LEBIGDATA.FR I.A, Cloud & Cybersécurité
Une étude publiée par l'Institut Montaigne met en lumière les principales faiblesses du RGPD. Afin de recueillir un autre avis sur la question, nous nous sommes entretenus avec Jean-Guy de Ruffray, avocat associé spécialisé dans la protection des données personnelles…
Le 12 décembre 2019, l'Institut Montaigne publiait une étude sur le Règlement général sur la protection des données (RGPD). À travers ce rapport, le rédacteur François Godement pointe du doigt les faiblesses du règlement européen.
Afin de recueillir un autre point de vue, nous nous sommes entretenus avec l'avocat associé Jean-Guy de Ruffray du cabinet Altana, spécialisé dans le droit du numérique et la protection des données personnelles…
En tant qu'avocat, qu'avez-vous pensé de l'étude de l'institut Montaigne ?
C'est une étude remarquablement bien écrite et très intéressante, avec de bons constats et analyses sur l'utilisation des données dans le monde avec en plus une analyse comparative entre les différents continents
Toutefois, cette approche prospective ne m'est donc pas d'une grande aide dans ma profession car le RGPD est ici traité sous l'angle économique, presque philosophique. Or, dans ma vie quotidienne d'avocat, je suis davantage confronté à des questions concrètes de la part de mes clients. Ce dont ils ont envie, c'est de savoir ce qu'il faut qu'ils mettent en oeuvre pour ne pas être sanctionnés.
D'une manière générale, c'est d'ailleurs le principal inconvénient du RGPD à mes yeux : ce texte est trop général. C'est un arsenal de 99 articles ajoutés à des considérants absolument interminables, et certaines règles sont incluses dans les considérants et non pas dans les articles, ce qui en termes de technique législative est très contestable.
D'ailleurs même son nom l'indique : le règlement » général « pour la protection des données. Normalement, au niveau de l'UE, contrairement à une directive qui est transposée à la loi locale de chaque État membre avec une marge d'appréciation, un règlement n'est pas censé être général.
Un règlement est juridiquement d'application directe dans la législation de chaque État membre, et se doit donc d'être concret. Au final, le RGPD est une directive qui ne donne pas son nom.
D'ailleurs, en France, on a jugé nécessaire de modifier la loi Informatique et Libertés pour y « transposer » le RGPD. Cela veut tout dire.
La conséquence de cette absence d'approche concrète est que les acteurs économiques sont en permanence confrontés à des problématiques d'interprétation et de mise en oeuvre pratique.
Normalement le rôle de la CNIL et des autorités de contrôle européennes est d'aider à la compréhension du texte.Or, la CNIL elle-même n'a pas encore fixé de guideline pour de nombreux volets du RGPD. Pour l'heure, les conseils donnés par la CNIL antérieurs au RGPD (normes simplifiées, avis…) restent, faute de mieux, celles auxquelles il faut se référer. Cela montre bien qu'il y a un travail de concrétisation et d'explicitation qui n'a pas encore totalement été fait.
Est-ce que cette généralité du RGPD pose problème à vos clients à l'heure actuelle ?
Oui, prenons l'exemple de la durée de conservation. Le RGPD donne une règle très générale, que l'on trouve également dans la Loi Informatique et Libertés : les données ne doivent pas être conservées plus longtemps que nécessaire par rapport à la finalité pour laquelle elles ont été collectées.
Dans ce texte, il y a un esprit d'auto-contrôle et d'auto-compliance : c'est aux acteurs de se débrouiller ensuite avec cette règle générale.
Or, les entreprises ne voudraient pas nécessairement de règle précise, mais au moins un guide leur permettant de savoir combien de temps elles peuvent conserver les données pour tel ou tel type de traitement.
Les textes sont trop flous, et les entreprises se réfèrent donc toujours à des normes simplifiées qui ne sont plus censées exister juridiquement. Elles ne savent pas donc pas vraiment ce qu'elles doivent faire, mais se savent menacées par des sanctions très importantes. On peut donc comprendre qu'elles soient déstabilisées.
Pensez-vous que les autorités de protection des données comme la CNIL et le législateur européen soient conscients de ce décalage entre théorie et pratique ?
Je pense que beaucoup de situations concrètes n'ont pas été anticipées, et ne sont encore aujourd'hui pas bien appréhendées par les autorités de contrôle compte tenu des charges lourdes qu'elles font peser sur les entreprises et des frais en conseil extérieur…
Un autre exemple de difficulté concrète d'application du RGPD : dans une relation de responsable de traitement à sous-traitant, il faut dorénavant conclure un contrat écrit comportant des mentions rendues obligatoires par l'article 28 du RGPD.
À mon avis, c'est quelque chose qui n'a absolument pas été appréhendé par les rédacteurs du RGPD et par les autorités de contrôle.
Lorsque j'ai abordé ce point avec des exemples où on peut s'interroger de la nécessité de conclure un contrat écrit, lors d'une intervention à une conférence, un représentant de la CNIL m'a indiqué ne pas avoir forcément conscience que cela pouvait concerner autant de situations.
Est-ce que vous pensez que le RGPD va subir de nombreuses mises à jour au fil du temps ? Est-ce que cela ne risque pas de créer encore plus de trouble ?
Je ne pense pas qu'il faille mettre à jour le RGPD. Je pense surtout qu'il faut le préciser. Ce texte a été conçu pour de gros acteurs qui font des données leur core business, notamment pour lutter contre certaines pratiques des GAFAM.
Pourtant, paradoxalement, à terme, les grandes entreprises parviendront à se conformer au RGPD parce qu'elles en ont les moyens et que les données sont leur core business. En revanche, toutes les PME et ETI en Europe sont confrontées à des difficultés de mise en oeuvre.
Le problème est donc qu'il n'y a pas de seuil d'applicabilité, et que le texte s'applique à toutes les entreprises de la plus petite PME à la plus grosse multinationale.
Quand je lis que l'une des propositions du rapport de l'Institut Montaigne est de renforcer le contrôle et l'application du RGPD, je pense que c'est trop théorique. En revanche, l'adaptabilité en fonction de la taille de l'entreprise me semble être une bonne idée.
La proposition d'instaurer des règles sectorielles est elle aussi pertinente. En adaptant les règles en fonction du secteur (santé, assurance, banque par exemple ne posent pas les mêmes difficultés que d'autres secteurs) on arrive sans doute à quelque chose de plus lisible et de plus concret pour les acteurs.
L'institut Montaigne suggère aussi que les sanctions s'appuient sur des « actions ex-post », soit après la réalisation du dommage, en se basant sur une réelle évaluation des dommages causés par la violation de la vie privée plutôt que sur des seuils préfixés. Est-ce possible ?
Je ne suis pas vraiment sûr de comprendre ce qu'ils proposent ici. Une amende a pour but de sanctionner, pas de réparer un préjudice. La réparation du préjudice devrait se régler devant les tribunaux, en termes de dommages civils à la suite d'une action judiciaire d'une personne concernée.
L'amende n'a pas à être liée au préjudice. Je pense qu'il faut raison garder quant aux sanctions. La CNIL est d'ailleurs plus modérée qu'a pu l'être récemment l'autorité britannique, par exemple.
Dans les faits, je pense que le préjudice causé et la nature des données sont déjà pris en compte par la CNIL lorsqu'elle prononce une sanction. Par exemple, Optical Center avait subi une lourde amende parce qu'il traitait des données de santé, outre le fait qu'il s'agissait d'une récidive.
Que pensez-vous de l'affaire de la startup Fidzup, qui vient de faire faillite et reproche à la CNIL de l'avoir mise en demeure publiquement ?
De nombreuses entreprises ne sont pas en conformité avec le RGPD. Toutefois,les inspecteurs de la CNIL ne sont pas suffisamment nombreux pour contrôler tout le monde, ils choisissent des cibles et cette fois c'est tombé sur la startup Fidzup.
Je peux comprendre les reproches que Fidzup a fait à la CNIL. Il ne faut pas être naïf : si on veut que certaines entreprises soient parfaitement conformes au RGPD, on tue leur business model.
Toute la gratuité du web est basée sur un flirt avec l'illégalité dans le traitement des données. C'est un modèle économique. Il est normal que ces acteurs soient inquiets.
Ils devraient être d'autant plus inquiets avec le règlement ePrivacy en cours de discussion. Ce règlement pourrait être une vraie catastrophe pour les acteurs du web, notamment pour la presse en ligne.
L'un des enjeux est de rendre obligatoire le paramétrage par défaut du navigateur, pour ne pas collecter de cookies. Ce serait donc une vraie remise en cause de la gratuité du web, une grosse page qui se tournerait par rapport à la façon dont le web s'est construit…
Je pense que d'autres startups connaîtront le même sort que la startup Fidzup. Une telle mise en demeure par la CNIL, rendue publique, peut signer la fin de votre réputation. Avec le risque que plus personne ne veuille conclure de contrat avec une startup si elle est réputée pour vendre des données personnelles.
Bien que, en tant que citoyen, je ne souhaite pas que l'on fasse n'importe quoi avec mes données, quand je vois les contraintes que l'on fait peser sur les entreprises, mon avis est biaisé et je finis par être révolté par ces règles que l'on impose, de façon pas toujours très rationnelle.
Cependant, il est vrai que les entreprises ont beaucoup tiré sur la corde et ont abusé de la collecte de données. Le rôle du RGPD est justement d'assainir la situation., et je ne remets évidemment pas en cause l'intérêt de ce règlement.
L'institut Montaigne pointe aussi du doigt le fait que les politiques de confidentialité sont encore peu lisibles pour les utilisateurs. Qu'en pensez-vous ?
Par souci de transparence et pour répondre aux exigences du RGPD, les entreprises mettent en place des politiques de confidentialité très complètes pour expliquer quelles données sont traitées, pour quelle finalité, combien de temps elles seront conservées…
Pourtant, tout le monde sait aussi qu'absolument personne ne les lit.
En pratique, personne ne prend véritablement le temps de les lire donc cette exigence de transparence et d'information n'est pas vraiment remplie, on peut donc y voir une certaine forme d'hypocrisie…. J'ai lu que si un Américain moyen devait lire toutes les politiques de confidentialité auxquelles il a souscrit, il en aurait pour 25 jours à ne faire que ça.
Là encore, cela montre bien le côté totalement théorique de ces textes interminables. Les entreprises se sentent obligées de les mettre en place, mais savent très bien qu'elles sont théoriques puisque les utilisateurs ne les lisent pas.
Aujourd'hui, c'est une vraie difficulté d'avoir des parcours utilisateur dans le domaine du numérique lisibles pour l'internaute. C'est d'ailleurs notamment ce qu'avait reproché la CNIL à Google lorsqu'elle lui a infligé 50 millions d'euros d'amende.
Un an après l'entrée en vigueur du RGPD, on se rend compte que la situation reste chaotique. Selon vous, comment ces problèmes vont-ils se régler ?
Je pense qu'il y a besoin d'un travail d'interprétation supplémentaire de la part des autorités de contrôle. Comme la CNIL l'a fait pendant plusieurs années avec la loi Informatique et Libertés, je pense évidemment qu'il faut continuer à en faire de même avec le RGPD.
Le CEPD rassemblant toutes les autorités de protection européennes propose déjà des guides complexes mais très détaillés.
Il faut continuer dans cette voie, en rendant l'information plus accessible au plus grand nombre afin que les entreprises n'aient pas besoin systématiquement d'experts en la matière pour les aider… même si je ne m'en plains pas puisque c'est mon métier (rires).
- Partager l'article :
