RGPD : deux ans après son entrée en application, premier(s) bilan(s)
À ce titre, la période de crise actuelle considérée comme un nouveau « triomphe » d’Internet et de ses majors montre combien la protection des données personnelles s’inscrit au cœur de l’actualité – sur la souveraineté numérique, le traçage des individus ou le développement du télétravail notamment. Si l’omniprésence de ce sujet est bien réelle et se vérifie dans tous les secteurs d’activité – des débats liés à l’essor de la santé numérique, au développement des objets connectés ou à l’avenir des cookies–, l’enjeu d’un premier bilan de l’entrée en application du RGPD est tout aussi nécessaire.
La protection des données personnelles : un droit sous les feux de l’actualité.
Si le droit de la protection des données personnelles s’est structuré par étapes à l’échelle européenne, l’adoption du RGPD a créé une nouvelle impulsion. Projet phare de la Commission européenne sous l’impulsion de Viviane Reding, ce règlement avait ainsi pour objet de protéger un droit fondamental inscrit dans la charte des droits fondamentaux et appuyé par plusieurs références dans les traités européens (TUE et TFUE). Un droit fondamental qui devait également être garanti par des autorités de contrôle indépendantes et dotées de pouvoirs renforcés, au-delà des mécanismes existants et limités, et avec une architecture spécifique.
Aujourd’hui, force est de constater que le RGPD est devenu un symbole et un texte reconnu à l’échelle internationale, voire un standard de la vie privée qui s’exporte, notamment, dans les accords noués par l’Union européenne ou au titre des décisions d’adéquation. Les dispositifs du RGPD marquent aussi une « norme » internationale de protection des données et appellent de futures duplications, comme en témoignent les débats législatifs au sein de certains États américains (voir par exemple le California Consumer Privacy Act) ou en Asie, la portée du RGPD dépassant ainsi largement celle de son champ d’application géographique.
Par ailleurs, l’actualité économique, sociale ou politique est saturée de questions liées à la protection des données personnelles, qu’il s’agisse de l’identité numérique, du développement de réseaux sociaux pour enfants, de la reconnaissance faciale ou du e-commerce. Autant de questions qui témoignent du développement de ce droit et de son évolution rapide – à travers le recours à des formes de soft law spécifiques –, et qui tendent à renforcer le rôle et la visibilité des autorités de contrôle et notamment de la CNIL en France.
Une évaluation contrastée ?
Un premier bilan à ce stade est forcément provisoire, limité et partiel. Il est cependant d’autant plus nécessaire que ce texte a fait, et continue de faire, l’objet de nombreuses critiques quant à son utilité ou à son efficacité. Utilité qui s’impose à propos du rapport de force complexe avec les majors d’Internet ou du fait de la mise en œuvre difficile – et inaboutie – du principe de responsabilité par les entreprises, notamment pour les PME. Efficacité en ce qui concerne sa plus-value ou son utilité pratique. Plusieurs points doivent néanmoins être signalés pour tenter d’évaluer les conséquences liées à l’application du RGPD.
Tout d’abord, il doit être souligné que le processus de mise en conformité au RGPD de très nombreuses organisations est aujourd’hui en place, privées comme publiques, avec des effets positifs notables – ne serait-ce qu’en matière de valorisation des relations avec les clients, d’image de marque ou de prise en compte des risques liés à la sécurité des données – alors que la numérisation des organisations s’accélère. Si cette réalité est contrastée du fait de la taille des entreprises ou de leurs enjeux, elle s’explique aussi par la nécessité de mettre en place des process spécifiques de compliance sur des sujets parfois inédits.
Ce règlement a aussi donné aux autorités de contrôle des moyens renforcés qu’elles utilisent aujourd’hui en partie, qu’il s’agisse de l’accompagnement et de l’appui à la conformité ou des niveaux de sanction prononcés, la CNIL ayant affiché en ce domaine des positions volontaristes.
Par ailleurs, l’évaluation du RGPD est d’autant plus délicate que ce texte n’a pas encore produit tous ses effets – au regard, par exemple, de la mise en œuvre progressive des dispositions sur les analyses d’impact – et que son architecture peut être considérée comme montant en puissance progressivement ; c’est le cas notamment des modalités de contrôle et de coopération entre autorités de contrôle. À ce titre, la lettre ouverte publiée ce 24 mai par None of Your Business et Max Shrems témoigne en creux des possibles divergences d’interprétation entre autorités de contrôle et des correctifs à venir, de la part de ces autorités ou dans le cadre de recours de la Commission devant la CJUE.
Enfin, soulignons que l’évaluation du RGPD et sa mise en œuvre constitue une préoccupation constante pour les institutions européennes et, notamment, la Commission, d’abord au titre du suivi des procédures nationales d’adaptation du règlement puis de son entrée en application. Sans parler de la jurisprudence ambitieuse de la Cour de Justice de l’Union européenne en la matière.
Jérôme Deroulez, Avocat aux barreaux de Paris et de Bruxelles, Cabinet Deroulez