Panorama législatif de la protection des données : la France dispose d’un arsenal étoffé

La protection des données personnelles est devenue un objectif primordial dans le cadre du développement d’une société de plus en plus digitale et où l’on recueille des informations partout, pour tout, et tout le temps. Cette protection passe notamment par l’Union européenne avec le RGPD. Cependant sur le plan national, la loi pour une République numérique et la loi relative au renseignement s’en sont également chargées faisant de la France, l’un des pays où les utilisateurs restent les plus protégés.

L'auteur

  • Arnaud Touati
    • Associé
      ALTO Avocats- Barreaux de Paris et de Luxembourg
    • Membre de l'Incubateur du Barreau de Paris

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°360

Les enjeux juridiques et technologiques des données personnelles

L’Union européenne tente d’imposer des règles strictes et rigides en comparaison avec l’état du droit outre-Atlantique qui confère aux données personnelles un caractère beaucoup plus commercial. Effectivement, la masse de données collectées représente plusieurs milliards de dollars [1] que les entreprises sont prêtes à débourser pour mieux connaître le client donc mieux vendre (et surtout vendre plus). Mais cette conception n’est pas celle retenue en Europe de l’Ouest où les données personnelles sont reconnues pour leur caractère confidentiel plutôt qu’économique.

Une protection aux enjeux multiples

L’un des enjeux s’illustre particulièrement dans le cadre de la lutte contre le terrorisme qui nécessite, par sa nature même, d’obtenir le plus de renseignements, spécialement confidentiels, sur un nombre grandissant d’individus potentiellement menaçants.

Autre exemple, des centaines de start-up se lancent dans le développement d’applications permettant de faciliter les actions du quotidien et ont recours à une collecte et un stockage de données à caractère privé. C’est par exemple le cas des applications destinées à la livraison de médicaments ou encore pour ce qui concerne les RegTechs, des solutions proposées aux banques pour les délester de la charge des processus de KYC (Know Your Customer).

Autant d’intérêts divergents en jeu, qui font l’objet de l’attention des législateurs français et européen : ceux-ci multiplient les textes visant à encadrer la collecte, le traitement et la sécurité des données personnelles.

Ainsi, le Parlement et le Conseil européen ont adopté le 27 avril 2016 [2] le règlement général sur la protection des données (RGPD), qui entrera en vigueur en France le 24 mai 2018. Ce texte a pour but d’adapter la position européenne sur les réalités du numérique, et, selon la CNIL (Commission nationale de l’informatique et des libertés), en poursuivant deux principaux objectifs [3] : renforcer les droits des personnes et responsabiliser les acteurs du traitement des données.

Le RGPD et l’exigence de consentement

Le premier objectif passe d’abord par le consentement de l’utilisateur qui doit être informé de l’usage de ses données et doit par conséquent donner son accord en ce sens, la charge de la preuve du consentement reposant sur le responsable du traitement.

Ensuite, l’Union prévoit la création de nouveaux droits permettant d’atteindre cet objectif de renforcement de la protection. On retrouve ainsi le droit à l’oubli enfin consacré au niveau européen ou encore le droit à la portabilité des données qui permet à l’utilisateur de récupérer ses données sous un format réutilisable afin de lui redonner la maîtrise de ses propres informations. Également, une disposition spécifique concerne les mineurs pour lesquels il faudra, en principe, recueillir l’autorisation parentale. Là encore, on voit mal comment cette exigence pourrait fonctionner en pratique, dans la mesure où il existe déjà des dispositifs de ce type facilement contournés par les enfants.

Cependant, une mesure particulière doit retenir notre attention car elle pourra avoir un vrai poids face aux géants responsables du traitement des données : l’action collective. Les associations dont l’objet recoupe l’intérêt de protection des données personnelles pourront agir en action collective au nom de milliers d’utilisateurs victimes d’un préjudice. C’est particulièrement efficace car ces actions bénéficient d’une couverture médiatique accrue comparée à un litige entre seulement deux parties ; une pression publique de nature à dissuader les responsables de jouer avec nos données.

Enfin, le règlement ouvre un droit à réparation du préjudice corporel ou moral causé par la transgression de ses propres dispositions de nature à assurer son efficacité pratique : si l’on ne sanctionne pas, la règle n’a plus d’intérêt.

Les nouvelles obligations des responsables de traitement

Le second objectif vise à responsabiliser les acteurs du traitement des données en mettant à leur charge de nouvelles obligations de sécurité. Le but est de prendre en compte ce principe de protection dès la conception du système de traitement des données (privacy by design) par l’application de nouveaux outils de conformité : certification des traitements, notification des failles, tenue d’un registre des traitements mis en œuvre, réalisation d’étude sur l’impact sur la vie privée, création d’un poste de délégué à la protection des données et adhésion à des codes de conduite. En ce sens, la notification des failles de sécurité à l’autorité compétente est une disposition importante, car elle empêche les responsables de passer sous silence un problème de sécurité, ou sa gravité, et oblige même dans certains cas à prévenir les utilisateurs concernés par la faille.

Le respect de ces dispositions est assuré par la possibilité de prononcer des amendes administratives qui peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre annuel mondial [4] (et non seulement de celui de l’État où l’infraction est commise). Les GAFA n’ont qu’à bien se tenir.

Les dispositions de la loi pour une République numérique

Mais l’Union européenne n’est pas le seul échelon à agir dans la protection des données personnelles et le législateur français s’en est également chargé dans le cadre de l’adoption de la loi pour une République numérique.

Certaines dispositions ont anticipé celles du règlement européen et le texte, définitivement adopté le 7 octobre 2016 [5], assure la transition vers une République numérique. À l’instar du règlement, la loi prévoit que l’utilisateur reprenne la maîtrise et le contrôle de ses données sous l’affirmation d’un droit à l’autodétermination informationnelle. Le droit à l’oubli est également évoqué, mais dans une version spéciale adaptée aux mineurs afin de mettre en place une procédure accélérée pour l’exercice de ce droit.

De plus, le texte permet d’organiser le sort de ses données personnelles après sa mort en donnant des directives relatives à leur conservation ou suppression. Ces directives sont soit générales (portant sur toutes les données), soit particulières (portant sur certaines données spécifiques). Dans le premier cas, le tiers de confiance à qui sont confiés les ordres doit être certifié par la CNIL alors que dans le second cas il suffira simplement de recueillir son consentement éclairé.

Enfin, la pratique du « revenge porn » est spécialement consacrée dans le code pénal à l’article 226-2-1 [6] prévoyant une peine d’emprisonnement de deux ans et une amende de 60 000 euros. Cela consiste en la publication sur internet d’images ou vidéos à caractère sexuel et publiées, en général, par l’ex compagnon aux fins de revanche.

Parallèlement, le texte prévoit d’attribuer de nouvelles compétences à la CNIL avec un pouvoir de sanction élargi : le plafond maximal passe 150 000 euros à 3 millions même si cela reste encore loin des 20 millions imposés par le règlement de l’Union européenne.

Toutes ces nouvelles règles s’inscrivent dans un contexte général de renforcement de la protection des données personnelles mais restent assez éloignées d’une situation imposée depuis quelques années en France par le terrorisme. En effet, la traque de ces individus requiert d’avoir recours à des méthodes toujours plus intrusives et portant atteinte au respect de la vie privée donc à la protection des données personnelles.

Les mesures inscrites dans la loi relative au renseignement

Ainsi, au lendemain des attentats de janvier 2015, la France s’est dotée d’une nouvelle loi relative au renseignement [7] permettant de faciliter les mesures de surveillance et d’interception des données.

Toute l’attention s’est alors portée sur la conciliation entre ce besoin urgent de surveillance et l’objectif déjà établi de protection des données personnelles. Pour y répondre, le législateur a symboliquement consacré le premier article de cette loi au respect de la vie privée.

Dès lors, il est expliqué que l’autorité publique ne peut y porter atteinte que de manière proportionnée et dans les cas de nécessité d’intérêt public posés par la loi. Dans ces cas, on retrouve notamment la prévention du terrorisme et la protection de l’intégrité du territoire. Mais cela ne suffit à l’évidence pas à maintenir un niveau correct de protection des données personnelles et c’est pourquoi une procédure spéciale de mise en œuvre des techniques de recueillement a été créée. Ainsi, c’est le Premier Ministre qui dispose du pouvoir d’autoriser la surveillance dont les motivations doivent être explicites, sous avis préalable d’une Commission nationale dédiée et pour une durée maximale de 4 mois.

Enfin, et s’agissant des données collectées grâce à cette surveillance, elles doivent être détruites sous 30 jours, 125 jours ou 4 ans selon la technique qui a été utilisée pour les obtenir. Aussi, elles ne peuvent être utilisées que dans le cadre des cas de nécessité d’intérêt public suscités.

Cette protection reste toutefois assez relative dans la mesure où l’intéressé n’est pas informé de la mesure de surveillance et où on imposera le secret défense comme obstacle à toute intrusion dans le processus de collecte des informations.

Un arsenal complet

L’arsenal législatif français est donc complet quant à la protection des données personnelles et c’est certainement l’un des pays où les utilisateurs bénéficient de plus de droits. Tant que l’intérêt de la nation n’est pas en jeu, on peut légitimement considérer que la protection est suffisante et efficace car répondant aux enjeux pratiques déjà observés depuis plusieurs années. Cependant, dès lors que l’on se rapproche des questions de terrorisme et de défense de la nation, cette protection apparaît sous un jour plus fragile et précaire.

 

[1] En 2016, le marché du Big Data était évalué à 27,3 milliards de dollars, pour une prévision de 92 milliards de dollars en 2020 : https://www.statista.com/statistics/254266/global-big-data-market-forecast/.

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679.

[3] https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels.

[4] Article 83 du Règlement général sur la protection des données.

[5] Loi n° 2016-1321 :

[6] https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000033207318.

[7] Loi n° 2015-912 du 24 juillet 2015 relative au renseignement.

 

Sommaire du dossier

Les enjeux juridiques et technologiques des données personnelles

Sur le même sujet