Quelques jours après leur conférence sur la protection des données personnelles, Matthieu Bourgeois et Amira Bounedjoum ont accepté de répondre à nos questions sur le règlement du Parlement européen traitant de ce sujet, entré en vigueur le 25 mai dernier et applicable au 25 mai 2018. Les deux avocats, qui ont rejoint le cabinet Simon Associés cette année, sont spécialistes des questions de technologie de l’information.
Radio VL : même s’il a été peu évoqué, ce règlement apporte de nombreux changements pour les citoyens. Quels sont-ils ?
Matthieu Bourgeois & Amira Bounedjoum : Tout d’abord, ce règlement renforce les droits des personnes en leur permettant de reprendre le contrôle sur le traitement de leurs données. Toutes les données sont au cœur d’un marché où les informations sont vendues ou échangées et cela sans que l’on soit toujours au courant.
Les finalités précises des données sont rarement connues mais ce règlement tend à mettre en place de nouvelles garanties autour de ces données. Parmi celles-ci, un renforcement des mécanismes de recueil de consentement et de l’information qui doit être délivrée aux personnes concernées, notamment quant à la provenance de leurs données lorsqu’elles n’ont pas été collectées directement auprès d’elles. Il y a également la consécration du droit à la portabilité qui permet à chaque citoyen d’exiger que ses données soient transférées à un autre responsable de traitement.
Quelles avancées ce règlement représente-t-il d’un point de vue juridique ?
C’est un règlement, ce qui permet une application uniforme au sein de tous les États de l’Union européenne. Au contraire de la directive de 1995, un tel texte n’a pas besoin d’être transposé dans les droits nationaux, ce qui garantit une égalité devant la loi pour tous les citoyens européens.
La France avait une législation depuis 1978 avec la loi informatique et libertés (Lil), qui avait évolué ; d’une harmonisation imparfaite en Europe, nous arrivons aujourd’hui à une meilleure convergence. Ce texte marque davantage de contraintes pour les États qui ne disposent plus que d’une petite marge de manœuvre, et cela seulement dans un sens plus favorable pour les citoyens.
« Exhorter les entreprises à mieux respecter le règlement »
Peut-on concevoir une haute autorité à l’échelle européenne, sur le modèle de la CNIL (Commission nationale informatique et libertés) ?
En réalité, il existe déjà une autorité sous la forme d’un comité à la protection des données dont le rôle concerne principalement les traitements transfrontaliers, où il doit être consulté par les autorités de contrôle nationales. Les décisions du comité s’imposent à ces dernières sans que l’on puisse parler pour autant de « Cnil européenne ».
Ce règlement est-il suffisant pour contrôler le Big Data ?
Il apporte d’abord un nouveau cadre plus strict pour les entreprises, avec des sanctions plus lourdes (jusqu’à 4% du CA annuel ou 20.000.000 €) comparées à celles prononcées sous le régime de la Lil (la plus forte amende, prononcée contre Google, s’élève à « seulement » 150.000 €, NDLR). C’est donc une nouvelle façon d’inciter les grandes entreprises à mieux respecter le règlement.
Quelles sont les voies de recours pour les personnes en cas de contentieux ?
Le texte prévoit des voies de recours principalement nationales avec, en France, les tribunaux de grande instance et de commerce, qui peuvent être saisis indépendamment de l’autorité de contrôle. Ces cas représentent les voies juridictionnelles ; de surcroit, les personnes peuvent aussi s’adresser au DPO (Data Protection Officer ou délégué à la protection des données en français) lorsque l’entreprise en a désigné un.
« Pour les données, promouvoir une démarche ‘data-friendly' »
Justement, quelles sont les missions d’un DPO dans une entreprise ?
C’est un interlocuteur privilégié entre l’entreprise et l’autorité de contrôle et les personnes concernées. Ce délégué a un statut particulier car il est totalement indépendant. Il est chargé de trois grandes missions : informer tous les acteurs d’un traitement sur les dispositions légales, sensibiliser et conseiller et enfin une mission de coopération avec l’autorité de contrôle. Il est là pour aider l’entreprise.
Le droit peut-il s’adapter assez rapidement aux nouvelles technologies ?
Aujourd’hui, nous estimons que le droit est trop peu lisible et qu’il doit y avoir un vrai effort de clarté rédactionnelle. De façon générale, il y a trop de lois, et il serait bon de réduire leur nombre et ainsi d’en créer de meilleure facture.
Au niveau du droit des données, nous souhaiterions un corpus unique, plus clair et plus conceptuel. L’idée d’une vision transversale du droit des données qui soit un droit cohérent pour permettre aux entreprises de savoir vers où elles se dirigent, en évitant le flou, voire le vide juridique.
On parle de plus en plus du big data, ça devient une mode : cette tendance doit s’accompagner d’une éthique à l’image du secteur de l’énergie qui promeut les labels « green », et du secteur alimentaire qui promeut les labels « bio », les entreprises vont surement promouvoir une démarche « data friendly » pour restaurer le lien de confiance les unissant à leurs clients et collaborateurs. Si c’est un fait que le droit va toujours moins vite que la technologie, le règlement va dans la bonne direction pour la reconnaissance juridique des données et des nouvelles technologies.
Propos recueillis par Gwendal Lavina & Tristan Alary
Photo de Une : illustration