RGPD : ce qui va vraiment changer… ou pas vraiment
Alors que les courriels sur le RGPD pleuvent dans les boites des internautes accompagnés de grandes déclarations rassurantes sur la protections des données personnelles en Europe, personne n'est encore capable de savoir ce que ce fameux RGPD va réellement permettre ou non. Entretien avec le rédacteur en chef du site d'information Next INpact et spécialiste du droit numérique, Marc Rees.
Ce ne sont pas moins de 99 articles qui definissent ce nouveau règlement général pour la protection des données (RGPD) : un vrai défi pour qui veut comprendre ce qui va changer véritablement à partir d'aujourd'hui sur le Net. Marc Rees a détaillé sur Next INpact chaque article de ces nouveaux "droits et devoirs" vis-à-vis des données personnelles et connaît donc parfaitement le sujet. Il répond à nos questions pour savoir ce que va vraiment changer avec le RGPD… ou pas vraiment.
Si vous deviez mettre en avant des dispositions du RGPD qui seront concrètes et applicables pour les utilisateurs d'Internet en terme de protection de leurs données personnelles, ce serait quoi ?
Marc Rees, Rédacteur en chef du site Next INpact
Marc Rees : La première chose, c'est que le RGPD ne révolutionne pas le monde des données personnelles parce qu'il y a beauoup de principes qui sont communs avec la loi de 1978, instaurée par la CNIL. Il n'y a donc pas de révolution sur la question du consentement, de l'information, de la loyauté des traitements. Par contre, il y a des nouveaux droits qui sont injectés par le texte européen, dont un qui me plaît particulièrement qui est le droit à la portabilité. Ce droit est celui de l'internaute à demander à n'importe quelle plateforme de transférer ses données personnelles d'un point A vers un point B. Le point B étant un autre prestataire, un concurrent par exemple. Le fait de recueillir le consentement avant d'envoyer de données commerciales est une bonne chose mais c'était déjà en vigueur auparavant. Sauf qu'avec le poids des habitudes, les prestataires ont fait grosso modo n'imprte quoi…
Comment va-t-on savoir quelles données personnelles possède sur nous un opérateur et ce qu'il en fait ?
M.R : C'est la possibilité d'avoir — au titre du droit à l'information — une description exacte et complète des données qui sont stockées chez X ou Y. Il y a des résistances qui vont se constater, avec des vilains petits canards, comme le couple Facebook-Cambridge Analytica, mais cela génère un risque d'image pour eux. Un acteur qui manipulera les données de façon non-conforme au RGPD sera mis à l'index sur les réseaux. Et puis si la CNIL est bien armée, elle pourra être saisie. S'ils veulent jouer aux fous, tant pis pour eux, la CNIL pourra les condamner avec la possibilité aussi de faire des avertissements publics, ce qui est le plus douloureux pour un gros acteur.
Justement, la CNIL n'a pas de moyens importants et le cas de Google sur le droit à l'oubli n'est pas très positif pour l'instant : les rectifications sur demande par exemple seront-elles vraiment applicables, selon vous ?
M.R : Le droit à l'oubli sur les moteurs de recherche, ça a été une création jurisprudentielle. Le problème avec ce type de création, c'est que la qualité du droit qui est attendue n'atteint pas un haut niveau de complétude, avec plein de zones d'ombre. Cette fois-ci, le droit à l'oubli est sacralisé avec le RGPD. On a des dispositions qui sont bien inscrites, et même si ce n'est que le tout début, le droit à l'oubli a une approche un peu plus solide que ce qu'on avait jusqu'à présent. Quant aux moyens de la CNIL, c'est une question peu abordée et très importante. La présidente de la CNIL avec qui j'échange souvent m'a fait part de ce problème de moyens : ce n'est pas avec ses 200 agents que la CNIL va pouvoir contrôler un stock de plusieurs millions d'entités. Des collectivités locales, des entreprises, etc. Je pointe d'ailleurs un doigt accusateur sur le gouvernement et le législateur, qui pour la loi de finance 2018 n'ont pas mis assez d'argent public dans les poches de la CNIL pour que celle-ci puisse monter en capacité.
Le modèle commercial du web est basé sur le traitement des données des utilisateurs, sur la publicité ciblé, le profilage : le RGPD, s'il permettait vraiment d'empêcher la collecte et le traitement des données d'une majorité d'utilisateurs, mettrait en péril ce modèle. Est-ce une contradiction à votre sens ou bien est-ce juste un "encadrement légal" de la collecte et du traitement des données personnelles qui est acté ?
M.R : Le RGPD conditionne les traitements de données comme le profilage. Plusieurs portes permettent de légitimer ces traitements : le contrat, l'intérêt légitime — j'aimerais bien savoir ce que c'est — et également le consentement. Le problème n'est en réalité pas de savoir si le RGPD va menacer le e-commerce en Europe mais plutôt la situation antérieure : comment se fait-il que l'on soit arrivé à cette situation ? Je viens de recevoir le mail d'un spécialiste de la gestion de l'eau qui m'a contacté pour me dire qu'il fallait que je clique sur ce bouton pour recevoir à nouveau des emails de sa part ! Mais je n'ai jamais demandé quoi que ce soit ! C'est donc un phénomène de rattrapage à un phénomène antérieur, et je trouve ça plutôt bien. Plein d'acteurs vont devoir relire la loi de 1978 par le prisme du RGPD, et avant d'envoyer des pluies de propositions commerciales, ils vont devoir se demander si les personnes sont d'accord pour les recevoir.
Résumé des avancées permises par le RGPD en vidéo par la Commission nationale informatique et liberté (CNIL) :