FORTEZA : Ce qui importe, c’est de ne pas figer le droit. Il doit toujours rester technologiquement neutre pour pouvoir répondre à l’évolution rapide des nouvelles technologies. Il faut pouvoir mettre en place des modalités de régulation plus flexibles et adaptées aux enjeux du numérique, comme les outils de droit souple qui seront mis à la disposition de la CNIL.

La législation est un des outils pour réguler la protection des données personnelles mais il n’est pas le seul. Elle doit s’accompagner d’une prise de conscience de la part de la société. Bien souvent, nous avons tendance à penser que la récupération des données n’a pas d’importance si nous n’avons rien à cacher. Mais ce n’est pas simplement la récolte des données qui doit nous interroger, c’est leur réutilisation dans un but que nous n’avions absolument pas identifié en nous inscrivant sur telle ou telle plateforme. Il faut donc faire de la pédagogie et éduquer dès le plus jeune âge à ces enjeux. Face à ce changement de mentalité, et à l’exigence des citoyens, les acteurs économiques se réguleront de facto. 

D’un point de vue plus prospectif, il faut aussi repenser les modèles économiques des entreprises.Nous ne pouvons pas leur interdire de revendre des données strictement et totalement, sans leur proposer une alternative de viabilité économique crédible.

La législation est donc la réponse immédiate mais il faut l’accompagner de pédagogie et d’une réflexion globale sur le modèle économique des industries du numérique.


GILLES BABINET : D’une façon générale, la régulation représente souvent le système ultime lorsqu’un écosystème n’a pas su s’auto-réguler.

Dans un univers en très forte évolution, le risque de la législation est évidemment de limiter les opportunités d’innovation. Il reste cependant d’importantes zones non couvertes. Ainsi du machine learning ou de l’intelligence artificielle, dont il est désormais acquis qu’elle peut être très discriminante sans nécessairement disposer de données personnelles.

Il est impératif qu’une réflexion s’ouvre sur la façon dont la régulation du numérique doit s’appliquer. Les enjeux sont si nombreux, si complexes, si variants qu’il est nécessaire de disposer d’un droit à l’expérimentation fort et de privilégier une régulation d’accompagnement, qui s’exprime plus dans le ex-post, que dans le ex-ante. Au delà, les réflexions sur les systèmes de gouvernance, sur l'éthique, dans le domaine de l’intelligence artificielle  par exemple, doivent être encouragées.

Le scandale Cambridge Analytica aurait-il pu avoir lieu dans une juridiction soumise au RGPD ? Le cas échéant, quelles auraient été les conséquences pour les partis impliqués ?

PAULA FORTEZA : L’objectif du RGPD est d’éviter à tout prix ce type de réutilisation des données personnelles des utilisateurs sans leur consentement. Le RGPD imposera dès le 25 mai 2018 aux entreprises de préciser à quelles fins elles collectent des données personnelles et pour quelle durée. Le consentement donné par l’utilisateur sera strictement encadré et devra pouvoir être retiré à n’importe quel moment. Par exemple, si une entreprise décide d’utiliser les données dans un but différent de celui initialement prévu, il sera nécessaire d’obtenir à nouveau le consentement de l’utilisateur.

Si de telles infractions étaient constatées, les sanctions peuvent être importantes. La grande nouveauté du RGPD est la possibilité d’infliger des sanctions financières lourdes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.


GILLES BABINET : L’accident industriel est toujours possible, mais dans un contexte post-RGPD, il est probable que plusieurs garde-fous auraient d’abord dû être franchis avant d’en arriver à cette situation tout à fait étonnante ; Facebook n’a eu qu’un faible contrôle sur les données qui étaient mises à la disposition de ses tiers, ce qui est un point d’attention particulier du RGPD, au travers de clauses d’accès ou encore de clauses d’audit. Il n’en reste pas moins que Cambridge Analytica, même sans le RGPD, a violé les accords qu’il avait avec Facebook et a probablement violé plusieurs lois américaines.

Pour ceux qui suivent les rebondissements de cette affaire, il est clair qu’elle met particulièrement en avant les potentialités négatives du numérique ; l’hypothèse que l’ingérence d’un État ou d’une institution dans les processus électoraux ait été massive n’est désormais plus écartée. Ce qui n’a que peu été évoqué ces derniers jours et particulièrement lors de l’audition de Mark Zuckerberg par le Congrès, c’est la mise en échec de l’idée que, comme nous l’expliquait le courant libertarien dominant dans la Silicon Valley, la régulation était un concept dépassé. La démonstration a surtout été faite que l’autorégulation n’est, en tous cas à ce stade, qu’une posture aux intérêts bien compris.

Quelles caractéristiques spécifiques à la France émergent de la loi adaptant notre cadre normatif en préparation de l'entrée en vigueur du RGPD  ? Quel sera le nouveau rôle de la CNIL ?

PAULA FORTEZA : Plusieurs points précis ont été apportés lors du processus législatif. Le premier est un pas vers le renforcement du droit des citoyens en créant la possibilité d’une véritable action de groupe dans le cas d’atteinte à la protection des données personnelles. Les citoyens pourront ainsi demander une réparation du préjudice matériel ou moral subi.

Le deuxième est l’âge de consentement fixé à 15 ans pour accéder aux plateformes sans besoin d’accord parental. Ce choix a fait l’objet d’un consensus de la part de l’ensemble des forces politiques présentes à l’Assemblée nationale. Il s’agit de protéger les mineurs et surtout de créer une législation cohérente : 15 ans est l’âge moyen d’entrée au lycée mais aussi et surtout l’âge où un mineur peut consentir aux traitements de ses données de santé.

Une attention particulière a aussi été apportée aux données scolaires. Ces données sont toutes celles collectées au cours de la scolarité d’un élève, que ce soit grâce à l’utilisation d’applications pour faire l’appel, mais aussi avec le recours aux environnements numériques de travail (ENT). Désormais, les enseignants devront recevoir une formation destinée à les sensibiliser à la question de la protection des données et les établissements scolaires devront mettre à disposition en open data les traitements qui sont réalisés sur ces données.

Enfin, le rôle de la CNIL change de paradigme : plutôt que d’être un organisme de contrôle et de sanction, elle va devenir un véritable accompagnateur des acteurs dans leur conformité et leur respect de la protection des données personnelles. Elle met d’ailleurs régulièrement en place des packs de conformité pour plusieurs secteurs d’activité afin d’aider les entreprises à se mettre en accord avec la nouvelle législation.


GILLES BABINET : La mission de la CNIL évolue : elle accompagne les entreprises durant la délicate phase de transition vers l’application du RGPD. D’ores et déjà, elle a annoncé qu’elle serait souple et qu’elle n’appliquerait pas immédiatement de sanctions dans les cas où le texte n’est pas respecté mais que la volonté de mise en oeuvre est bien effective. Au delà, la CNIL représentera le guichet unique à l’échelle européenne pour les entreprises françaises à l’égard de ce nouveau texte qui structurera la majeure partie de son action.  C’est donc une évolution forte de son mandat. Il semble important de souligner que cela ne devrait pas suffire ; en Europe les régulateurs ont des mandats extrêmement variables suivant les pays et il conviendrait d’unifier cela de sorte à ce que les entreprises et tout type d'acteur puissent, à une échelle européenne, disposer de pratiques communes vis-à-vis de ces interlocuteurs.