1 an de RGPD

Applicable en France et en Europe depuis le 25 mai 2018, le Règlement européen relatif à la protection des données personnelles (RGPD/GDPR) a profondément modifié l’écosystème de la protection des données. Il a surtout mis en lumière la législation sur la protection des données personnelles qui existe en France depuis 40 ans. Dépoussiérée, la protection des données personnelles est devenue le sujet en vogue, à tel point que la requête « RGPD » avait devancé celle de « Beyoncé » sur Google en mai 2018. Un an après cette entrée en application, quel bilan en France et en Europe ? Quels constats du côté des régulateurs et des personnes concernées ? Quels enjeux à l’avenir ?

En France, une production législative dense

Au niveau national, l’actualité 2018 en matière de protection des données personnelles a été particulièrement riche. Elle est tout d’abord marquée par l’adoption de la loi du 20 juin 2018 [1] qui modifie la loi Informatique et Libertés pour la rendre conforme aux dispositions du RGPD.

Prise dans la précipitation, cette loi autorise le gouvernement à réécrire par voie d’ordonnance l’ensemble de la loi Informatique et Libertés notamment pour « mettre en cohérence les changements résultant de la loi du 20 juin avec l’ensemble de la législation applicable à la protection des données à caractère personnel » [2] . Cette ordonnance a été publiée le 12 décembre 2018 [3] ; son entrée en vigueur a cependant été décalée à la date d’entrée en vigueur du décret modifiant le décret n° 2005-1309 pris pour l’application de la loi Informatique et Libertés [4] et, en tout état de cause, au plus tard le 1er juin 2019.

Cette production législative aboutie à une technicisation extrême de la matière juridique. C’est en effet une triple strate de réglementation qui trouve à s’appliquer en fonction des contextes : le RGPD, la loi Informatique et Libertés et ses textes d’application, auxquels il faut ajouter les dispositions du Code des postes et des télécommunications électroniques pour les opérations de prospection commerciale et le règlement relatif aux données non personnelles [5] .

Une sanction remarquée

L’autre événement majeur est bien entendu la sanction de 50 millions d’euros prononcée par la Cnil à l’encontre de Google LLC en janvier 2019 [6] . Cette sanction est notamment motivée par un défaut de transparence, les informations fournies par Google n’étant pas aisément accessibles pour les utilisateurs selon la Cnil. L’architecture choisie pour procéder à cette information semble en effet complexe (informations excessivement disséminées dans plusieurs documents avec des boutons et des liens), nécessitant parfois jusqu’à 5 ou 6 clics de l’internaute pour obtenir une vision complète de l’exploitation de ses données.

La Cnil a également considéré que le consentement recueilli par Google à des fins de personnalisation de la publicité n’était pas suffisamment éclairé ni spécifique, car non donné de manière distincte pour chaque finalité, et non univoque, car l’utilisateur doit faire la démarche de cliquer sur plus d’options pour accéder au paramétrage et que l’affichage d’annonces personnalisées est précoché par défaut.

À cette occasion, la Cnil a notamment interprété la notion d’autorité chef de file et les modalités de sa désignation.

On sait d’ores et déjà que cette décision donnera lieu à un arrêt du Conseil d’État, Google ayant déjà annoncé faire appel de la sanction de la Cnil.

Règlements types et référentiels

La Cnil a également amorcé une nouvelle production normative composée de règlements types [7] et de référentiels [8] visant à remplacer l’ancien corpus normatif constitué des anciennes autorisations uniques et normes simplifiées. L’objectif de ces nouvelles lignes directrices est d’aider les responsables du traitement et les sous-traitants dans leur process de mise en conformité. À noter que ces projets sont soumis à consultation publique. Elle a également publié sa liste des traitements devant faire l’objet d’une analyse d’impact (après avis du Comité européen de la protection des données – CEPD/EDPB) et devrait prochainement publier une liste de traitements dispensés de cette analyse.

Elle a par ailleurs pris un référentiel d’accréditation des organismes [9] souhaitant proposer une certification de compétences du DPO. Il s’agit là d’un changement de stratégie majeure de la Commission en la matière qui choisit de déléguer la vérification du respect du référentiel à un tiers alors que précédemment elle procédait elle-même à cette évaluation (cf. ancienne procédure de délivrance des labels). Enfin, elle a mis à disposition du grand public un MOOC.

Du côté des chiffres, la Cnil a publié un bilan à six mois de l’entrée en application du règlement. En novembre dernier, 32 000 organismes avaient désigné un DPO, 1 000 violations de données avaient été notifiées et l’outil PIA [10] avait été téléchargé 130 000 fois.

La Cnil a également annoncé un changement de stratégie dans le cadre de ses relations avec les responsables du traitement et les sous-traitants. Face au nombre de demandes, la Cnil affirme désormais une volonté d’accompagner les entreprises dans une démarche en B-to-B et non plus en B-to-C (c’est-à-dire individuellement). Elle souhaite à cet égard passer par des « têtes de réseau » comme des organisations professionnelles ou associations représentatives de professionnels afin de maximiser son action.

Ce début d’année a été également marqué par la désignation d’une nouvelle présidente, Marie-Laure Denis, et de nouveaux commissaires. Cette nouvelle formation va donc logiquement imposer son propre style.

Et chez nos voisins ?

La Cnil fait historiquement partie des autorités de protection des données les plus actives mais on peut également noter que ses homologues ont développé cette année une activité conséquente.

Des sanctions financières pour violation du RGPD ont été prononcées un peu partout en Europe, la première au Portugal à l’encontre de l’hôpital de Barreiro pour 400 000 euros ; une sanction a notamment été prononcée en Allemagne contre un réseau social pour 20 000 euros ; une autre en Autriche, d'un montant de 5 280 euros, à l’encontre d’un café de paris sportifs, [11] , etc.

Les publications des autorités de contrôle sont également nombreuses comme celles de l’autorité belge de protection des données ou de l’autorité espagnole [12] qui s’est récemment intéressée à la technique du fingerprinting [13] .

À l’international ?

Le Japon a obtenu une décision d’adéquation de la part de la Commission européenne. L’influence du RGPD se fait sentir partout dans le monde notamment aux États-Unis où certains grands patrons comme Tim Cook plaident pour un GPDR à l’américaine, alors même que l’entrée en application du Consumer California Act a été reportée au 1er janvier 2020.

Du côté du Comité européen de la protection des données ?

Le Comité européen de la protection des données à ne pas confondre avec le contrôleur européen à la protection des données a succédé au Groupe de l’article 29. Seize avis ou lignes directrices du G29 ont été endossés par la nouvelle autorité lors de sa première réunion [14] .

Le Comité a publié le 26 février 2019 une première analyse de l’implémentation du RGPD [15] . Au titre des chiffres marquants, on note que depuis le 25 mai, 642 procédures ont été engagées à des fins d’identification d’une autorité chef de file, 306 ont été clôturées et l’autorité chef de file identifiée et 281 cas comprenant des implications transfrontalières ont été identifiés.

Les réunions du Comité sont plus fréquentes et il a publié son programme de travail pour l’année 2019 qui comporte des lignes directrices sur articulation de la DSP 2 et du RGPD et la mise à jour des recommandations du G29 sur l’identification des responsables du traitement et des sous-traitants.

À l’avenir ?

Les discussions autour du Règlement e-privacy ont repris au Conseil en mars. Ainsi, il est possible d’espérer une version finalisée de ce texte avant la fin de l’année. Quid de l’assurabilité des sanctions administratives ? Des travaux seraient en cours à ce sujet. Quant au Brexit, en termes de protection des données, le Royaume-Uni deviendrait un pays tiers, impactant la possibilité de transférer librement des données vers ce pays. Toutefois, cet impact devrait être temporaire, car le Royaume-Uni devrait pouvoir obtenir rapidement une décision d’adéquation. Les conséquences seraient toutefois plus importantes pour les entreprises ayant désigné l’autorité anglaise de protection des données (l’ICO) en qualité d’autorité chef de file dans le cadre de leurs Binding Corporate Rules [16] .

Achevé de rédiger le 15 avril 2019.