Le Règlement général sur la protection des données : quelles solutions pour restaurer la confiance du consommateur numérique ?

Mairlot MiguelMiguel Mairlot
Manager
AVANTAGE REPLY

Miguel Mairlot est intervenu lors de la conférence compliance en assurance le 15/10/2015.L’enjeu du numérique

Le volume de données numériques augmente de manière exponentielle : plus de 90 % de l’ensemble des données disponibles ont été créées ces deux dernières années. L’accroissement des données s’explique principalement par le développement des nouvelles technologies, dans la mesure où elles sont le plus souvent collectées sur internet ou à l’aide d’objets connectés (PC, tablettes, smartphones, smartwatches, …).

Sur le plan du respect de la vie privée, il est essentiel d’instaurer un climat de confiance chez les utilisateurs de services en ligne. S’ils n’ont pas confiance, les consommateurs hésiteront à faire des achats en ligne et à recourir à de nouveaux services, ce qui risque de ralentir l’innovation dans l’utilisation des nouvelles technologies et l’économie du numérique dans son ensemble.

Un climat de méfiance

En matière de vie privée, les chiffres publiés par la Commission européenne font état d’une grande méfiance des européens par rapport aux services en ligne dans la mesure où seulement 32% d’entre eux font confiance à leurs fournisseurs de téléphonie fixe et mobile, ce chiffre descendant même jusqu’à 22% pour les sociétés internet offrant des services de moteurs de recherche, de réseaux sociaux ou de messagerie électronique.

Les révélations d’Edward Snowden sur le programme de surveillance PRISM, par lequel les données personnelles d’utilisateurs d’internet étaient systématiquement transmises par des géants du Net aux services de renseignements américains (National Security Agency), ont d’ailleurs contribué à faire grandir cette méfiance auprès du public.

En Belgique, cette méfiance est même partagée la Commission de Protection de la Vie Privée qui a obtenu, par jugement du 9 novembre 2015 rendu par le Président du Tribunal de première instance de Bruxelles, siégeant en référé, la condamnation de Facebook Inc., Facebook Ireland Limited et la SPRL Facebook Belgium à cesser l’enregistrement, via des cookies et des plug-ins sociaux, des habitudes de navigation des internautes belges ne disposant pas d’un compte Facebook, sous peine d’une astreinte de 250.000 EUR par jour de non-respect.

Une modernisation du cadre juridique européen

Face à l’évolution fulgurante qu’ont connue les technologies ces dernières années et au contexte de globalisation dans lesquelles les données personnelles s’échangent aujourd’hui tant à l’intérieur qu’à l’extérieur de l’Union européenne, il est apparu comme nécessaire de revoir les principes en matière de protection de la vie privée, tels que contenus dans la Directive 95/45/CE.

Cette volonté de moderniser le cadre réglementaire européen en matière de protection de la vie privée s’est, pour partie, matérialisée dans une proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « Règlement général sur la protection des données »).

Sans remettre en cause le fondement même des principes issus de la Directive, le Règlement général sur la protection des données tend à accroître la sécurité juridique tant pour les responsables du traitement des données que pour les citoyens, réduire la charge administrative, renforcer l’exercice effectif par les personnes physiques de leur droit à la protection des données les concernant et améliorer l’efficacité de la surveillance et du contrôle de l’application des règles en la matière.

De nouveaux droits et obligations

Afin de remplir ces différents objectifs, les nouveautés suivantes ont notamment été apportées au cadre réglementaire existant :

  • Droit à la portabilité des données: il s’agit du droit pour la personne concernée de transférer ses données d’un système de traitement automatisé à un autre, sans que le responsable du traitement ne puisse y faire obstacle ;
  • Droit à l’oubli numérique: ce nouveau droit impose au responsable du traitement, qui aurait rendu publiques des données à caractère personnel, d’informer les tiers de la demande de la personne concernée d’effacer tout lien vers ces données ou les copies ou reproductions qui en ont été faites ;
  • Droit de ne pas être soumis à une mesure fondée sur le profilage :  toute personne concernée a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ;
  • Un champ d’application extraterritorial: les responsables du traitement non établis dans l’Union européenne sont également tenus de se conformer au Règlement général sur la protection des données, lorsque des activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées résidant dans l’Union ou à l’observation de leur comportement ;
  • Des amendes sévères: les autorités de contrôles se voient dotées du pouvoir de sanctionner les infractions administratives constatées au moyen d’amendes pouvant s’élever à 1 000 000 EUR ou, dans le cas d’une entreprise, à 2 % de son chiffre d’affaires annuel mondial ;
  • Les délégués à la protection des données: les entreprises du secteur privé employant plus de 250 salariés (lesdites « grandes entreprises ») ont désormais l’obligation de désigner un délégué à la protection des données ;
  • Notification expresse des violations: dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, celui-ci doit en informer l’autorité de contrôle sans retard injustifié et, lorsque c’est possible, dans les 24 heures;
  • Des simplifications administratives: l’obligation générale de notification aux autorités de contrôle devrait être supprimée et remplacée par des procédures et des mécanismes efficaces ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leur finalité ;
  • « Privacy by design »: le responsable du traitement est tenu d’appliquer, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et les procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme au Règlement général sur la protection des données et garantisse la protection des droits de la personne concernée ;
  • « Privacy by default »: le responsable du traitement a également l’obligation de mettre en œuvre des mécanismes censés apporter la garantie que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.

Un texte final pour 2015 ?

Continuer à faire bénéficier les utilisateurs de services en ligne des apports du numérique, tout en leur fournissant suffisamment de garanties quant à la protection de leurs données personnelles est l’un des challenges épineux auquel nos institutions européennes sont aujourd’hui confrontées.

Le Règlement général sur la protection de données fait l’objet de discussions depuis 2012 au sein du Parlement européen et du Conseil européen. Afin de trouver une solution aux divergences d’opinions entre les institutions européennes, une procédure dite de « trilogue » (soit de négociations tripartites entre le Parlement, le Conseil et la Commission) a été initiée et devrait se clôturer, selon toutes vraisemblances, fin 2015.

Si les principes de « privacy by design » et de « privacy by default » constituent de réelles avancées sur le plan de la protection des données personnelles des utilisateurs de services en ligne et si les lourdes amendes que les autorités de contrôles seront habilitées à prononcer en cas de violation devraient inciter les responsables du traitement à se conformer à ces principes, la possibilité de voir le texte final du Règlement s’écarter de ceux-ci reste néanmoins dans le domaine du possible.

Par conséquent, il conviendra d’être particulièrement attentif aux derniers travaux législatifs qui reflèteront, à n’en pas douter, l’issue d’un combat acharné entre des intérêts aussi complémentaires que divergents.

 

Le Règlement général sur la protection des données sera traité lors de la conférence les enjeux de la sécurité de l’information du 2/02/2016

À propos de l'auteur

jfdsm