Le règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais « General Data Protection Regulation »), officiellement appelé règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne. Show
Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union européenne à compter du 25 mai 2018. Ce règlement remplace la directive sur la protection des données personnelles 95/46/CE adoptée en 1995. Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de contrôle[2]. Contexte[modifier | modifier le code]En janvier 2012, la Commission européenne a proposé une réforme globale des règles en matière de protection des données personnelles dans l’Union européenne. Cette réforme comporte deux volets :
L’objectif de ce nouveau règlement est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ». Le Parlement européen a modifié ce règlement et l'a adopté le 12 mars 2014 en 1re lecture[4]. Les négociations se sont poursuivies entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne et ont pris fin le 15 décembre 2015. Le projet de règlement a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015[5],[6]. La France a transposé le règlement dans une loi adoptée le 14 mai 2018[7] Le règlement européen a été publié le 4 mai 2016 dans le Journal officiel de l'Union européenne et entre en vigueur le vingtième jour suivant celui de sa publication[8]. Ce règlement, applicable à partir du 25 mai 2018, est « obligatoire dans tous ses éléments et directement applicable dans tout État membre »[9]. Le scandale Facebook-Cambridge Analytica, autour du vol, puis de l'analyse et de la réutilisation manipulatrices de données personnelles, à des fins électorales, aux Etats-Unis et au Royaume-Uni, éclate peu de temps avant sa mise en application. On constatera aussi l'existence d'entreprises comme Aggregate IQ (entreprise-sœur, canadienne, de Cambridge Analytica, créé par la même maison-mère) qui utilisent le big data (y compris des données personnelles illégalement acquises sur les comptes Facebook de 87 millions d'internautes) pour produire des messages électoraux trompeurs et ciblés empêchant le libre arbitre des électeurs de s'exercer[10],[11],[12]. Principales dispositions[modifier | modifier le code]Le règlement contient des confirmations ou des évolutions, avec des principes clés, tels que[13],[14] :
Application[modifier | modifier le code]Transposition[modifier | modifier le code]Étant un règlement européen, le RGPD est obligatoirement et directement applicable à l’ensemble des pays membres de l'Union européenne. Il n'est pas nécessaire de transposer cette réglementation dans le droit national pour la rendre applicable. Le Comité européen de la protection des données (CEPD)[18] a été créé afin de permettre une coordination des actions des autorités de contrôle nationales de chaque pays européen et de veiller à la protection des données à caractère personnel. Toutefois, le règlement prévoyait un renvoi à la réglementation nationale sur un certain nombre d'éléments et certaines dispositions nationales étaient en contradiction avec les nouvelles normes du règlement. Dans le cas de la France, cette dernière a adapté le droit interne, conformément au RGPD, par la loi du 20 juin 2018 relative à la protection des données personnelles[19]. Par ailleurs, en prenant l'exemple de la France, cette loi donne à la Commission nationale de l'informatique et des libertés (CNIL) des missions supplémentaires et un pouvoir de contrôle et de sanction accrue en matière de protection des données[20]. Mise en œuvre[modifier | modifier le code]Les organisations doivent pouvoir garantir et prouver leur conformité en matière de protection des données personnelles. Pour les guider, la Commission nationale de l'informatique et des libertés (CNIL), l'autorité de surveillance numérique française, conseille six étapes afin de faire face à cette responsabilité accrue[21] : Six étapes pour s'adapter au RGPD selon la CNIL
Mise en conformité[modifier | modifier le code]Une enquête menée par Harvey Nash (en) et KPMG montre que les entreprises mondiales ne placent pas la mise en conformité avec le RGPD dans leurs priorités. Selon l'enquête, 38 % des entreprises mondiales qui ont répondu admettent qu'elles ne respecteraient probablement pas l'ensemble des dispositions du RGPD pour sa date d'entrée en vigueur le 25 mai 2018, bien qu'elles aient eu deux ans pour s'y préparer[22]. Les investissements des entreprises mondiales sont plutôt dirigés vers la cybersécurité à cause d'une augmentation des cyberattaques. D'autre part, la conformité avec le RGPD tend à se compliquer face à une pénurie de personnel compétent dans le domaine des mégadonnées (big data)[23]. Non-conformité à la loi[modifier | modifier le code]Une étude de cinq universitaires sur les plates-formes de recueil de consentement (CMP) les plus utilisées par les dix-mille sites les plus visités du Royaume-Uni montre que neuf sur dix ne respectent même pas les conditions minimales du cadre légal (l'obligation d'un consentement explicite, la possibilité de refuser les cookies aussi facilement que de les accepter et l'absence de cases pré-cochées). Les choix de conception de ces outils influencent les décisions des internautes : en n'affichant pas de bouton « Tout refuser » au même niveau que « Tout accepter » (souvent en requérant de cliquer sur une deuxième, voire une troisième fenêtre), la probabilité d'obtenir leur consentement augmente ainsi de près d'un quart[24]. Augmentation du nombre de plaintes[modifier | modifier le code]Les particuliers ont connaissance de leurs nouveaux droits ce qui se traduit par une augmentation du nombre de plaintes à la suite de l'entrée en vigueur du RGPD. Le principal recours à la plainte porte sur le consentement du traitement des données personnelles[25]. L'association la Quadrature du Net qui est une association de défense des libertés des citoyens sur internet, a déposé une plainte collective contre les GAFAM[26]. De la même manière, l'ONG none of your business (NOYB) a également eu recours à la plainte contre des acteurs dominant le marché des réseaux sociaux tels qu'Instagram et WhatsApp dès le 25 mai 2018 afin « d'exiger un consentement libre pour rejeter l'idée d'une marchandisation de nos données personnelles »[27]. Sites inaccessibles aux adresses IP de l'Union européenne[modifier | modifier le code]Plusieurs mois après l'entrée en application du RGPD, certains sites restent délibérément inaccessibles aux adresses IP en provenance de l'Union européenne ; c'est le cas d'un millier de sites d'information américains, et d'approximativement un tiers des cent plus importants d'entre eux[28]. La responsabilité de ce blocage incombe aux sites eux-mêmes, selon les uns, ou à la réglementation européenne, selon les autres[29]. C'est le cas des journaux en langue anglaise du groupe de presse Tronc (Chicago Tribune, Los Angeles Times…) (États-Unis). Deux tiers des cent plus importants sites d'information américains sont accessibles et se déclarent compatibles avec le RGPD. Certains sites comme Forbes vont même au-delà de l'obligation de pouvoir opter contre la personnalisation des publicités (opt-out) et désactivent par défaut la personnalisation des publicités, afin que ce soit au lecteur d'opter pour (opt-in)[réf. souhaitée]. Sanctions[modifier | modifier le code]En cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises. L'article 58[30] du RGPD donne à la CNIL le pouvoir de mettre en place des moyens dissuasifs afin de lutter contre les défauts de conformités se référant aux dispositions du RGPD. Gradation des sanctions[modifier | modifier le code]Les sanctions entraînées par la CNIL sont dites graduelles car elles dépendront de la gravité des actions constatées et qui sont contraires au RGPD. Ces sanctions s'établissent en plusieurs étapes :
Si les entreprises ou les organismes privés violent une des nouvelles normes du règlement, le RGPD prévoit des sanctions administratives et pénales. Ces sanctions ont surtout un but dissuasif du fait de leurs montants très élevés. L'analyse de la nature, la durée ainsi que de la gravité de la violation permettent de qualifier la sanction administrative qui sera applicable. Sanctions administratives[modifier | modifier le code]L'article 83[31] du RGPD liste les conditions qui permettent à la CNIL d'appliquer une sanction administrative aux entreprises ou organismes qui auraient violé une des réglementations du règlement. La CNIL doit veiller à ce que les amendes qui seront imposées soient « effectives, proportionnées et dissuasives ». L'une des premières amendes administratives peut atteindre jusqu'à 10 000 000 € ou pour une entreprise, jusqu'à 2 % de son chiffre d'affaires annuel mondial total de l'exercice précédent. Le montant retenu concerne toujours le montant de la sanction le plus élevé. Cette amende administrative est appliquée lorsque les manquements aux obligations du RGPD sont de nature suivante[31] :
En cas d'infraction plus importante et liée au non-respect du RGPD, l'amende administrative pouvant être appliquée peut atteindre jusqu'à 20 000 000 € ou dans le cas d'une entreprise, l'amende correspond à 4 % du chiffre d'affaires mondial (le montant le plus important sera là aussi retenu). Les violations doivent concerner les dispositions suivantes de l'article 83[31] du RGPD (paragraphe 5) :
Un réseau social allemand Knuddels (de) a été condamné par l'autorité allemande de protection de données (la Baden-Württemberg Data Protection Authority) à une amende d'un montant de 20 000 euros à la suite d'une fuite de plus de 2,6 millions de données de ses utilisateurs. Le montant de l'amende a été limité du fait de la transparence du réseau social et sa rapidité pour mettre à jour la sécurité du réseau social[32]. De manière générale, au niveau européen, on constate toutefois que les consommateurs ne font remonter qu'un nombre très limité de plaintes auprès des autorités de protection des données. Une étude[33] publiée en novembre 2019 estime le taux moyen de plaintes dans 24 pays de l'Union Européenne à 3 pour 10000. En Slovaquie, le taux de plaintes n'est que de 0,17 pour 10000 alors qu'il atteint 8,6 en Irlande. Sanctions pénales[modifier | modifier le code]L'article 84[31] du RGPD prévoit également aux États membres de mettre en place des sanctions pénales, afin de compléter le RGPD. Chaque État avait jusqu'au 25 mai 2018, pour notifier la Commission des dispositions légales qu'ils appliqueraient. En France, selon l'Article 226-16 du Code pénal[34], les sanctions pénales applicables peuvent atteindre jusqu'à 300 000 € d'amende et entrainer jusqu'à 5 ans d'emprisonnement. Dommages et intérêts et déficit d'image[modifier | modifier le code]D'autres sanctions supplémentaires peuvent être appliquées aux sanctions administratives et pénales, en cas de violation à l'une des dispositions du RGPD. En effet, toute personne lésée par le comportement des responsables ainsi que par le traitement des données non conforme au RGPD à la possibilité d'attaquer en justice l'organisme en faute[35]. Cette action en justice peut entraîner le versement de dommages et intérêts. Par ailleurs, le non-respect du RGPD peut affecter l'image et la réputation des entreprises ou organisations fautives[36]. Critiques[modifier | modifier le code]La mise en œuvre du règlement général sur la protection des données a causé un bouleversement dans beaucoup d'entreprises, en premier lieu les grandes entreprises travaillant directement ou indirectement dans le secteur de la donnée. Qu'il s'agisse des GAFAM, des entreprises du secteur publicitaire pour qui l'utilisation des données personnelles est une part essentielle de leur travail, du secteur public, ou encore des PME qui doivent gérer les données personnelles de leurs salariés. Si certaines entreprises comme Apple se disent en accord avec le RGPD (mise en œuvre d'un bouton bleu qui montre à l'utilisateur quand Apple[37] utilise ses données, ainsi que des options « supprimer mes données personnelles/supprimer mon compte » sur leur site en ligne), d'autres comme Facebook[38] pourraient recevoir de lourdes amendes en raison de failles évidentes dans la protection des données de leurs utilisateurs. De plus sur certains points, comme la vérification d'identité d'un utilisateur ayant oublié ses identifiants par un fournisseur, le règlement n'est pas précis, ce qui a pour conséquence une vérification insuffisante, facilitant le piratage[39] ou inversement des demandes de données plus sensibles (copie de passeport, par exemple) que celles détenues[40]. Compatibilité entre RGPD et le CLOUD Act[modifier | modifier le code]Le CLOUD Act est la loi fédérale des États-Unis qui permet en particulier aux services judiciaires de contraindre les fournisseurs de services établis aux États-Unis, à fournir des données stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers. Il entre en conflit avec un règlement de la législation Européenne — le Règlement Général sur la Protection des Données (RGPD) — entré en vigueur le 25 mai 2018[41]. Selon Nathalie Devillier, professeure en droit du numérique à l'école du management de Grenoble« Le Cloud Act offre un cadre légal à la saisie de documents, de mails, en bref de toutes les communications captées à l’étranger par les serveurs des sociétés américaines »[42]. Cette législation américaine s'impose aux GAFAM comme aux entreprises étrangères (ex. : Orange, Altice) ayant une activité aux États-Unis[43]. Cela crée un risque de souveraineté sur des données sensibles. A titre d'exemple, les données de santé françaises sont hébergées par Microsoft et le gouvernement français envisage de les rapatrier vers un opérateur de services français ou européen[44]. En 2020, un nouveau problème se pose en France avec l’hébergement, sur les serveurs d’Amazon, des attestations des prêts garantis par l'État (PGE) aux entreprises pendant la pandémie Covid-19, questionnant ainsi la notion de souveraineté numérique de la France et suscitant l'inquiétude quant à l'accès de ces informations[45]. Selon Nathalie Goulet, sénatrice de l'Orne, ce marché a été attribué à Amazon sans appel d'offres par Bpifrance[45]. Pour les données les plus sensibles des administrations, le gouvernement français a fait le choix d’un système de nuage informatique d’État. C’est-à-dire que l’infrastructure sera gérée par l’État lui-même sur des serveurs en nuages qui lui appartiennent et dont il a l’entière maîtrise[46]. Pour les données moins sensibles, l'État aura recours à un cloud géré par un prestataire extérieur mais sur des machines exclusivement dédiées[46]. Les autorités françaises travaillent à mettre au point un dispositif qui permettrait aux entreprises françaises d'être prévenues si la justice américaine cherche à accéder à certaines de leurs données stratégiques stockées dans les serveurs d'opérateurs américains[47]. Selon l'autrichien Maximillian Schrems qui est parvenu à faire annuler, en juillet 2020, l’accord « Privacy Shield » relatif aux règles de transfert des données personnelles hors d’Europe, « jusqu’à présent, les entreprises américaines ont ignoré le droit européen chaque fois qu’il y a eu un conflit entre le droit de l’Union européenne et les lois des États-Unis […]. Il peut être nécessaire de construire des alternatives européennes »[48]. Compatibilité entre RGPD et blockchains[modifier | modifier le code]D'autres acteurs, comme l'Observatoire et forum EU Blockchain[49],[50], ont soulevé certaines oppositions entre le RGPD et les blockchains, des technologies de base de données distribuées reposant le plus souvent sur de multiples acteurs. En effet, ces technologies impliquent généralement que les données enregistrées sur ces chaines ne puissent être modifiées a posteriori, dans un but d'infalsifiabilité et de transparence, n'autorisant que l'ajout de données. De prime abord, ceci va à l'encontre du droit à l'oubli évoqué dans le RGPD, qui nécessite a priori un droit à la suppression des données personnelles. Cependant, des stratégies telle que l'inscription de données chiffrées dans le registre de la chaîne puis la destruction de la clé permettant leur déchiffrement pourrait répondre au droit à l'oubli tel qu'envisagé dans le RGPD, la CNIL a par exemple suggéré qu'une telle stratégie pourrait être une solution[51]. D'autres questions restent en suspens, comme l'identification des acteurs tels que définis par le RGPD dans le contexte d'une blockchain publique où la participation au réseau est ouverte et ne requiert pas de permission. Développement du big data[modifier | modifier le code]À l'échelle mondiale, des auteurs[Qui ?] voient le RGPD comme une perte de compétitivité pour les entreprises européennes. En effet, celles-ci doivent pour beaucoup investir dans la protection des données personnelles, pendant qu'il n'existe aucun règlement similaire[Quand ?] dans des pays comme les États-Unis[52]. Individualisation du droit[modifier | modifier le code]Selon Ophélie Coelho, chercheuse indépendante, spécialiste en géopolitique du numérique, la règle de consentement, telle qu’elle est appliquée, pourrait être considérée comme une individualisation du droit, puisque l’autorisation de transfert de données est le résultat d’une contractualisation individuelle entre l’utilisateur et l’entreprise[53]. La responsabilité se déplace ainsi du régulateur à l’individu. On considère ainsi que l’utilisateur peut porter la charge de lire les conditions d’utilisation d’un service numérique, qu’il en comprend tous les aspects, et qu’il peut ainsi faire un choix éclairé. Or, selon une étude réalisée par deux universitaires américains en 2016 auprès de 543 sondés[54], 74 % des utilisateurs ne lisent pas les conditions générales d’utilisations avant de les accepter, et la majorité de ceux qui ouvrent les contrats survolent le contenu. Réutilisation des données recueillies en première instance[modifier | modifier le code]Une réutilisation des données est permise par la législation européenne, qui stipule que si l’entreprise ou l’organisation a collecté des données « sur la base d’un intérêt légitime, d’un contrat ou d’intérêts vitaux », celles-ci peuvent être utilisées à une autre fin si la « nouvelle finalité » est compatible avec celle définie initialement[53],[55]. Les notions d’« intérêt légitime » et de « finalité » définis dans les articles 5 et 6 sont très larges, et laissent une place considérable à l’interprétation. Dans le cas des plateformes où les comptes clients sont associés à plusieurs fonctionnalités, l’amélioration des services peut être considérée, selon les critères de la Commission, comme une finalité compatible. La réutilisation des données peut alors recouvrir des analyses statistiques, du profilage algorithmique, qui vont générer des données d’analyses utiles pour le positionnement de l’entreprise et son développement[56]. Cette seconde vie des données est renforcée par une consigne permissive : la Commission européenne précise que dans le cadre de la recherche scientifique ou statistique, la réutilisation des données n’est même pas soumise à cette compatibilité de finalités. La Quadrature du net fait partie des associations militant pour un amendement de l’article 6 du RGPD. Pour l’association, le flou entourant le régime des compatibilités de traitement permettrait « le recours au big data sans le consentement de la personne, si le responsable de traitement ou toute personne tierce estime ce recours justifié, notamment pour des raisons d'innovation »[57]. En France, le rapport du Conseil Général de l’Économie (CGE) d’avril 2019[58] reconnaît également que la notion d’intérêt légitime est trop vague, et a demandé au Comité Européen de la Protection des Données, organisme chargé d'examiner toute question portant sur l'application du RGPD et de publier des lignes directrices[59], de mettre en place des recommandations et des bonnes pratiques afin d’aiguiller les régulateurs dans l’application du droit. La demande de clarification concerne ici moins la protection des individus que la défense des entreprises européennes : pour le CGE, le manque de clarification de ce point nuit à l’innovation, puisque certaines entreprises européennes s'efforceraient de recueillir le consentement de leurs utilisateurs quand le cadre du RGPD leur permet déjà de les utiliser en phase de recherche et développement[58]. Influence[modifier | modifier le code]En janvier 2020, une loi sur la protection des données inspirée du RGPD, la Loi californienne sur la protection de la vie privée des consommateurs[60], est entrée en vigueur en Californie[61]. Le RGPD a influencé la loi chinoise sur les données personnelles en ligne adoptée en août 2021[62]. Notes et références[modifier | modifier le code]
Voir aussi[modifier | modifier le code]Bibliographie[modifier | modifier le code]
Articles connexes[modifier | modifier le code]
Liens externes[modifier | modifier le code]
Documentaire[modifier | modifier le code]
Quel est la loi RGPD ?Le RGPD, qu'est-ce que c'est ? Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union Européenne. Il est entré en application le 25 mai 2018.
Quelles sont les principales règles en matière de protection des données personnelles ?Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ; Les droits des personnes.
Quelle est la loi du 6 janvier 1978 ?Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cette loi porte notamment création de la CNIL (comission nationale de l'informatique et des libertés). Cette autorité administrative indépendante dispose d'un pouvoir de contrôle et de sanction.
Quel texte réglementaire protège la confidentialité des données des citoyens ?Le règlement général sur la protection des données - RGPD.
|