ENTRE CONTRAINTES ET INNOVATION : LES DÉFIS DE LA MISE … · 2019. 11. 8. · i2D - LE RGPD,...

DOSSIER

RECHERCHE Regard informationnel sur la capsule vidéo : le cas d’une classe inversée La place de l’information dans les pratiques professionnelles des diététicien.nes

ENTRE CONTRAINTES ET INNOVATION :

LES DÉFIS DE LA MISE EN CONFORMITÉ

N° 1 JUILLET

2019

i2D - LE RGPD, ENTRE CONTRAINTES ET INNOVATION : LES DÉFIS DE LA MISE EN CONFORMITÉ

[ 2 ]

COMITÉ DES ÉDITIONS Béa Arruabarrena, Maître de conférences, INTDCNAM EPN 15 : Stratégies, Laboratoire DICENIdF Catherine Baude, Cheffe du bureau de la politique documentaire, ministères sociaux Ghislaine Chartron, Professeure titulaire de la Chaire d’ingénierie documentaire INTDCNAM, Laboratoire DICENIdF Stéphane Chaudiron, Professeur en sciences de l'information et de la communication, Université de Lille Stéphane Cottin, Services du Premier ministre, Conseil constitutionnel Danielle DufourCoppolani, Professeure d’économie et gestion EN, Chercheuse (membre associée), Laboratoire DICENIdF, Université de MarnelaVallée, UPEM

COMITÉ DE LECTURE DU N° 1/2019 Anne Cordier, Université de Rouen Normandie Isabelle Fabre, Université de Toulouse ENSFEA Stéphane Goria, Université de Lorraine Madjid Ihadjadene, Université Paris 8 Vincent Liquète, Université de Bordeaux ESPE Christian Marcon, Université de Poitiers Daniel Peraya, Université de Genève Brigitte Simonnot, Université de Lorraine

COMITÉ SCIENTIFIQUE DE LA REVUE i2D Clément Arsenault, Université de Montréal EBSI Évelyne Broudoux, INTDCNAM Ghislaine Chartron, INTDCNAM Stéphane Chaudiron, Université de Lille Viviane Clavier, Université de Grenoble Alpes Benoît Epron, Haute école de gestion, Suisse Cécile Gardiès, Université de Toulouse ENSFEA Madjid Ihadjadene, Université Paris 8 Vincent Liquète, Université de Bordeaux ESPE Nicolas Moinet, Université de Poitiers Céline Paganelli, Université PaulValéryMontpellier Nathalie Pinède, Université de Bordeaux Brigitte Simonnot, Université de Lorraine Seth Van Holland, Université Libre de Bruxelles

COMITÉS - MENTIONS LÉGALES

Éditée par l’Association des professionnels de l’information et de la documentation (ADBS), la revue I2D (Documentaliste-Sciences de l’information de 1964 jusqu’en 2014), est consacrée aux aspects professionnels de l’informationdocumentation et à la recherche en sciences de l’information. La revue est analysée dans les bases de données Pascal, Francis et Lisa de l’Inist et dans le bulletin bibliographique de l’INTD. Le portail Cairn.info (www.cairn.info) propose les numéros publiés depuis 2001 (accès payant aux articles parus depuis moins de deux ans) aux formats HTML et PDF.

Aphania Agence spécialisée dans la communication et la publication web, Aphania maîtrise toute la chaîne éditoriale, de la stratégie à la diffusion : conception, création artistique, rédaction, réalisation web et print, formation et accompa-gnement. Aphania a développé sa propre plateforme technique de veille personnalisée et de publication multi-support et multiformat, Alyas. Sites : www.aphania.com

alyas.aphania.net Tél. : 06 85 15 15 83

01 45 55 54 80

Directrice de la publication et rédactrice en chef : Danielle DufourCoppolani. Secrétaire de rédaction : Jeanne Suhamy (Aphania). Coordinatrice du dossier : Béa Arruabarrena. Ont collaboré à ce numéro : Béa Arruabarrena, Iana Atanassova, Marc Bertin, Aurélie Canizares, MarieAnne Chabin, Viviane Clavier, Thomas Dautieu, Henri de la Motte Rouge, Dominique Desbois, Orélie DesfrichesDoria, Guillaume DesgensPasanau, Iris Fréret, Cécile Gardiès, Alice HuysMochez, Armen Khatchatourov, Mariannig Le Béchec, Fabrice Leclere, Léa Longo, Bruno Rasle, Sylviane Ruiz, Sarah Sandré, Xavier Strubel. Conception et réalisation : Aphania (Alfredo Fiale, Margaux Fiale, Jeanne Suhamy, François Vadrot). ISSN : 24313467.

[ 3 ]

http://www.cairn.infohttp://www.aphania.comhttps://alyas.aphania.nethttp://www.aphania.comhttps://alyas.aphania.nethttp://www.aphania.comhttp://www.aphania.com


[ 4 ]

SOMMAIRE ☀ Éditorial – Danielle Dufour-Coppolani ................................................................................................ 5 ☀ Présentation du dossier – Béa Arruabarrena.................................................................................... 6

DOSSIER CADRE JURIDIQUE ET ENJEUX ☀ Le cadre législatif et réglementaire du RGPD – Guillaume Desgens-Pasanau........................ 13 ☀ Une responsabilité accrue pour les acteurs du RGPD – Iris Fréret .......................................... 20 ☀ La mise en conformité au RGPD par la CNIL – Thomas Dautieu.............................................. 25 ☀ Le Marché unique numérique et la santé à l’heure du RGPD :

les spécificités de la santé publique en Europe – Dominique Desbois..................................... 29 ☀ La question des identités numériques à l’ère du RGPD :

privacy ou protection des données ? – Armen Khatchatourov ................................................... 34

RETOURS D’EXPÉRIENCES : LA MISE EN CONFORMITÉ EN PRATIQUE ☀ La mise en œuvre du RGPD : une appréhension difficile, entre nécessité

d’une pédagogie et mobilisation de ressources nouvelles – Sarah Sandré ............................ 41 ☀ Un accompagnement mutualisé auprès des collectivités : comment le Centre de gestion

du PasdeCalais relève le défi du RGPD – Alice Huys-Mochez................................................ 47 ☀ Intégrer le RGPD à la politique de l’établissement et travailler en réseau : le rôle du Délégué

à la protection des données à l’Université – Fabrice Leclere et Orélie Desfriches-Doria ...... 51 ☀ Sécuriser le traitement des traces numériques dans le cadre du RGPD : anonymisation

et pseudonymisation – Iana Atanassova et Marc Bertin .............................................................. 55 ☀ Les grandes étapes de la mise en conformité opérationnelle au RGPD :

le témoignage d’un Cabinet d’Avocats – Henri de la Motte Rouge............................................ 59

LES MÉTIERS DE LA PROTECTION DES DONNÉES ☀ RGPD : quand le Délégué à la protection des données crée de la valeur – Bruno Rasle .... 64 ☀ Zoom sur le certificat de spécialisation Délégué à la protection des données

du Conservatoire des arts et métiers (CNAM) – Guillaume Desgens-Pasanau ...................... 70 ☀ Zoom sur le Mastère Spécialisé® Data Protection Management (MS DPM) de l’Institut

MinesTélécom Business School (IMTBS) – Xavier Strubel et Béa Arruabarrena ............... 74 ☀ L’expertise Archivage managérial/Records Management :

un atout pour la mise en œuvre du RGPD – Marie-Anne Chabin ............................................. 78 ☀ Établir une relation de confiance et développer une culture RGPD en entreprise :

le rôle du DPO chez Axima Concept – Sylviane Ruiz et Léa Longo ........................................... 82

POUR APPROFONDIR ☀ Glossaire ................................................................................................................................................ 87 ☀ Sources et ressources ......................................................................................................................... 92

RECHERCHE ☀ Regard informationnel sur la capsule vidéo : le cas d’une classe inversée

en informationdocumentation – Aurélie Canizares et Cécile Gardiès ...................................... 96 ☀ La place de l’information dans les pratiques professionnelles des diététicien.nes :

au croisement des missions d’éducation, de prévention et de soin – Viviane Clavier ...... 114

SOMMAIRE - ÉDITORIAL

[ 5 ]

ÉDITORIAL

UNE NOUVELLE FORMULE POUR LA REVUE I2D

Avec ce numéro 1/2019, l’Association des pro-fessionnels de l’information et de la documentation (ADBS) inaugure une formule légèrement remaniée de sa revue Information, Données et Documents (I2D). Le Comité des Éditions a décidé de recentrer I2D autour d’un Dossier thématique fort, tout en conservant une rubrique Recherche. UN DOSSIER THÉMATIQUE. L’ADBS considère qu’il est important de soutenir un lieu d’échange et de partage entre adhérents d’un même secteur professionnel, veillant aux nouveaux enjeux, répondant aux questionnements des professionnels dans une ligne éditoriale travaillée. Cet été, un grand dossier dédié au Règlement général sur la protection des données (RGPD), coordonné par Béa Arruabarrena, Maître de conférences à l’INTD-CNAM. DES ARTICLES DE RECHERCHE. La synergie avec la publication de recherches appliquées est aussi le pari d’une dynamique sans cesse renouvelée au sein de laquelle sciences et société s’enrichissent, et s’attaquent aux défis de notre secteur d’activités, au bénéfice du renforcement de son identité. UN FORMAT NUMÉRIQUE. La revue est accessible sur la plateforme partenaire Cairn.info, qui propose aussi bien un paiement par article que des abonnements institutionnels. I2D peut aussi se lire dans sa globalité au format PDF, en A5, adapté à une lecture sur tablette. Nous adressons nos remerciements au Conseil d’Administration de l’ADBS qui a suivi la demande du Comité des Éditions pour soutenir notre publication, au Comité scientifique pour son travail d’analyse. Notre reconnaissance va également aux auteurs, aux relecteurs, ainsi qu’à la coordinatrice du dossier de ce numéro, sans oublier notre relectrice pour ses conseils avisés. Merci à tous les adhérents et à nos lecteurs pour leur confiance et… bonne lecture !

Danielle DUFOURCOPPOLANI, Présidente de l’ADBS et les membres de la Commission Stratégie éditoriale

Danielle DUFOURCOPPOLANI Présidente de l’ADBS


[ 6 ]

PRÉSENTATION DU DOSSIER LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD) ENTRE CONTRAINTES ET INNOVATION : LES DÉFIS DE LA MISE EN CONFORMITÉ Dans ce dossier, des professionnels de l’information, de la communication, du droit, des chercheurs, dressent un état des lieux permettant de mieux de comprendre les enjeux et les problématiques posées par la mise en conformité du RGPD. Il s’agit également de revenir sur les étapes fondamentales de cette mise en conformité ainsi que sur les bonnes pratiques, en s’appuyant sur des retours d’expériences au travers de cas concrets depuis sa mise en application il y a un an.

Entré en vigueur le 25 mai 2018 en France, le Règlement général européen relatif à la protection des données personnelles renforce et unifie la législation sur la protection des données au niveau européen. Une réponse face aux changements technologiques qui accélèrent la demande de protection de la vie privée, aussi bien de la part des utilisateurs et des citoyens que des autorités des pays européens. Considéré par certains comme une nouvelle forme de contrainte qui pourrait peser financièrement sur l’entreprise, il est aussi vu comme une source d’opportunités, car en permettant la valorisation des données et l’amélioration de la relation avec l’usager, il favorise également l’innovation pour les entreprises et les organisations. Plus ambitieux que les réglementations précédentes, le RGPD a élargi la protection des données à

Béa ARRUABARRENA Maître de conférences, Master Mégadonnées et Analyse sociale (MEDAS) mention Humanités numériques, Conservatoire national des arts et métiers (CNAM), Laboratoire DICEN.

Béa ARRUABARRENA

PRÉSENTATION DU DOSSIER

[ 7 ]

toutes les entreprises et aux organisations qui collectent et utilisent les données personnelles d’utilisateurs sur le territoire européen. Ses principaux objectifs : assurer un haut niveau de sécurité et de confidentialité des données, et renforcer la responsabilité des acteurs en introduisant plus de transparence et de régulation dans le traitement des données. Comme l’a révélé l’affaire Fa-cebook-Cambridge Analytics, l’économie numérique dépend de la confiance des individus. Sans cette relation de confiance, les dérives sont nombreuses. Les données personnelles peuvent être volées, faire l’objet d’usages détournés de ceux prévus lors de leur collecte initiale, et être traitées par des algorithmes automatisant (Machine Learning/Intelligence artificielle) la prise de décision avec le risque d’entrainer des biais, sources d’erreurs et de discriminations pour les citoyens. Pour autant la mise en conformité reste complexe pour les organisations et les entreprises, car les défis sont multiples, à la fois éthiques, juridiques, techniques, organisationnels, financiers, mais également humains. Ils nécessitent par exemple d’intégrer la protection de la vie privée dès la conception Privacy by design, de mettre en place une gouvernance des données, de repenser sa stratégie, de revoir les processus métiers et organisationnels, de réorganiser son SI. Mais cela passe aussi par le développement de nouveaux métiers tel que le Data Protection Officer (DPO) ou Délégué à la protection des données (DPD), dont les compétences de management des données doivent permettre l’application du RGPD à tous les niveaux de l’organisation.

LE PREMIER PÔLE DE CE DOSSIER DÉCRIT LE CADRE RÉGLEMENTAIRE DU RGPD ET LES ENJEUX QUE CETTE NOUVELLE RÉGLEMENTATION SOULÈVE POUR LES ACTEURS AU PLAN ÉTHIQUE, JURIDIQUE, TECHNIQUE, ET ORGANISATIONNEL.

Guillaume DesgensPasanau, Magistrat et Professeur des universités associé au Conservatoire national des arts et métiers (CNAM), introduit ce premier pôle le cadre législatif et réglementaire du RGPD rappelant à la fois ses principes fondamentaux, mais également les nouveaux équilibres juridiques à trouver pour les organisations à l’ère de l’e-privacy. Iris Fréret, Juriste au sein du cabinet d’avocats Sagasser SELAS, apporte des précisions sur le rôle des acteurs face au RGPD, dont l’esprit est d’impliquer davantage le responsable du traitement des données par le régime de l’accountability venant remplacer les demandes d’autorisation préalable, afin de rendre compte, à tout moment et a posteriori à la CNIL mais aussi aux utilisateurs des services des traitements effectués.


[ 8 ]

Thomas Dautieu, Directeur de la conformité à la CNIL, revient sur la mise en conformité un an après. Il explique qu’elle répond à des enjeux de réputation et de confiance, et qu’en cela elle fournit un avantage concurrentiel. La CNIL a, à cet égard, pour missions d’accompagner les acteurs, en expliquant les règles nouvelles introduites par le Règlement et en mettant à disposition des outils pratiques de conformité : une méthodologie, des guides, des fiches pratiques, un Mooc, des référentiels, des règlements types, un logiciel pour la réalisation des analyses d’impact, un modèle de registre de traitement de données, etc. Dominique Desbois, Ingénieur Inra en fouille de données à l’UMR Économie publique d’AgroParisTech, revient plus spécifiquement sur la question de l’impact du RGPD sur le Marché unique numérique (MUN) des données de santé en Europe. Le RGPD s’inscrit dans la volonté européenne de créer un MUN soutenant l’essor d’une économie européenne fondée sur les données, où il s’agit de mettre en œuvre des mesures soutenant partage d’informations et la libre circulation des données non identifiants, au sein de l’Union européenne. Armen Khatchatourov, Chercheur à l’Institut MinesTélécom Business School, propose une réflexion critique sur les enjeux de la protection des données et l’identité dont les contours se sont redéfinis à l’ère numérique. Il questionne les limites identitaires du RGPD, et en particulier la transformation de la notion de Privacy by Design (PbD) en Data Protection by Design (DPbD), qui comporte le risque de passer sous silence les enjeux de construction de l’identité et d’autonomie, conduisant à terme à une société́ qui ne s’interroge plus sur les conditions technologiques du vivreensemble.

LE SECOND PÔLE SE FOCALISE SUR DES RETOURS D’EXPÉRIENCES RÉSULTANT DE LA MISE EN CONFORMITÉ DU RGPD.

Sarah Sandré, Consultante juriste chez Ocacia, accompagne des entreprises et des associations dans leur mise en conformité. Sa contribution témoigne d’une une appréhension difficile, qui nécessité à la fois une pédagogie spécifique et une mobilisation de ressources nouvelles. Il s’agit également de prendre en compte les nouveaux risques informationnels liés à la protection des données, qui encouragent à établir des processus métiers intégrant la protection des données personnelles dans l’organisation même de la structure concernée.


[ 9 ]

Sylviane Ruiz, Data Privacy Manager chez Axima Concept (Engie), témoigne de l’importance d’établir une relation de confiance et de développer une culture RGPD en entreprise, afin de repérer les compétences clés de ces nouveaux métiers et de comprendre leurs rôles à tous les niveaux de l’organisation. Alice HuysMochez, Déléguée à la protection des données au sein du CdG62, fait un retour d’expérience sur l’accompagnement mutualisé auprès des collectivités du PasdeCalais, mettant en lumière comment les collectivités confrontées aux transitions digitales ont pu être accompagnées face aux réalités de terrain. Henri de La Motte Rouge, Fondateur du Cabinet TOUATI–LA MOTTE ROUGE Avocats, explique comment il a accompagné plusieurs organisations, des associations, dont l’ADBS, dans leur mise en conformité. Il présente la méthodologie déployée à cet effet : audit opérationnel sous forme de questionnaire, sensibilisation, documentation de la conformité, registre des traitements, etc. et revient sur la pérennité de la mise en conformité au RGPD, qui nécessite la mise en place d’une gouvernance des données dans le temps. Fabrice Leclere, Délégué à la protection des données (DPD) de l’Université Paris 8, dont les propos ont été recueillis par Orélie DesfrichesDoria, Maître de conférences de l’Université Paris 8, nous parle du rôle de DPD dans le cadre de l’Université et plus spécifiquement du traitement des données de la recherche. En tant que DPD, Fabrice Leclere témoigne de l’importance de son travail en réseau avec une diversité d’acteurs (ses pairs dans d’autres universités et institutions), mais il est aussi à l’interface entre tous les acteurs de l’université ellemême : les enseignants, les étudiants et les administratifs. Iana Atanassova, Chercheuse à l’Université de FrancheComté, Marc Bertin et Mariannig Le Béchec, Chercheurs en Sciences de l’Information et de la Communication laboratoire ELICO, reviennent sur l’obligation et les difficultés de sécuriser le traitement des traces numériques dans le cadre du RGPD au travers des pratiques d’anonymisation et pseudonymisation.


[ 10 ]

LE TROISIÈME ET DERNIER PÔLE PORTE SUR LES NOUVEAUX MÉTIERS DE LA DONNÉE AVEC UN FOCUS SUR CELUI DE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPD, DPO EN ANGLAIS) QUI EST DEVENU UNE FONCTION CENTRALE DANS LA MISE EN ŒUVRE DU RGPD.

Bruno Rasle, Président de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) et DPD, montre comment le RGPD par l’article 383 renouvelle les missions du Correspondant Informatique et Libertés (CIL) et comment il peut s’exercer sous trois formes : interne, mutualisé ou externe. Il revient également sur le rôle du DPD, sur la question de son indépendance et de son rôle central en termes de confiance au sein de l’organisation. Guillaume DesgensPasanau, Magistrat et Professeur au CNAM, propose un premier zoom sur le certificat de spécialisation Délégué à la protection des données (DPD/DPO) du Conservatoire des arts et métiers (CNAM) qu’il délivre à l’issue d’une formation de 100 heures de cours. Son objectif est de permettre à tout professionnel – juriste ou non juriste – de disposer des bases théoriques et pratiques nécessaires à l’exercice des missions de DPD/DPO ou plus largement de « référent » en protection des données. Xavier Strubel, Responsable du Mastère Spécialisé® Data Protection Management (MS DPM) de l’Institut MinesTélécomBusiness School (IMTBS). Cette formation professionnalisante en alternance existe depuis 2016, elle a été accréditée par la Conférence des Grandes Écoles (CGE) en tant que Mastère Spécialisé® en décembre 2017, et a obtenu le Prix de l’innovation, Eduniversal 2018. Xavier Strubel, son créateur et directeur, développe ici les enjeux, les objectifs, les prérequis, le programme et les spécificités de cette formation. MarieAnne Chabin, Professeure associée à l’Université Paris 8 aborde dans le cadre du développement de compétences croisées avec le RGPD une analyse de l’expertise Archivage managérial (traduction de la notion Records Management exposée dans la norme ISO 15489) comme un processus de contrôle de l’information à risque dans la durée, depuis sa création pour une durée de conservation comme un atout pour la mise en œuvre du RGPD. Elle revient ainsi sur les questions de définition et mise en œuvre des durées de conservation des données exigées par le RGPD, des bonnes pratiques d’archivage au service de l’entreprise, fondées sur des concepts archivistiques adaptés à l’environnement numérique.

IN MEMORIAM

Jean-Pierre Worms (1934-2019) Universitaire, sociologue, député, responsable associatif…, Jean-Pierre Worms avait rédigé un article dans I2D sur « le militantisme en mutation ». L’ADBS s’interrogeait sur la mili-tance. Je l’avais sollicité. Il avait accepté avec l’élégance et la délicatesse qui étaient siennes. Les questions, toujours prégnantes, des ins-tances et dirigeants civiques désaffiliés et déconsidérés, en passant par la fabrication des biens communs nécessaires aux citoyens, mais aussi le rap-port entre l’individu et le collectif et les rapports transformés au temps et à l’espace, lui tenaient à cœur. Sa pensée nous avait éclairés sur les « enjeux des mu-tations en cours » sur l’impératif de « la participation active des citoyens », sur la force supposée des capacités de la société civile. Qu’une lumière puisse éternellement t’éclairer, Jean-Pierre, là où tu es désormais. Tu manques déjà à tous ceux qui ont eu le privilège de te connaître. Avec mon affection et ma reconnaissance,

Danielle DufourCoppolani


[ 11 ]

DEUX ARTICLES COMPLÉMENTAIRES SONT PROPOSÉS À LA SUITE DE CE DOSSIER.

Le premier, réalisé par Orélie DesfrichesDoria, Maître de conférences à l’Université Paris 8, porte sur les notions clés du RGPD. Le second, réalisé par Danielle DufourCoppolani, Présidente de l’ADBS et Béa Arruabarrena, Maître de conférences au CNAM Paris, recense les principales sources et ressources documentaires sur le RGPD.

JeanPierre WORMS

I. CADRE JURIDIQUE ET ENJEUX

DOSSIER


[ 12 ]

CADRE JURIDIQUE ET ENJEUX

[ 13 ]

Guillaume DESGENSPASANAU Magistrat et professeur des universités associé au Conservatoire national des arts et métiers (CNAM), où il a créé en 2012 un certificat de spécialisation pour les référents et Délégués à la protection des données. Il a travaillé huit ans à la CNIL où il a exercé les fonctions de responsable du contentieux et de chef du service des affaires juridiques. Ancien avocat, il a accompagné pendant de nombreuses années des responsables de traitement issus tant du secteur privé que du secteur public dans leurs opérations de mise en conformité à la règlementation Informatique et Libertés. Auteur de plusieurs ouvrages et MOOC de référence, il est reconnu comme l’un des meilleurs experts français du droit à la protection des données. Il publie fin juin 2019 chez LexisNexis la 4e édition de son ouvrage sur le droit à la protection des données personnelles, RGPD et loi française du 20 juin 2018. +� Le blog Informatique et Libertés du CNAM de Paris

https://cnamcil.wordpress.com

LE RGPD ENTRE CONTRAINTES ET INNOVATION : LES DÉFIS DE

LA MISE EN CONFORMITÉ LE CADRE LÉGISLATIF

ET RÈGLEMENTAIRE DU RGPD La loi Informatique et Libertés, adoptée le 6 janvier 1978 n’existe plus. En vigueur en France depuis plus de quarante ans, ce texte a longtemps été salué pour la clarté, la clairvoyance et la forte adaptabilité de ses dispositions qui, interprétées par la Commission nationale de l’informatique et des libertés (CNIL), ont su faire la preuve de leur efficacité jusque dans les années 2000 sans adaptation règlementaire notable. Néanmoins, pour tenir compte de la place désormais prépondérante de l’informatique et des technologies avancées dans nos vies quotidiennes, le législateur européen a souhaité, au travers de l’adoption du RGPD, renforcer le cadre juridique applicable en France et en Europe.

Guillaume DESGENSPASANAU

Mots clés : Accountability, CNIL, Privacy, Protection des données, RGPD

https://cnamcil.wordpress.comhttps://cnamcil.wordpress.comhttps://cnamcil.wordpress.com

Depuis le 25 mai 2018, chaque professionnel, responsable de traitement ou soustraitant, doit s’assurer de la mise en conformité de ses traitements au RGPD. Les entreprises, mais également les organismes publics ou associatifs sont ainsi désormais tenus à un devoir d’exemplarité en matière de protection des données, au risque d’engager de manière importante leur responsabilité juridique et, audelà, de nuire à leur réputation ou à leurs intérêts commerciaux. Cela conduit actuellement de nombreux professionnels à s’interroger sur les mesures à mettre en œuvre afin d’engager un plan de mise en conformité. La tâche n’est pas facile tant la règlementation Informatique et Libertés est aujourd’hui devenue complexe, mouvante et protéiforme.

1. NOUVEAUX ÉQUILIBRES : L’ÈRE DE LA PRIVACY Nous sommes désormais de plainpied dans l’ère de la privacy, terme qui ne trouve aucune traduction satisfaisante en français, mais qui exprime bien le virage amorcé par l’adoption du RGPD. Ce texte, applicable en France depuis le 25 mai 20181, supplante désormais tous les textes nationaux applicables en la matière. La loi Informatique et Libertés a été remplacée depuis par la loi du 20 juin 20182 « sur la protection des données personnelles » dont le véritable objet, pardelà l’aspect symbolique relatif au maintien de dispositions nationales, est de préciser et compléter à la marge le texte européen. Une ordonnance du 12 décembre 20183 a également apporté certaines modifications formelles au cadre juridique applicable en France, rendues nécessaires pour assurer la cohérence rédactionnelle des textes. Dans ce contexte, il y a matière à se réjouir de l’adoption du RGPD, et ce, pour deux raisons : tout d’abord, l’adoption du règlement sonne le glas des formalités préalables à accomplir auprès du régulateur local. En France, la loi Informatique et Libertés et les pratiques de la CNIL ont été très fortement marquées par les règles juridiques relatives aux déclarations à accomplir. À tel point qu’aujourd’hui encore, beaucoup de professionnels considèrent que la mise en conformité d’un fichier se résume à l’accomplissement de la formalité déclarative ad hoc auprès de la CNIL, au détriment du contrôle des modalités de fonctionnement du fichier luimême. La mise en conformité d’un traitement à la loi implique pourtant de définir, autour du traitement, les mesures de nature juridique, technique et organisationnelle conformes aux prescriptions légales (sécurité, durée de conservation des données, mentions d’information, etc.). Les professionnels ne pourront plus désormais s’abriter derrière le paravent des formalités préalables et devront se préoccuper des règles à définir en interne pour assurer la conformité de leurs traitements.


[ 14 ]

1 Règlement (UE) no 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

2 Loi no 2018493 du 20 juin 2018 relative à la protection des données personnelles. 3 Ordonnance no 20181125 du 12 décembre 2018.


LES CINQ GRANDS PRINCIPES DE PROTECTION DES DONNÉES LE PRINCIPE DE FINALITÉ Le responsable d’un fichier ne peut enregistrer et utiliser des informations sur des personnes phy siques que dans un but bien précis, légal et légitime. LE PRINCIPE DE PROPORTIONNALITÉ ET DE PERTINENCE Les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier. LE PRINCIPE D’UNE DURÉE DE CONSERVATION LIMITÉE Il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier. LE PRINCIPE DE SÉCURITÉ ET DE CONFIDENTIALITÉ Le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu’il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès aux informations LES DROITS DES PERSONNES Les personnes fichées ont des droits vis-à-vis du responsable de traitement (notamment consentement préalable dans certains cas, et droits à l’information préalable, à l’accès, la rectifi-cation, l’opposition et la portabilité des données).

Source : CNIL

[ 15 ]

D’autre part, l’harmonisation des règles de protection des données au niveau européen est une chance pour le développement économique de nos entreprises. La transposition de la directive du 24 octobre 1995 dans les différents pays de l’Union a été marquée par des différences notables qui ont grandement complexifié le travail des entreprises exerçant des activités au niveau paneuropéen et qui les ont fragilisées à l’égard d’acteurs économiques établis en dehors de l’Union européenne, par exemple aux ÉtatsUnis ou en Asie. Le règlement opère désormais un lissage des règles applicables et la mise en place d’un système de « guichet unique », ce qui permettra de garantir une mise en œuvre uniforme des programmes de conformité au niveau paneuropéen, et donc une rationalisation des coûts. Par ailleurs, le contexte de l’internationalisation des flux rend nécessaire, audelà des aspects purement juridiques, que l’Europe parle d’une seule voix sur le plan politique face aux autres États du monde qui n’entendent pas a priori se conformer à un cadre aussi protecteur que celui défini en Europe. Ceci est d’autant plus vrai que, s’agissant de l’internet, les opérateurs les plus importants sont tous établis en dehors de l’Union européenne. L’adoption du règlement permet ainsi à l’Union européenne de disposer d’un outil harmonisé qui lui donnera la possibilité de peser plus lourdement dans le cadre de négociations internationales, par exemple concernant un éventuel traité impliquant les ÉtatsUnis ou les pays de la zone AsiePacifique.

1.1 L’OBLIGATION DE DOCUMENTER LA CONFORMITÉ Le pendant de l’abandon des formalités préalables est la mise en œuvre de l’obligation, pour le responsable de traitement, de documenter sa conformité (Art. 5 et 24, RGPD). Ceci valorisera utilement une démarche de « corégulation » au travers de laquelle l’entreprise ou l’organisme public est invité à se responsabiliser et à définir, par luimême et souvent au travers du contrôle du « Délégué à la protection des données » (Art. 37 et s., RGPD), les mesures de mise en conformité qu’il estime les plus adaptées à sa situation et sur la base

desquelles il est tenu de rendre compte, tant auprès des autorités de contrôle que des personnes fichées, de son niveau exact de conformité à la loi. Les risques de nonconformité sont aujourd’hui tels (risque pénal, de sanction administrative mais surtout d’image) que les professionnels ont bien compris l’intérêt qu’ils ont à engager des programmes internes de mise en conformité. Nul doute que cela sera plus efficace, en termes de protection des données, que l’accomplissement de formalités administratives. Si les principes fondamentaux de protection des données restent globalement inchangés, les modalités de gestion de la conformité Informatique et Libertés sont totalement bouleversées : accountability, data protection officer, privacy by design, privacy impact assessment, tels sont les nouveaux principes cardinaux de protection des données applicables en droit français, tous issus du monde anglosaxon et qui marquent, sans aucun doute, une nette évolution du socle juridique du droit à la protection des données, du droit romain vers la common law, à la faveur de la négociation du texte engagée au niveau européen depuis 2012.

1.2 LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES Alors qu’en France près de 20 000 organismes avaient désigné depuis 2004 un Correspondant Informatique et Libertés (CIL), le RGPD est venu remplacer ce dernier par un Délégué à la protection des données (DPD), dont la désignation devient obligatoire dans certains cas. La désignation d’un DPD constitue d’une part l’une des diligences permettant d’attester des démarches mises en œuvre en termes de gestion de la conformité, au même titre par exemple que la rédaction d’études d’impact (PIA) ou la réalisation d’opérations d’audit. Ce faisant, le DPD est vecteur de sécurité juridique et permet au responsable de traitements de ménager sa responsabilité, notamment pénale, eu égard aux obligations lui incombant au titre de la règlementation Informatique et Libertés. Le DPD apparait d’autre part et plus largement comme le coordonnateur du plan de mise en conformité que chaque responsable de traitement doit mettre en œuvre sur le plan opérationnel concernant les différents outils de gestion de la conformité définis par le RGPD (registre des traitements, études d’impact, etc.).

1.3 D’UNE OBLIGATION DE RÉSULTAT VERS UNE OBLIGATION DE MOYENS RENFORCÉE

Si le RGPD met à la charge des responsables de traitement et des soustraitants des obligations plus nombreuses, le respect de cellesci leur permet de ménager plus facilement leur responsabilité que ce n’est le cas aujourd’hui. Les obligations de documentation ou d’accountability reposent en effet désormais sur la mise en œuvre d’une « approche par les risques », laquelle consiste à adapter les mesures organisationnelles de protection des données en fonction des risques précis identifiés à l’égard des personnes concernées.


[ 16 ]


[ 17 ]

Si les autorités locales de protection des données (en France la CNIL) seront habilitées à prononcer des sanctions financières pouvant atteindre 4 % du chiffre d’affaires mondial d’une entreprise, le RGPD prévoit spécifiquement que le montant de la sanction devra être adapté au regard du respect par l’entreprise des règles d’accountability, de sa bonne foi ainsi que de son esprit de collaboration avec l’autorité. Ce faisant, le RGPD modifie radicalement la donne. En effet, jusqu’en 2018, les obligations figurant dans la loi Informatique et Libertés étaient des obligations de résultat. Peu importait la bonne ou la mauvaise foi du responsable de traitement. Peu importait également la nature des diligences que celuici avait pu entreprendre afin de protéger les données de ses clients ou de ses salariés. Dans ce schéma, la constatation de l’existence d’un manquement à la loi suffisait par exemple à la CNIL pour prononcer une sanction financière ou un avertissement public. On a ainsi vu la CNIL sanctionner publiquement des entreprises en raison de zones blocnotes dites « inappropriées » même si ces zones ne représentaient que 0,1 % d’un fichier clients par ailleurs parfaitement bien géré et conforme à la loi. Avec le RGPD, cette situation ne sera plus envisageable et le responsable de traitement qui aura engagé une réelle démarche de mise en conformité à la règlementation sera en réalité plus protégé qu’il ne l’était jusqu’à présent contre les risques de sanction ou de publicité négative.

2. LES LIMITES DU RGPD : INCERTITUDES ET OCCASIONS MANQUÉES

Le RGPD, outre qu’il est d’une lecture longue et malaisée (près de 100 pages de texte), ne modifie pas fondamentalement les règles cardinales du droit à la protection des données. En particulier, les droits des personnes fichées ne sont modifiés qu’à la marge, alors qu’on ambitionnait de les renforcer significativement. Ainsi le consentement préalable de la personne concernée, dont on a beaucoup parlé, restera bien l’exception, conformément à ce qui figure déjà dans notre droit (Art. 6, RGPD). De même, le nouveau « droit à la portabilité » des données, s’il constituera une épine dans le pied de nombre de responsables de traitements, n’est rien d’autre qu’un élargissement des modalités d’exercice du droit d’accès. Audelà, l’analyse de conformité d’un traitement à la loi s’effectuera sur la base des mêmes principesclé (finalité, proportionnalité, sécurité, durées de conservation, etc.). Si quelques nouveaux concepts sont introduits, comme par ex. le principe de minimisation des données (Art. 5 RGPD), nul doute que celuici sera dans la pratique « fondu » dans le principe déjà bien connu de proportionnalité, tant il parait vain d’exiger des entreprises, à l’heure des big data, de leur interdire d’exploiter les données collectées pour des finalités nouvelles, si cellesci respectent globalement le cadre Informatique et Libertés. Ce concept nouveau, ainsi que

quelques autres, ne résisteront pas aux contraintes économiques (et aux enjeux associés en termes d’emploi) auxquelles sont confrontées nos entreprises. Dans un contexte de concurrence exacerbée au niveau international, l’approche maximaliste adoptée parfois dans le RGPD apparait contreproductive.

2.1 QUELLE STRATÉGIE POUR LA CNIL ? La fin des formalités préalables constitue un enjeu majeur de conduite du changement pour la CNIL, dont les effectifs restaient jusqu’en 2018 principalement composés d’agents en charge d’instruire des dossiers de déclaration. Dans le contexte du développement de l’accountability, le contrôle a priori exercé par la CNIL sera désormais axé sur la publication de référentiels et de recommandations visant à orienter les responsables de traitement dans leurs opérations de mise en conformité (études d’impact, analyses de faisabilité juridique, audit, etc.). Or la CNIL, au cours des dernières années, n’avait jamais produit aussi peu de référentiels ou de recommandations. Elle s’est manifestement engagée de manière appuyée, depuis mai 2018, à rattraper ce retard et à publier de nouveaux référentiels (www.cnil.fr), par exemple sur la gestion clients, la lutte contre la fraude ou les traitements biométriques. Nombre de sujets, pour lesquels les professionnels sont depuis des années en attente de recommandations nouvelles, comme par exemple en matière de gestion du recrutement, n’ont pas donné lieu à la constitution de référentiels récents. Ce point est essentiel, car l’absence de recommandations précises et techniques mises à disposition par le régulateur risque de conduire d’une part à une situation d’insécurité juridique pour les responsables de traitement, et, d’autre part, à un affaiblissement possible du niveau de protection des personnes, si les professionnels contournent la difficulté en exploitant des référentiels émanant de tiers, lesquels manquent parfois d’indépendance… En contrepoint, quelle sera la stratégie du régulateur en matière de sanctions pécuniaires, étant rappelé qu’il lui sera désormais possible de prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise ? Là encore, les statistiques concernant les sanctions pécuniaires prononcées ces dernières années étaient particulièrement décevantes. En 2015, la CNIL n’avait par exemple prononcé que… trois sanctions pécuniaires. L’équilibre tout entier du règlement européen – et la crédibilité du régulateur – reposent désormais sur les pouvoirs de sanction a posteriori, à charge pour les autorités de contrôle de s’en emparer, à défaut de quoi le niveau global de protection des personnes pourrait bien diminuer… La CNIL semble avoir bien pris la mesure du sujet, et a prononcé fin 2018/début 2019 plusieurs sanctions pécuniaires conséquente, incluant une amende de 20 millions d’euros à l’encontre de Google. Il reste à souhaiter que cette politique répressive volontariste perdure avec le temps…


[ 18 ]

http://www.cnil.fr


[ 19 ]

Parmi les autres questions relatives au nouveau rôle du régulateur national, des interrogations demeurent également sur sa capacité à mettre en œuvre rapidement les mécanismes de coopération entre autorités locales, dans le cadre du dispositif de contrôle de cohérence (Art. 63 RGPD), tant les mécanismes de coopération entre autorités concernant la gestion de dossiers communs apparaissent à ce jour peu développés.

2.2 INTERNET : DE QUELQUES OCCASIONS MANQUÉES Audelà du positionnement du régulateur, force est de constater que l’adoption du règlement n’a pas permis d’apporter des solutions à certains enjeux majeurs de protection des données soulevés par le développement de l’internet. Pourtant, l’une des raisons ayant motivé la Commission européenne à engager la réforme est relative à la place importante prise par Internet dans la vie des citoyens européens. En particulier, le développement des pratiques « d’exposition de soi » sur les réseaux sociaux ou les blogs a conduit les institutions européennes à vouloir mieux protéger les personnes fichées contre les risques de dérives. Ainsi, nombre des règles de base en matière de protection des données ont fait l’objet, dans le cadre de cette réforme, d’une révision sur la base du prisme exclusif d’Internet, alors même que de nombreux fichiers mis en œuvre par les entreprises ou les administrations n’ont strictement rien à voir avec Internet. Ceci se traduit parfois par une complexification inutile de certaines règles qui, par ailleurs, n’apparaissent pas vraiment renforcer les droits des personnes fichées. Une autre occasion manquée concerne les moteurs de recherche. Les autorités européennes ont beaucoup communiqué sur le renforcement du « droit à l’oubli ». Face à l’inertie des régulateurs nationaux au cours des dernières années sur ce sujet, c’est la Cour de justice de l’Union européenne qui est venue renforcer les droits des internautes en consacrant, dans sa décision du 13 mai 2014, un « droit au déréférencement ». On peut regretter que ce droit nouveau pour les personnes fichées n’ait pas été repris dans le RGPD, et que, plus largement, comptetenu de l’importance prise sur le plan économique et politique par ces opérateurs, des règles spécifiques n’aient pas été construites à leur égard. Des règles similaires existent bien, par exemple, à l’égard des opérateurs télécoms (Directive 2002/58/CE), lesquels sont même parfois contraints de collecter le consentement exprès des personnes concernées préalablement à l’exploitation de leurs données (par ex. en matière de géolocalisation). Il est regrettable que, pour des raisons de pur lobbying, une approche similaire n’ait pas été adoptée à l’égard des moteurs de recherche, lesquels ont tous leur siège social et leurs serveurs informatiques établis en dehors de l’Union européenne. La donne va peutêtre changer à court ou moyen terme dans le cadre d’un autre texte européen, le projet de règlement e-privacy publiée le 10 janvier 2017. Ce texte, relatif pour partie à la protection des données

dans le secteur des communications électroniques, permettra peutêtre de renforcer les droits des personnes en matière de prospection commerciale par voie électronique et de marketing ciblé sur internet. La version définitive du texte devait être adoptée avant fin 2018, mais compte tenu des enjeux financiers considérables pour les acteurs de l’Internet et du fort lobbying engagé depuis par les plateformes, la date d’adoption définitive du texte n’est aujourd’hui pas connue. Nous vivons actuellement une révolution numérique qui nécessite assurément d’adapter nos règles de droit aux nouveaux enjeux en présence. Chacun aura tout loisir, au cours des prochaines années, de se faire son opinion sur le point de savoir si le changement de paradigme juridique induit par le RGPD permettra de vivifier la célèbre maxime Informatique et Libertés aux termes de laquelle : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».


[ 20 ]


[ 21 ]

UNE RESPONSABILITÉ ACCRUE POUR LES ACTEURS DU RGPD

Le RGPD introduit de multiples mesures contraignantes, au bénéfice des personnes concernées – à savoir les personnes dont les données sont traitées – suscitant ainsi un réel changement de paradigme dans la manière d’appréhender le traitement de données personnelles européennes. Cette visée protectrice soulève naturellement la question de la redéfinition de l’étendue de la responsabilité des acteurs appelés à effectuer un traitement de données personnelles.

LE RÉGIME DE L’ACCOUNTABILITY Le changement majeur du RGPD, celui qui irradie dans son principe même toutes les autres dispositions du règlement, est sans nul doute le passage d’un régime d’autorisation préalable à celui d’accountability, i-e une responsabilité pendant toute la durée du traitement avec une obligation sousjacente et continue d’information et d’explication sur le traitement. Désormais, les responsables du traitement ne peuvent plus se fonder sur les formalités effectuées a priori auprès de la Commission nationale de l’informatique et des libertés (CNIL) pour démontrer leur respect de la règlementation. Ils doivent dorénavant

Iris FRÉRET Juriste au sein du cabinet d’avocats Sagasser SELAS dans les départements Droit immobilier et Fusionsacquisitions. Ses spécialités comprennent le droit des sociétés, l’immobilier et le droit commercial ainsi que la gestion et l’administration de propriétés complexes, notamment via la mise en place de structures ad hoc, associations foncières urbaines libres et associations syndicales libres. +� [email protected]

Mots clés : Accountability, CNIL, Responsabilité juridique, RGPD

Iris FRÉRET

mailto:[email protected]

définir euxmêmes les mesures à introduire en interne afin d’être en conformité et en rendre compte, tout au long du traitement et a posteriori, à la fois auprès de la CNIL mais aussi auprès des personnes concernées. Les responsables de traitement doivent donc investir en temps et ressources humaines pour maintenir un niveau de conformité adéquat de manière continue, sous peine de voir leur responsabilité engagée de façon assez étendue.

IMPLIQUER POUR MIEUX PROTÉGER Dans le RGPD, comme sous l’empire du régime antérieur, le responsable du traitement est l’acteur clé d’un traitement conforme et partant le premier garant du niveau de protection imposé par le règlement. En tant qu’entité qui détermine les moyens et les finalités du traitement, il est celui qui a la charge de déterminer et de mettre en place les mesures techniques, organisationnelles et humaines nécessaires pour en assurer la conformité4 ; par exemple au regard du principe de minimisation ou des exigences de restriction d’accès. L’importance de ces pouvoirs décisionnel et hiérarchique, nécessaires pour la détermination et la mise en place des procédures, est soulignée par la récente décision de la CNIL5 à l’encontre de Google. Pour accomplir ses tâches, le responsable peut (ou doit selon les cas) être assisté par un Délégué à la protection des données (DPD). Salarié ou consultant, le DPD a pour mission d’élaborer le plan de mise en conformité du responsable du traitement, en assurer le suivi, et les éventuelles adaptations temps faisant. Le DPD est le véritable pivot de la mise en œuvre du plan de conformité, le point de contact de la CNIL, et l’interlocuteur privilégié de la personne concernée. Cependant, sauf hypothèse de complicité, le DPD n’est pas responsable in fine du nonrespect du RGPD. Celleci demeure sur la tête du responsable du traitement, et donc de son représentant. La qualification en tant que responsable du traitement est donc un enjeu majeur pour les différents acteurs traitant des données personnelles car, depuis le passage au principe d’accountability, il doit sanscesse contrôler, adapter et s’impliquer afin de suivre les évolutions technologiques et règlementaires en la matière et rester en conformité, ce tout au long du traitement, au risque de voir sa responsabilité engagée sur le plan administratif et pénal. L’enjeu de la qualification en tant que responsable du traitement est devenue cruciale pour les soustraitants, le RGPD mettant fin à la quasiimmunité dont ils bénéficiaient par une exonération de leur responsabilité lorsqu’ils demeuraient dans le cadre de leur mission. Avec le RGPD, nonobstant la qualification contractuelle de soustraitant dans le contrat avec le responsable de traitement


[ 22 ]

4 Art. 4, RGPD. 5 CNIL, délibération de la formation restreinte no SAN2019001 du 21 janvier 2019.


[ 23 ]

primaire, il sera considéré comme un responsable du traitement et non comme un soustraitant dès lors qu’il aura déterminé luimême les finalités et les moyens du traitement6, et il sera susceptible en tant que tel de voir sa responsabilité engagée7. La détermination des finalités et la mise en place des moyens du traitement doivent impliquer, à plusieurs stades, la personne concernée ellemême. À cet égard, la personne concernée a une certaine responsabilité morale d’utiliser les outils mis à sa disposition afin de contrôler l’usage qui est fait de ses données. La responsabilisation des acteurs, et notamment des responsables du traitement, afin que soit effectué un traitement conforme se fera grâce à une implication grandissante des personnes concernées et non pas seulement par un durcissement des sanctions potentiellement applicables.

DISSUADER POUR MIEUX PRÉVENIR L’augmentation spectaculaire des seuils d’amendes pouvant être imposées par la CNIL pour violation de la protection accordée aux données personnelles8, couplée au renforcement des contrôles, fait que le respect des dispositions légales devient un enjeu économique majeur pour les responsables du traitement. Bien que la CNIL prenne en compte la taille de la structure, la gravité de la violation, et son caractère répété ou non, pour déterminer le montant des sanctions, sa récente amende de 50 millions d’euros contre Google montre qu’elle entend faire pleinement usage des latitudes qui lui sont octroyées et qui devrait servir d’exemple pour intimer aux géants du net une mise en conformité réelle et sérieuse9. Dans cette affaire, la CNIL est plus précisément amenée à se prononcer sur sa compétence en tant qu’autorité chef de file, autorité chargée de coordonner, selon le règlement, toutes les actions menées dans les divers États Membres contre un même responsable du traitement. Ce pouvoir centralisateur devrait permettre une meilleure effectivité des sanctions, grâce à une coordination entre les différentes autorités de contrôle nationales, et une certaine harmonisation et cohérence des solutions au niveau européen. L’accroissement du risque pour les responsables du traitement de voir leur responsabilité engagée ne s’entend cependant pas seulement de l’important risque financier des amendes, mais également de l’augmentation du risque procédural

6 La qualification responsable du traitement/soustraitant se fait cependant au moyen de l’analyse d’un faisceau d’indices : pouvoir de contrôle, instructions données ou reçues, expertise et politique de transparence.

7 Art. 2810, RGPD. 8 Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial du responsable du traitement, voire 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les violations les plus rave, concernant le consentement par exemple – Art. 834 et 835, RGPD.

9 Cette décision fait cependant l’objet d’un appel devant le Conseil d’État.


[ 24 ]

en luimême. En effet, l’accès des justiciables à la CNIL, pour dénoncer un traitement non conforme, ou devant les juridictions ordinaires pour y dénoncer une décision du responsable du traitement ou de la CNIL ellemême, est largement précisé. Le RGPD introduit également la possibilité d’introduire des actions de groupe à l’encontre du responsable du traitement ou encore de la CNIL, ce qui devrait multiplier les recours. L’introduction de ces modifications substantielles au régime européen de protection des données personnelles impose aux acteurs du traitement le respect d’un principe de précaution et des investissements de mise en conformité conséquents, tout en incitant par ailleurs les personnes concernées à la vigilance et à une implication grandissante dans la maitrise de leurs données. L’enjeu premier est donc pour tous les acteurs du RGPD de s’impliquer, chacun à leur niveau, que ce soit le responsable du traitement, la personne concernée ou la CNIL, et de trouver un équilibre pour assurer une protection maximale, mais pas abusive, des personnes, sans pour autant scléroser l’activité des entreprises amenées à effectuer des traitements de données personnelles.


LA MISE EN CONFORMITÉ PAR LA CNIL AU RGPD : PREMIER BILAN UN AN APRÈS

Propos recueillis par Béa Arruabarrena

La Commission nationale de l’informatique et des libertés (CNIL) accompagne les acteurs professionnels dans la mise en conformité au RGPD. Un an après la mise en vigueur le 25 mai 2018, nous avons demandé à son directeur de la conformité de faire le point sur les grands enjeux pour les organisations, les missions et les actions de la CNIL, le dispositif d’évaluation au niveau national et européen, le déroulement en France, les freins, et les clés d’une bonne gouvernance en la matière

À QUELS ENJEUX RÉPOND LA MISE EN CONFORMITÉ AU RGPD POUR LES ACTEURS PROFESSIONNELS ? Pour les professionnels, audelà des obligations juridiques, la mise en conformité répond à des enjeux de réputation et de confiance et fournit un avantage concurrentiel. En effet, selon un sondage IFOP réalisé en octobre 2018 pour la CNIL, 66 % des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. De nombreuses études montrent également que les consommateurs s’inquiètent de l’utilisation de leurs données.

Mots clés : CNIL, Mise en conformité, RGPD

Thomas DAUTIEU Titulaire d’un DEA de droit public et diplômé de l’Institut d’études politiques (IEP) de Lille, Directeur de la conformité à la Commission nationale de l’informatique et des libertés (CNIL), a commencé sa carrière à la CNIL en se consacrant aux problématiques liées aux communications électroniques pour devenir ensuite responsable du Service des contrôles, Auteur d’articles juridiques en lien avec la protection des données ou les autorités administratives indépendantes, Chargé d’enseignement à l’Université PanthéonAssas. Il a également exercé la fonction de directeur adjoint des programmes au Conseil supérieur de l’audiovisuel (CSA). +� [email protected]

Thomas DAUTIEU

[ 25 ]

mailto:[email protected]

Une meilleure gestion et sécurisation des traitements de données par les acteurs économiques permettent de créer un climat de confiance, de nature à renforcer la qualité de la relationclient voire à rassurer les investisseurs. La responsabilisation d’une entreprise quant aux traitements des données de ses employés peut également contribuer à l’amélioration des relations sociales internes dans l’entreprise.

DANS CE CONTEXTE, COMMENT LA CNIL ACCOMPAGNETELLE LES PROFESSIONNELS ? QUELLES SONT SES MISSIONS ET SES ACTIONS SPÉCIFIQUES ? L’une des missions essentielles de la CNIL est d’accompagner les acteurs, en expliquant les règles nouvelles introduites par le Règlement et en mettant à disposition des outils pratiques de conformité : une méthodologie en six étapes pour se préparer au RGPD, des guides et des fiches pratiques, des référentiels, des règlements types, un logiciel pour la réalisation des analyses d’impact, un modèle de registre de traitement de données, etc. Nous assurons également une mission d’information et le conseil auprès des professionnels, notamment des Délégués à la protection des données (DPD/DPO), afin de les aider à s’approprier le RGPD et à mener à bien leurs actions de mise en conformité. La CNIL vient de lancer pour cela une formation gratuite en ligne (MOOC). Enfin, nous menons avec les têtes de réseaux professionnels, au niveau national et par secteur d’activité, un travail de coconstruction d’outils de conformité. La CNIL est également investie au niveau européen, pour mettre en place une réelle coopération avec les autorités de protection européennes au sein du Comité européen de la protection des données personnelles : traitement des plaintes transfrontalières avec la désignation des autorités chefs de file, outils pour les transferts de données, avis et lignes directrices, etc.

EXISTETIL UN DISPOSITIF D’ÉVALUATION DE LA MISE EN CONFORMITÉ EN FRANCE ET EN EUROPE, ET SOUS QUELLE FORME ? Oui, bien sûr. La conformité s’évalue via plusieurs mécanismes : des référentiels de certification, des codes de conduite et, côté CNIL, essentiellement par des contrôles. Le RGPD a introduit une procédure de certification qui permet à un organisme externe dit « tiers certificateur » de garantir qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel. La CNIL peut désormais adopter des référentiels de certification et agréer les organismes en charge de délivrer la certification. Elle a ainsi adopté deux référentiels en matière de certification de DPO.


[ 26 ]


[ 27 ]

Par ailleurs, des codes de conduite pourront être élaborés par les acteurs sectoriels (fédérations, organisations professionnelles) au niveau national ou européen. Ces codes de conduite auront une valeur contraignante puisque le respect de leur application par les acteurs qui y adhéreront sera vérifié par des organismes tiers. La CNIL réalise également des contrôles sur place, sur pièces, sur audition ou en ligne qui peuvent, le cas échéant, aboutir au prononcé de mesures correctrices telles qu’une mise en demeure, une sanction ou une injonction.

LE RGPD EST EN VIGUEUR DEPUIS LE 25 MAI 2018 : DANS L’ENSEMBLE, COMMENT SE DÉROULE LA MISE EN CONFORMITÉ EN FRANCE ? De mieux en mieux. L’entrée en application du RGPD a marqué une prise de conscience très importante des enjeux de protection des données par les professionnels et les particuliers. Le bilan à ce jour montre que les professionnels s’approprient le texte et les outils de mise en conformité. Les chiffres sont éloquents : 18 000 DPO désignés, représentant 51 000 organismes, plus de 1170 notifications de violations de données à caractère personnel et 130 000 téléchargements de l’outil PIA permettant la réalisation d’analyses d’impact sur la protection des données. En parallèle, le nombre de plaintes reçues par la CNIL a considérablement augmenté (+ 32,5 %) et leur instruction est aussi un moyen pour les organismes mis en cause de retravailler leur conformité, particulièrement en matière d’information des personnes concernées et d’exercice des droits.

QUELS SONT LES POINTS DE MISE EN CONFORMITÉ LES PLUS AISÉS À METTRE EN PLACE POUR LES ORGANISATIONS SELON VOUS ET POURQUOI ? Le RGPD s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978. Les grands principes de protection des données et les garanties apportées aux personnes (information et droits) sont inchangés. Les acteurs appliquent donc déjà en pratique les principes essentiels énoncés par le RGPD. S’il n’y a pas à proprement parler de mesure plus « aisée » qu’une autre à mettre en place, l’établissement du registre permettant de cartographier l’ensemble des traitements de données est une action de conformité facilitant ensuite la définition des mesures requises par le RGPD et leur mise en place.

QUELS SONT LES FREINS À LA MISE EN CONFORMITÉ AU SEIN DES ORGANISATIONS ET COMMENT Y REMÉDIER ? Le nouveau cadre juridique de protection des données est parfois vu comme difficile à appréhender par les organisations qui craignent en outre que la mise en conformité représente un coût humain et financier trop important. C’est pour cela que la CNIL propose aux acteurs plusieurs outils d’accompagnement qui peuvent les aider à poursuivre leur application des principes déjà existants de protection des données. Il est tout à fait possible pour les professionnels de parvenir à une conformité sans investissement humain ou financier insurmontable.

COMMENT LES PETITES ORGANISATIONS, TPE/STARTUPS, RÉAGISSENTELLES À LA MISE EN CONFORMITÉ ET QUELLES SONT VOS ACTIONS POUR LES AIDER ? Beaucoup de fausses idées circulaient au sein des TPE/PME/startups à l’approche du RGPD : par exemple, l’obligation de recueillir le consentement pour tous les traitements, ou encore l’interdiction de transmettre à des tiers les données collectées. La CNIL sensibilise donc ces acteurs à ce nouveau cadre juridique et leur fournit des outils pratiques et adaptés, comme le Guide RGPD TPE/PME élaboré en collaboration avec BPIFrance. Une certaine montée en maturité sur la protection des données personnelles a pu être constatée. Il reste toutefois une marge importante de progression et encore une certaine difficulté à appréhender le texte. La CNIL poursuit donc son accompagnement et travaille avec les fédérations professionnelles qui connaissent les spécificités métier afin notamment, d’éditer des guides pratiques sectoriels. Enfin, la CNIL a développé sur son site un espace dédié aux startups qui peuvent y trouver des informations utiles et dédiées.

À TERME, QUELLES SONT LES CLÉS D’UNE BONNE GOUVERNANCE DE LA MISE EN CONFORMITÉ POUR TOUTES LES ORGANISATIONS PROFESSIONNELLES ? Pour mener à bien et assurer sur le long terme la conformité d’une organisation au RGPD, il est important de construire une gouvernance interne des données robuste et durable. Il faut donc bien identifier la ou les personnes en charge de la conformité au sein de l’organisation, l’acteur privilégié étant pour cela le Délégué à la protection des données (DPO) qui a une mission d’information, de conseil et de contrôle en interne. Il convient également de veiller au respect du principe essentiel de responsabilisation par la mise en œuvre de mécanismes et de procédures internes démontrant le respect des règles de protection de données de façon continue : mettre à jour un registre des traitements, réaliser des analyses d’impact, des procédures internes en cas de violation de données, des contrats avec les soustraitants, etc.


[ 28 ]


Mots clés : Données de santé, Marché unique numérique (MUN), Protection des données, Santé publique, RGPD

LE MARCHÉ UNIQUE NUMÉRIQUE DES DONNÉES ET LA SANTÉ À L’HEURE DU RGPD : LES

SPÉCIFICITÉS DE LA SANTÉ PUBLIQUE EN EUROPE Le Marché unique numérique (MUN), lancé en 2015, vise d’abord à stimuler l’offre de services dans l’ensemble de l’Union européenne, via la transition numérique vers une société digitale inclusive, grâce au développement de standards pour l’interopérabilité sur la Toile. En matière de services à la personne, le MUN doit notamment aider les pays de l’UE à répondre aux défis de santé publique en favorisant l’accès numérique des patients et des professionnels aux données de santé. Mais l’ouverture du MUN en ce domaine se heurte à de nombreuses barrières, tant opérationnelles que règlementaires, qui freinent l’échange des données de santé entre ces pays. Si le Règlement sur l’accès aux données électroniques (UE 2018/1807) a pour objet la levée de ces barrières, le Règlement général pour la protection des données (UE 2016/679) réaffirme le caractère hautement sensible des données de santé et la nécessité de les sécuriser par des actions spécifiques.

Dominique DESBOIS Ingénieur Inra en fouille de données à l’UMR Économie publique d’AgroParisTech, il est l’auteur d’une thèse consacrée à l’économétrie des coûts. Membre du comité de rédaction de la revue Terminal et représentant français au comité technique TIC et Société de l’International Federation for Information Processing. +� Inra Économie publique

http://www6.versaillesgrignon.inra.fr/economie_publique/ PagesPerso2/DominiqueDesbois

Dominique DESBOIS

[ 29 ]

http://www6.versailles-grignon.inra.fr/economie_publique/ PagesPerso2/Dominique-Desboishttp://www6.versailles-grignon.inra.fr/economie_publique/ PagesPerso2/Dominique-Desbois

[ 30 ]


En 2015, la Commission européenne (CE), présidée par JeanClaude Juncker, proposait comme priorité no 2 de son programme un plan stratégique pour le Marché unique numérique (MUN). Objectif : unifier les 28 marchés nationaux tout en les protégeant d’une prédation des GAFAM10 et autres multinationales de l’intermédiation numérique. Comment y parvenir ? L’UE souhaite mettre en œuvre des initiatives favorisant l’innovation et les technologies numériques européennes clés, tout en garantissant l’absence de prix de prédation11 pour les entreprises et, pour les citoyens, les droits d’accès et de protection des données personnelles, particulièrement celles relatives à leur santé. Les enjeux sont importants : selon les estimations de la CE, le MUN en régime pleinement opérationnel représenterait jusqu’à 415 milliards d’euros (€).

LE MUN : SOUTENIR L’ÉCONOMIE DES ÉCHANGES NUMÉRIQUES L’objectif global du MUN est de soutenir l’économie des échanges numériques via Internet12. Il s’agit de stimuler ce marché tant du côté de la demande en incitant les consommateurs à acheter sur Internet dans toute l’Europe, que du côté de l’offre en encourageant les entreprises à développer la vente en ligne audelà de leurs frontières nationales. Les principales initiatives du MUN visent à favoriser l’émergence des acteurs du marché, ce qui passe par une meilleure régulation de la concurrence et la suppression des obstacles règlementaires entre Étatsmembres. Les chantiers en cours liés au MUN sont nombreux : favoriser les activités commerciales des plateformes, encourager la réutilisation des données publiques, combler le manque de compétences, redéfinir les contours du droit d’auteur, renforcer la protection des personnes et organiser la gestion des données de santé hautement sensibles. Même si le MUN prend forme comme le laisse supposer l’indice relatif à l’économie et à la société numérique (DESI)13 pour 2019, avec la Finlande, la Suisse, la Hollande et le Danemark obtenant de bons scores, en revanche la GrandeBretagne, la Lituanie ou la France située au 18e rang, illustrent les écarts encore importants qui persistent d’un Étatmembre à l’autre.

10 Google, Apple, Facebook, Amazon et Microsoft. 11 Le prix de prédation se définit comme un prix de vente situé sous le coût de revient marginal ;

la pratique de prix de prédation a pour but d’éliminer du marché un ou plusieurs concurrents. 12 Celuici reste faible : seulement 15 % des citoyens européens effectuent des achats en ligne

dans un pays de l’UE contre 44 % dans leur propre pays et 7 % des entreprises européennes vendant à l'étranger : https://www.consilium.europa.eu/fr/policies/digitalsinglemarket/

13 Digital Economy and Society Index : https://ec.europa.eu/digitalsinglemarket/en/desi

https://www.consilium.europa.eu/fr/policies/digital-single-market/https://ec.europa.eu/digital-single-market/en/desi

[ 31 ]


Parmi les mesures envisagées figurent notamment : la suppression des frais d’itinérance ; la portabilité transfrontière des contenus numériques ; l’interdiction de blocage géographique14 ; le renforcement des capacités en cybersécurité ; le développement du haut débit, y compris la cinquième génération (5G) de mobiles ; et, last but not least, le renforcement de la protection des données individuelles, notamment celles relatives à la santé.

LE RGPD EN APPUI DU MUN Le RGPD, entré en vigueur en 2018, s’inscrit dans ce cadre : il contribue à la volonté européenne de créer un MUN soutenant l’essor d’une économie européenne fondée sur les données15, dans un contexte d’avalanche de données (Big data) afin de permettre le partage d’informations et la libre circulation des données non identifiantes, au sein de l’Union européenne. Au niveau international, il existe déjà un certain nombre de ressources considérées comme essentielles du fait de leur couverture thématique ou géographique pour la conception et le suivi des politiques publiques de santé via des systèmes d’indicateurs standardisés fondés sur des données agrégées : ce sont les banques de données du FMI, de l’OCDE16, de la Banque mondiale17, et en Europe, celles de l’OMS18 et de l’Union européenne, notamment l’Enquête européenne sur la qualité de vie, l’Enquête sociale européenne, et le système Chronos d’Eurostat. Au niveau national, les pays les plus avancés ont développés des portails nationaux d’accès aux données anonymisées de leurs enquêtes de santé publique comme aux USA19, au RoyaumeUni20, ou la France avec son Portail Épidémiologie21. Cependant, la multiplication des dossiers médicaux électroniques individuels appelle une protection renforcée des données personnelles de santé en raison de leur caractère hautement sensible et à une standardisation des formats électroniques pour faciliter les échanges entre professionnels dans le respect du secret médical. Il s’agit également de restaurer la confiance des usagers mise à mal par les pratiques de certains opérateurs, notamment publics22. Ce fut

14 Un accord sur les fréquences radioélectriques nécessaire au déploiement du haut débit a été trouvé en décembre 2016. Il permettra aux opérateurs mobiles un accès exclusif à la bande 700 MHz (694790 MHz) d’ici 2020.

15 https://eurlex.europa.eu/legalcontent/FR/TXT/HTML/?uri=CELEX:52017DC0009&rid=1 16 http://www.oecd.org/fr/els/systemessante/basedonneessante.htm 17 http://blogs.worldbank.org/opendata/introducingonlineguideworlddevelopmentindicatorsnew

waydiscoverdatadevelopment 18 https://gateway.euro.who.int/en/ 19 https://healthdata.gov/ 20 https://www.ukdataservice.ac.uk/getdata/themes/health 21 https://epidemiologiefrance.aviesan.fr/ 22 Ainsi, en février 2018, la Commission nationale Informatique et Libertés dénonçaitelle des

« insuffisances de sécurité » au sein du système d’information national interrégimes d’assurancemaladie (SNIIRAM).

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017DC0009&rid=1http://www.oecd.org/fr/els/systemes-sante/base-donnees-sante.htmhttp://blogs.worldbank.org/opendata/introducing-online-guide-world-development-indicators-new-way-discover-data-developmenthttp://blogs.worldbank.org/opendata/introducing-online-guide-world-development-indicators-new-way-discover-data-developmenthttps://gateway.euro.who.int/en/https://healthdata.gov/https://www.ukdataservice.ac.uk/get-data/themes/healthhttps://epidemiologie-france.aviesan.fr/

l’objet de la loi française du 26 janvier 2016 sur la modernisation du système de santé remplaçant la procédure d’agrément des hébergeurs par une procédure de certification au 1er janvier 2019. À ce même titre, la CE a souhaité sécuriser le stockage des données individuelles de santé et leur traitement, en particulier pour les données massivement produites par les entreprises et les usagers ou encore les scientifiques, en renforçant les droits des individus et les responsabilités des opérateurs sur les informations de santé dans le RGPD.

LES SPÉCIFICITÉS DU MARCHÉ UNIQUE NUMÉRIQUE POUR LES DONNÉES DE SANTÉ : DÉFIS, INÉGALITÉS, DISPARITÉS INTERNES ET EXTERNES En matière de santé publique, l’Union européenne (UE) doit répondre à de nombreux défis. Tout d’abord, l’accroissement des maladies chroniques qui exercent une pression sur les budgets de la santé publique : les dépenses publiques de santé s’établissaient à 9,6 % du PNB européen en 2017 contre 8 % en 2015, et elles pourraient dépasser 12,5 % en 2060. Souvent évoqué, l’impact du vieillissement reste faible (+ 3 %), d’un ordre de grandeur sans commune mesure avec l’influence des changements de pratiques thérapeutiques (+ 58 %), principalement dans les pathologies lourdes. Au regard des difficultés prévisibles de financement de ces dépenses publiques en hausse, le gaspillage des soins de santé, estimé à 20 %, apparait d’autant plus insoutenable. D’autre part, les inégalités de qualité et d’accès aux services de santé perdurent voire s’amplifient non seulement entre Étatsmembres mais également au sein des Étatsmembres. De facto, la pénurie de professionnels de la santé et leur inégale répartition spatiale entre les différents territoires de l’UE tend à renforcer les inégalités d’accès existantes. Par ailleurs, de nouvelles menaces pèsent sur la santé humaine : antibiorésistance, retour ou extension de certaines pandémies.

STRATÉGIE ET LEVIERS : RECHERCHE, INNOVATION, RESPONSABILITÉ INDIVIDUELLE, ACCÈS NUMÉRIQUE AUX DONNÉES Au plan des données de santé, l’UE déploie une stratégie de santé publique fondée sur la recherche scientifique et l’innovation technologique, mais aussi sur une éthique de soins centrée sur la responsabilité individuelle des patients. Cette stratégie entend instituer des mécanismes de participation volontaire à la recherche en santé publique qui s’appuient sur la pratique clinique pour permettre des diagnostics ciblés et des traitements individualisés plus rapides à mettre en œuvre. L’un des leviers technologiques est de rendre pleinement opérationnel l’accès numérique aux données de santé, pour les patients mais aussi pour les presta


[ 32 ]


[ 33 ]

taires de soins et de services médicaux, afin de pouvoir échanger ces données de manière sécurisée sur l’ensemble du territoire européen. Or, actuellement, seulement 9 pays ont implanté un accès en ligne pour les patients au niveau national à leurs données de santé. Et l’accès reste encore limité en termes d’information médicale, souvent réduite au profil identitaire du patient, comme en Hongrie et en Finlande.

LE RGPD : SÉCURISER LA GESTION DES DONNÉES DE SANTÉ, HAUTEMENT SENSIBLES Dans ce contexte, le RGPD contribue à sécuriser la gestion des données de santé par des dispositions spécifiques :

• en leur conférant le statut de données personnelles à caractère sensible ;

• en distinguant spécifiquement données génétiques et données biométriques ;

• en prévoyant que leur traitement s’appuie sur un motif légitime ; • en stipulant que les organismes collecteurs doivent obtenir

le consentement explicite des patients sauf pour des considérations d’intérêt général ayant trait à la santé publique ou à la recherche scientifique ;

• en prévoyant une évaluation d’impact relative à la protection des données pour le traitement des données de santé à grande échelle (Data Protection Impact Assessment - DPIA) ;

• en organisant le portage des données pour les patients, essentiel pour la communication et l’échange des données de santé.

DOSSIER ÉLECTRONIQUE DE SANTÉ : VERS UN ACCORD OPÉRATIONNEL SUR LE FORMAT DES DONNÉES ? Cependant, l’absence d’un accord opérationnel en matière de format pour les données de santé continue d’agir comme une barrière à l’adoption d’un dossier électronique de santé à l’échelle européenne. Aussi, afin d’améliorer les conditions d’accès, la Commission européenne promeut une infrastructure de services numériques (eHealth) qui fournirait les services transfrontaliers fondamentaux pour la communication électronique des actes médicaux et profils de patients. Le 23 mars 2017, l’UE a publié un cadre pour l’interopérabilité des dossiers de santé électroniques existants, l’European Interoperabilty Framework (EIF), aboutissant à une recommandation du 6 février 2019 relative à un format européen d’échange des dossiers de santé informatisés.

Armen KHATCHATOUROV Ingénieur de formation initiale et docteur en philosophie de la technique (2005). Il est enseignantchercheur à Institut MinesTélécom Business School, membre de la Chaire « Valeurs et Politiques des Informations Personnelles » de l’Institut MinesTélécom. Auparavant, il a travaillé dans la recherche publique comme privée, notamment comme chef de projet IHM dans le cadre du Réseau d’Excellence européen Enactive Interfaces (UTC et INPG), chef de projet IHM IA à Sony Computer Science Lab Paris, ainsi qu’à l’Institut de Recherche et d’Innovation/Centre Pompidou. Il est en charge de la direction adjointe de la revue Études Digitales (Classiques Garnier). Il a publié plusieurs travaux sur la transformation numérique et ses conséquences sur la société, les organisations et l’identité, dont Les identités numériques en tension, entre autonomie et contrôle (ISTE Editions/Wiley). Il a enseigné à IMTBS, aux Ponts et à l’UTC, ainsi que dans les écoles de design (EESI, Strate).

[ 34 ]


LA QUESTION DES IDENTITÉS NUMÉRIQUES À L’ÈRE DU RGPD : PRIVACY OU PROTECTION

DES DONNÉES ? Le Règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018. Plaçant l’Europe à l’avantgarde de la protection des données à caractère personnel, il constitue à ce titre une avancée majeure en la matière. Il serait cependant dommage de s’arrêter en si bon chemin, en pensant que les questions de privacy sont désormais réglées. En particulier, ce nouveau règlement ne doit pas nous dissuader de nous interroger en profondeur sur la question des identités, dont les contours se sont redéfinis à l’ère numérique : il convient alors de conserver une approche critique envers le RGPD et ses propres limitations.

Armen KHATCHATOUROV

Mots clés : Consentement, Identités numériques, Privacy, Protection des données, RGPD

[ 35 ]


DE LA NOTION DE PRIVACY À LA NOTION DE DATA PROTECTION Le premier élément, souvent sousestimé, concerne la transformation de la notion de Privacy by Design (PbD) en Data Protection by Design (DPbD). PbD apparaît à la fin des années 1990 et correspond à une approche dans laquelle la privacy est un problème global qui demande des mesures interconnectées, tant technologiques et de design, qu’organisationnelles ou de modèles d’affaires. Dans PbD, le by Design ne signifie donc pas, à notre sens, telle ou telle mesure qui porte sur le vecteur du problème (les données), mais une approche en amont, qui considère l’espace du problème tout entier, en mettant en œuvre des systèmes sociotechniques qui, dans leur conception même, sont capables soit de prévenir les abus potentiels, soit de rendre explicites leurs modalités de fonctionnement et d’orienter les choix des utilisateurs dans le sens d’un meilleur exercice de leur privacy. Tout en s’inspirant de ce principe, le RGPD s’appuie sur une notion différente, celle de DPbD. Le passage de l’une à l’autre a attiré peu d’attention dans le débat public, à quelques exceptions près. Or, ni le vocable de privacy ni celui de PbD n’apparaissent dans le texte du RGPD, contrairement aux autres textes parmi lesquels notamment la Directive Protection des données à caractère personnel de 199523, que le RGPD remplace, ou la directive Vie privée et communications élec-troniques de 200224, qui « devrait être modifiée en conséquence ». Ce glissement sémantique peut être interprété de différentes manières. Ainsi, certains argumentent25, à juste titre, que la législation en question ne concerne que l’aspect « données personnelles » d’un champ (trop) vaste de privacy qui, lui, se confond presque avec la liberté que le concept de privacy n’est pas directement opérationnalisable dans le contexte législatif ; et qu’il est donc opportun et sage de passer à celui de DPbD. Même si l’on peut être d’accord avec cette analyse, il convient d’examiner les effets de ce glissement. Tout d’abord, il y a bien sûr les effets communicationnels.

23 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

24 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

25 Mireille Hildebrandt & Laura Tielemans, Data Protection by Design and Technology Neutral Law, Computer Law & Security Review, vol. 29, no 5, 2013, p. 509521.

La majorité des acteurs du domaine et des utilisateurs est maintenant convaincue26, par une sorte d’illusion d’optique, que le RGPD implémente effectivement le PbD, ce qui à notre sens peut conduire à baisser la garde sur ces sujets27. Plus fondamentalement, il convient aussi de souligner ce qui est perdu dans ce passage : il existe à notre sens, une différence fondamentale entre la recherche de privacy et la protection des données personnelles.

QU’ESTCE QUE LA PRIVACY ? Les politiques actuelles sur la protection des données mettent l’accent sur les droits de la personne. Mais on considère le plus souvent, dans ces textes, un sujet déjà constitué, capable d’exercer ses droits et sa volonté. Or, le propre des technologies numériques est de participer à la formation des subjectivités selon un mode nouveau : en redistribuant sans cesse le jeu des contraintes et des incitations, elles créent les conditions d’une plus grande malléabilité des individus28. En ce sens, les enjeux de la privacy ne concernent pas tant la protection des individus déjà constitués, sujets du droit, que les processus de subjectivation. La privacy n’est pas une protection contre l’intrusion dans la sphère propre à l’individu ou un « droit à rester tranquille ». L’enjeu de la privacy est de permettre un espace de jeu, un espace d’indétermination dans lequel l’individualité peut advenir dans les pratiques quotidiennes, un espace dans lequel l’initiative de négociation des frontières entre le soi et la société est laissée à l’individu29. Bref, il y là une différence fondamentale entre la « personne concernée » (data subject) sur lequel porte le RGPD et la personne en devenir, dont l’identité est en construction permanente. Thématiser cette différence nous semble nécessaire afin de ne pas rabattre la problématique de l’identité sur celle du simple traitement des données personnelles, afin de saisir ce qui, dans l’identité, est en excès sur la simple « protection de ses données ». C’est à ces conditions que le processus de la construction de l’identité peut prendre place de manière à permettre l’autonomie de la personne, ellemême condition des échanges sociaux. À l’inverse, passer sous silence ces


26 Ainsi

ENTRE CONTRAINTES ET INNOVATION : LES DÉFIS DE LA MISE … · 2019. 11. 8. · i2D - LE RGPD,...

Documents

Transcript of ENTRE CONTRAINTES ET INNOVATION : LES DÉFIS DE LA MISE … · 2019. 11. 8. · i2D - LE RGPD,...