Christine HENNION, députée LREM des Hauts-de-Seine, auteure du rapport d’information portant observations sur le projet de loi
relatif à la protection des données personnelles
- À quels besoins vient répondre le RGPD dans une économie qui se structure aujourd’hui sur la data ?
Il est vrai que la donnée structure aujourd’hui le modèle économique des entreprises ainsi que le quotidien des individus. Au regard de l’explosion des nouvelles applications, de la place primordiale accordée aux données, notamment aux données personnelles traitées par tous les nouveaux acteurs du numérique, du caractère mondial des échanges, il était donc primordial d’instaurer un cadre juridique global afin de répondre à un appel : celui d’une prise de conscience collective d’un besoin de protection et de restaurer la confiance, non seulement des consommateurs, mais plus largement des citoyens.
C’est justement ce qu’offre le RGPD en consacrant une place centrale à l’individu et à ses droits en lui donnant le contrôle du traitement de ses données. Le résident européen se voit en effet conférer des nouveaux droits, sur le fondement desquels il pourra se saisir en cas de manquement.
Je pense par exemple au droit à l’effacement qui confère à l’individu le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données le concernant. Ou encore du droit à la portabilité, soit la possibilité offerte aux individus de récupérer une partie de leurs données, afin d’être stocké ou facilement transféré dans un autre système d’information.
On voit par ces deux exemples la force des nouveaux principes introduits : qui confèrent une véritable maîtrise de l’individu sur ses données personnelles, donc sur sa vie privée.
Les entreprises, au départ sceptiques et inquiètes du surcroît de charges qu’aurait pu apporter le RGPD, l’ont d’ailleurs maintenant très bien compris. Cette confiance est nécessaire, c’est le terreau indispensable au développement de l’économie numérique. Elles prennent donc maintenant en compte dès la conception, ainsi que demandé par le Règlement, la protection des données personnelles.
- Comment a-t-il été négocié, écrit, promulgué, « transposé » en tant que règlement en Europe et en France en particulier ?
La genèse du RGPD est intrinsèquement liée à la législation française en matière de protection des données à caractère personnel et s’en inspire largement.
Pour comprendre ce lien il faut remonter au scandale SAFARI de 1974 en France qui amène la Loi informatique et Libertés de 1978. Cette loi consacre l’individu au centre du traitement des données personnelles, en considérant que ce même traitement ne saurait être uniquement régit par une logique sécuritaire ou à une logique de marché et lie la protection des données personnelles aux droits fondamentaux.
Plus tard, la loi du 6 août 2005, viendra renforcer cette loi de 1978, dans son effort de transposition de la directive européenne de 1995 relative aux données personnelles. La loi introduit de nouvelles dispositions toujours dans l’objectif d’équilibrer les droits individuels et la logique de marché.
Si la France tire une bonne transposition de la directive européenne de 1995, bien que tardive, ce n’est pas le cas de tous les Etats membres. C’est le risque propre aux directives : elles fixent les objectifs communautaires à atteindre, mais laissent une marge de manœuvre aux Etats membres pour la mise en œuvre.
Par conséquent, les différentes législations relatives aux protections des données personnelles ne sont pas au diapason au sein de l’Union européenne. C’est pourquoi, le 25 janvier 2012 le RGPD est proposé par la Commission européenne. La base juridique de ce texte, un règlement, impose une application directe et uniforme au sein du marché unique. Le texte est promulgué trois ans plus tard le 27 mai 2016, après d’intenses négociations au sein du parlement, du conseil et de fortes pressions des lobbyistes.
À partir de cette date, les Etats membres ont deux ans pour adapter leur législation nationale avant la date officielle de mise en œuvre du texte, soit le 25 mai 2018. En France, c’est la loi sur la protection des données à caractère personnel, promulguée le 20 juin 2018 qui finira d’adapter le RGPD au cadre français.
Il est donc faux de penser que le RGPD a bouleversé le droit français : plutôt ce texte ne fait que renforcer ou créer de nouveaux droits tel que la possibilité de mener des actions de groupe. Il introduit également une forte responsabilisation des acteurs auxquels il impose la transparence sur les processus et la sécurisation des données avec la menace de lourdes sanctions en cas de manquements.
- Dans la dialectique entre protection du consommateur et encouragement de l’industrie numérique européenne, où se situe le RGPD, avec quelles conséquences pour le modèle de marché européen ?
La protection du consommateur, de ses données et par là de sa vie privée est totalement compatible avec une industrie du numérique européenne. Ces deux notions doivent même aller de pair pour permettre la croissance de nos entreprises européennes et l’attractivité de notre marché communautaire. Il est donc faux de penser que le RGPD nuit à la croissance et à la compétitivité économique européenne.
Tout d’abord la protection de la donnée est nécessaire à la prospérité économique. Comme expliqué précédemment elle répond au besoin de confiance des individus en tant que consommateurs et a donc une conséquence directe sur le développement économique de nos entreprises.
Elle est de plus bénéfique à l’activité interne d’une entreprise. Je me base là sur des témoignages entendus à l’occasion d’une table-ronde organisée sur ma circonscription. En tant que rapporteure pour avis au nom de la commission des affaires européennes sur le RGPD je tenais à rassembler les chefs d’entreprises ou de start-ups et à échanger avec eux sur leur perception.
Beaucoup ont souligné les bienfaits de cette réglementation en termes de gouvernance de toutes leurs données. Elles les obligent à les hiérarchiser, à évaluer la nécessité à les conserver et à en estimer la valeur stratégique. Surtout concernant la maîtrise de leurs données via le principe de « privacy by design and by default » instauré par le RGPD qui impose au responsable de traitement d’instaurer des mesures dès la conception du produit quant à la protection des données. Ce principe, couplé aux nombreuses autres obligations incombant désormais à ces responsables au nom de la « responsability and accountability », leur permettrait d’affiner leur ligne de conduite, et de se préserver de vols de données ou d’attaques cyber. C’est aussi un avantage compétitif par rapport à leurs concurrents américain ou chinois qui ne seraient pas aussi scrupuleux en termes d’éthique.
Plus largement, à l’échelon européen, c’est la base juridique du texte qui est bienvenue : un règlement, ce qui signifie une harmonisation dans le traitement des données donc un marché unique pleinement concurrentiel pour tous. Il faut également souligner le principe d’extra-territorialité du RGPD puisqu’il s’applique à toutes les entités dès lors qu’elles traitent des données de résidents européens, que cette entité soit en Europe ou ailleurs dans le monde.
À un échelon international, enfin, le RGPD fait école puisque de nombreux pays comme l’Australie ou encore en la Californie sont en train de se doter de législation équivalente. Le RGPD est donc en passe de devenir un standard mondial.