Contenu du sommaire : Big data : quelle protection des données personnelles ?

Oscillant entre démarche éthique et principe éminemment juridique qui suppose que les acteurs dans la vie des affaires se conforment à la réglementation en vigueur, la compliance reste difficile à cerner. Indéfinissable, la compliance est en réalité tout autre chose que sa pâle traduction française qui la réduit à la conformité. C'est d'ailleurs à cette traduction qu'il est fait référence dans le RGPD. La compliance n'est pas un mirage, mais un objet dont le droit se saisit comme de coutume au gré des besoins, mais sans prendre la peine de le définir. Or, la démarche qui y est sous-tendue entre difficilement dans nos catégories juridiques, et suppose à tout le moins, la mise en œuvre d'une méthode de respect des règles qui se développe à l'endroit des responsables de traitement des données, sous le regard bienveillant des autorités de régulation. Le but est de garantir un niveau de protection élevé des individus dans le respect des droits de la personnalité, mais également l'intégrité des données jusqu'au dernier maillon de la chaîne. Dans le domaine de la protection des données personnelles, la compliance s'impose à la lecture du RGPD comme la seule manière de moraliser le marché par l'implication des acteurs.

Le RGPD met en place un nouvel équilibre de droits, d'obligations et de sanctions, fondé principalement sur les concepts d'accountability et de Privacy by design. Il aura des conséquences sur les enjeux de gouvernance des données à caractère personnel au sein des organisations, qui devront s'adapter à un principe de responsabilité accru. Le modèle de régulation retenu repose sur un pacte social entre les acteurs publics et privés, nécessaire à l'élaboration et à l'application de règles permettant le respect de la réglementation européenne. Si le RGPD implique nécessairement de nouvelles contraintes pour les entreprises, il constitue aussi une opportunité, celle d'être plus transparentes sur leur politique de protection des données personnelles afin de donner confiance aux citoyens sur la gestion de leurs données, en s'inscrivant dans une démarche de corégulation et d'innovation responsable. En effet, le recours au seul droit positif n'est pas toujours pertinent et doit s'envisager en combinaison avec d'autres types de normativités. Le RGPD prend également en compte la montée en puissance des consommateurs du fait des réseaux sociaux, en accordant de nouveaux droits pour les individus, parmi lesquels le consentement renforcé, le droit à l'oubli et à la portabilité.

Le recours croissant aux outils et services numériques à l'ère de la globalisation occasionne des transferts de données personnelles au-delà des frontières d'un pays donné, notamment vers des pays tiers à l'Union européenne. À l'aune de la réglementation encore en vigueur, le transfert de données personnelles en dehors de l'UE est en principe interdit, sauf si le pays destinataire a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat et dans le cas contraire, lorsque le transfert est encadré par des garanties permettant d'assurer une protection aux données transférées. Le RGPD reprend en substance le cadre actuel. Il introduit dans le même temps un certain nombre de nouveautés ayant des conséquences non négligeables en pratique. Elles concernent, au titre du cadre général des transferts, le champ d'application des règles relatives aux transferts ainsi que l'introduction de restrictions particulières pour les transferts en réponse à des demandes de juridictions ou d'autorités étrangères. Ces nouveautés concernent également les outils d'encadrement des transferts ainsi que les dérogations à l'interdiction des transferts.

La réflexion sur la protection des données personnelles a creusé les fondations d'un droit à l'information. Selon l'usage des données contenues dans l'information délivrée, se pose la question de leur communicabilité, confidentialité ou enregistrement. Cependant, si l'information est indéniablement un vecteur de transparence, et un outil d'autodétermination des personnes dont les données ont été collectées, il n'en demeure pas moins que certaines collectes, traitements ou conservations de données restent opaques. La réflexion permet également d'asseoir les instruments de régulation de façon à préserver ou réduire l'accès aux informations nominatives par les tiers. La protection des données personnelles ne peut donc pas être opposée au droit à l'information avec la même intransigeance que le droit à la vie privée, la collecte des données obéissant souvent à des motifs techniques ou d'intérêt général. Le dispositif légal fait cependant utilement barrage à la mise en œuvre intempestive d'un droit à l'information. Toutefois, le changement d'échelle résultant de la diffusion des données sur le réseau internet invite à reconsidérer certaines pratiques de mise à disposition, donc d'accès aux données, fussent-elles légales. L'équilibre est à trouver à l'heure du big data et l'open data.

Le droit à la vie privée et la protection des données à caractère personnel se complètent du fait de l'avènement de l'informatique, puis de la généralisation du numérique. La reconnaissance d'un droit à la protection des données personnelles en Europe vient en réalité muscler le droit à la vie privée, au détriment de la liberté d'expression et du droit à l'information. Le droit à la protection des données à caractère personnel ne peut se comprendre qu'à l'aune du droit à la vie privée. Le lien qui unit la protection de la vie privée et la protection des données à caractère personnel est consacré par les textes et la jurisprudence. Mais le RGPD distend quelque peu ce lien, car le droit à la vie privée ne fait pas l'objet d'une réception distincte des autres droits et libertés fondamentaux. Il faut probablement y voir la consécration officielle d'un droit autonome à la protection des données à caractère personnel, même si l'esprit du règlement conforte ce lien au même titre que la jurisprudence. D'ailleurs, celui-ci réapparait dans le RGPD par la consécration d'un droit à l'oubli, alors même qu'il génère des réactions ambivalentes tant il apparaît comme une réponse parfois indispensable, parfois excessive.

Cette contribution, extrêmement fouillée et très pratique, fait le point sur la réglementation applicable à la publicité ciblée, potentiellement attentatoire à la vie privée des internautes. Ce risque d'atteinte est encadré par deux textes européens, l'un visant la protection des données à caractère personnel, l'autre protégeant la vie privée (privacy). Le cumul de ces deux corps de règles rend l'encadrement de la publicité ciblée relativement complexe. Cette complexité s'accroit du fait des interprétations divergentes des textes et de leur évolution prochaine. L'analyse de ces deux textes permet de se pencher en filigrane sur la question du consentement, l'un des points phare concentrant l'attention en vue de l'entrée en vigueur du RGPD. L'application combinée de ces règles aux pratiques de la publicité ciblée n'est pas toujours aisée, également au regard de la multitude d'acteurs opérant dans ce secteur et de l'intrication de nombreux flux de données entre les acteurs. Ces pratiques font d'ailleurs régulièrement l'objet de l'attention des autorités de contrôle nationales, comme la CNIL, et des juridictions nationales comme européennes. Outre les implications de ces règles du jeu, cette étude présente des ébauches de solutions afin de remédier à l'insécurité juridique pesant sur les acteurs du secteur.

Près de quarante ans après son entrée en vigueur, les principes fondateurs de loi Informatique et libertés sont toujours pertinents. C'est la raison pour laquelle les législateurs ont fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978 mais de la modifier dans le cadre de l'entrée en application du règlement général sur la protection des données (RGPD). La loi relative à la protection des données qui sera prochainement adoptée a pour objet d'assurer la mise en conformité de notre droit national avec les nouvelles exigences européennes et surtout de préciser, par le biais de la cinquantaine de marges de manœuvre du RGPD, certaines dispositions ou d'octroyer plus de garanties que ce que prévoit le droit européen. La nouvelle législation sur la protection des données personnelles, qui nécessite de combiner la lecture du RGPD à la loi Informatique et libertés, repose sur une logique de mise en pouvoir d'agir des individus, notamment par la promotion d'un nouveau droit emblématique : le droit à la portabilité des données. Il s'agit désormais de penser plus généralement ce droit dans le contexte de la construction progressive d'un droit de la donnée.

Le correspondant informatique et libertés (CIL), dont la désignation est aujourd'hui facultative – hormis dans le cas où l'organisme souhaite obtenir le label « gouvernance » de la CNIL, est un acteur important de la conformité en matière de protection des données à caractère personnel, notamment au sein des grands organismes. L'actuel CIL a la possibilité de « faire toute recommandation au responsable des traitements » et de sensibiliser l'encadrement et l'ensemble des salariés sur la protection des données au sein de leur organisme. Avec l'entrée en vigueur du RGPD, le Data protection officer (DPO) va succéder, dans certains cas, à l'actuel CIL. Mais ses missions et son rôle sont, en raison de l'évolution de la conformité au sein des organismes, différents et plus étendus que ceux de l'actuel CIL. Pour autant, cette contribution revient sur le rôle spécifique du DPO dans le cadre des entreprises de communication afin de montrer à quel point son action sera déterminante lorsqu'il s'agira de mettre en œuvre des actions de marketing, d'encadrer et de communiquer sur le traitement et la protection des données. Dans certains cas, le CIL pourrait se maintenir et compléter son action afin de concilier au mieux le respect de la liberté d'expression au regard de la protection des données personnelles.