- 100 pages d’obligations à respecter
- 99 articles de loi
- 20 millions d’euros de sanctions en cas d’infraction pour les PME,
- 4% du CA global du groupe pour les grandes entreprises (soit entre 3 et 5 MILLIARDS d’euros de risques de sanctions pour des entreprises comme Google, Amazon…)
- de nombreux acteurs ont intérêt à déposer plainte (syndicats, représentants du personnel, salariés licenciés, associations de consommateurs, associations de défense de la vie privée, clients mécontents…)
Avec des montants aussi importants de sanctions – et autant d’intervenants qui ont intérêt à se lancer dans un contentieux, cette règlementation va devenir un contre-pouvoir majeur dont nombre d’organisation va faire les frais.
Afin de présenter le texte, et l’ensemble des obligations qui doivent être mises en oeuvre par les organisations, on privilégiera une approche pragmatique afin de comprendre comment se préparer à une mise en conformité au GDPR. On laissera de côté les aspects relatifs aux droits des personnes qui ont moins besoin d’être préparés en raison de leur nature (on peut réagir simplement à une demande de droits d’accès une fois qu’elle arrive), autant qu’en raison de leur fréquence encore rare aujourd’hui (il est fréquent qu’une entreprise du CAC40 n’ait que quelques dizaines de demandes par an seulement alors qu’elle traite les données de millions de personnes en France).
Voici le plan de l’étude :
- Le contexte de la réforme
- Les problèmes posés par la situation antérieure
- L’affaire très médiatisée de l’audit de Facebook
- Le règlement est parti pour sanctionner majoritairement les entreprises européennes
- La réaction de la Commission
- Synthèse des principaux changements
- Des évolutions technologiques substantielles depuis 1995
- Un règlement – pas une directive
- Les principaux apports nouveaux
Bien que déjà conséquent cet article n’est qu’une introduction au process de mise en conformité ; si vous souhaitez entrer sérieusement dans le sujet, il est conseillé de suivre une formation GDPR spécifique et éventuellement vous équiper d’outillage pour vous assister dans la mise en conformité.
Commençons par le contexte de la réforme qu’il est important à comprendre (en particulier au regard des sanctions) avant d’attaquer la mise en conformité d’une organisation.
Le contexte de la réforme
Les problèmes posés par la situation antérieure
Il est difficile de comprendre le texte du GDPR sans comprendre ce qui en a vraiment motivé la réforme. Pour cela, il faut nous replacer entre 2007 et 2011 où les enjeux relatifs à la protection de la vie privée sur Internet avaient été très violemment bousculés par les plus gros acteurs de l’Internet ; Eric Schmidt, alors PDG de Google déclarait notamment que « Seuls les criminels se soucient de protéger leurs données personnelles » – (encore plus violent en anglais: « Only miscreants worry about net privacy« ) :
À l’époque Facebook annonçait 700 millions d’utilisateurs et opérait des changeait réguliers de politique de vie privée, considérant ces aspects comme totalement secondaires aux problématiques de l’entreprise (« pour le fondateur de Facebook, la vie privée est périmée« ). Ces changements suscitaient de très vives réactions (de l’EFF notamment – « Facebook’s Eroding Privacy Policy ») et étaient dénoncés comme un fiasco général par l’industrie tout entière (ex : « The next Facebook Privacy scandal« ).
L’affaire très médiatisée de l’audit de Facebook
C’est dans ce contexte qu’un étudiant en droit décide de mener un audit informatique et liberté de la plateforme de Facebook au regard de la règlementation européenne en matière de protection des données personnelles (dont la base européenne est la directive 95/48). En analysant la plateforme, ce dernier trouve 22 infractions majeures qu’il signale à l’autorité irlandaise de protection des données personnelles (l’équivalent de la CNIL), dont dépend Facebook, et évidemment à la presse.
S’ensuit une déferlante médiatique, autant qu’un gros malaise au sein des CNILs européennes, qui fort de leurs 2000-3000 employés au niveau européen n’ont jamais eu l’idée – ni le courage – de faire de même… Comment ont-elles pu rater un enjeu aussi important que d’imposer à Facebook le respect des lois européennes restera un mystère. Alors pourtant que celles-ci avaient entamé des discussions avec cette entreprise depuis 2007 – du moins pour le cas de la CNIL française. Mais, celles-ci se sont avérées totalement inaptes à s’imposer, là ou un simple communiqué de presse envoyé par un étudiant ayant suivit un semestre de cours « Informatique et libertés », réussit a faire plier l’entreprise américaine :
Toutes les CNILs tenteront de minimiser l’affaire, mais le coup médiatique renforcera l’attention de la Commission quant à la nécessité d’une réforme en profondeur de ce régime juridique.
Le règlement est parti pour sanctionner majoritairement les entreprises européennes
La version finale du règlement ressortira profondément marquée par son histoire. Nombre de ses dispositions ont été prévues initialement pour sanctionner les grands acteurs du web (GAFA en particulier), un peu comme une arme – à moitié règlementaire – à moitié fiscale, dont l’objectif plus ou moins caché est de ponctionner les profits des entreprises qui respectent aléatoirement le droit européen.
Mais cette vision est un peu naïve. Elle méconnait la culture des entreprises américaines qui ont une finesse de compréhension de gestion des risques juridiques considérablement plus importante qu’en Europe (comparativement il y a 1.3 million d’avocats aux États-Unis contre quelques 50.000 en France – et les amendes prononcées aux États-Unis sont de l’ordre de plusieurs milliards – ou dizaines de milliards de dollars là ou en France les autorités règlementaires sanctionnent à hauteur de dizaines de milliers d’euros). En matière fiscale, il n’est pas étonnant de voir que le redressement de Google d’1,6 milliard d’euros – bien qu’annoncé en grande pompe par la France – soit remis en cause par la justice française elle-même quelques mois après l’étude du dossier de fond (cf. pour le rapporteur public, Google n’a pas à subir de redressement fiscal en France).
Ainsi, paradoxalement aujourd’hui, en matière informatique et libertés, le GAFA fait partie des entreprises les moins à risque de subir une condamnation (non pas que cela ne soit pas possible), car elles ont mis en oeuvre des moyens d’action pour éviter ces risques. Les condamnations répétées de Google ou Facebook à 100.000 ou 150.000€ témoignent d’une stratégie juridique à cet égard. En effet, juridiquement les entreprises ayant été condamnées sous l’empire du régime ancien – là où les amendes maximales étaient de l’ordre de 150.000€ – ne peuvent légalement plus être condamnées sur le régime nouveau pour les mêmes faits – là où les amendes auraient été de l’ordre de plusieurs milliards d’euros. En condamnant Facebook et Google, la CNIL a fait à ces entreprises un beau cadeau : payer quelques minutes de chiffre d’affaires, contre la certitude de ne pas pouvoir être condamné pour ces mêmes faits sous le régime du règlement à plusieurs milliards d’euros…
De fait, aujourd’hui, tout est aligné pour que le règlement sanctionne à titre principal les organisations européennes qui ont une culture faible de gestion de risques juridiques (à juste titre d’ailleurs, car les montants des sanctions en Europe étaient jusqu’à présent rarement importants) et qui considèrent encore majoritairement la protection des données personnelles comme une futilité cosmétologique. Celles-ci vont rapidement découvrir que cette réglementation va être utilisée par des salariés, des syndicats, des représentants du personnel, des associations de consommateurs, ou des associations de protection de la vie privée comme un contre-pouvoir extrêmement puissant capable de payer les meilleurs juristes et avocats en ce domaine pour faire plier les plus gros acteurs (l’Etat, grandes entreprises, collectivités…).
Ce n’est plus le cas des entreprises américaines qui ont opéré un changement massif de mentalité à cet égard. Facebook a admis d’importantes erreurs dans son parcours :
Et d’autres entreprises comme Apple ont fait de la vie privée un des enjeux essentiels de leur business modèle – au point même que ses employés avouent aujourd’hui que les contraintes que l’entreprise s’impose à ce sujet nuisent à sa capacité d’innovation (cf. SIRI). Même Google semble aujourd’hui mieux adapter ses services afin d’assurer un respect de la vie privée :
À ce titre, les entreprises américaines ont réagi vite là ou nombre de grandes entreprises européennes en sont encore au stade de découvrir les enjeux relatifs à la vie privée, sont peu ou pas formées pour absorber ces contraintes, et ne disposent que de très peu de compétences en ce domaine. Il y a peut-être 30-50 personnes qui travaillent à plein temps sur les problématiques informatiques et libertés depuis plus de 15 ans… (évaluation personnelle - et hors CNIL).
La réaction de la Commission
Voici donc pour l’histoire ! S’ensuit en 2011-2012 une proposition de la Commission européenne de changement drastique de la règlementation en assortissant essentiellement la règlementation passée de vraies sanctions .
Il faut dire que de nouvelles pratiques étaient nécessaires ! En matière de sanctions, le laxisme de la CNIL a été tel qu’on pouvait ouvertement et publiquement poser la question « Faut-il vraiment respecter la loi informatique et liberté » – alors même qu’il existe d’importantes dispositions pénales à cet effet.
En fait, à part à servir d’outil de pression politique (la loi informatique et liberté a été utilisée pour mettre les dirigeants de Uber en garde à vue pendant le conflit social avec les chauffeurs de taxi), son utilité réelle est restée assez relative en pratique. À part des acteurs qui opèrent le traitement de données vraiment sensibles (santé), elle peut aujourd’hui encore être massivement ignorée par les organisations sans craindre de sanctions.
Enfin, jusqu’à l’entrée en vigueur du règlement…
Synthèse des principaux changements
Des évolutions technologiques substantielles depuis 1995
Ce serait peu dire que de constater que la règlementation précédente datait au regard des évolutions technologiques ! La directive avait été adoptée en 1995, et depuis, on a vu apparaître des technologiques qui ont littéralement révolutionné le monde :
- Internet – qui n’existait quasiment pas en 1995 ;
- les réseaux sociaux ;
- les téléphones mobiles ;
- la géolocalisation ;
- la biométrie ;
- le cloud…
Ceci étant – il faut dire que la règlementation européenne avait été élaborée de sorte d’être indépendante de l’évolution des technologies. Il était donc nécessaire de la toiletter un peu, mais le travail de réflexion avait été suffisamment bien fait pour ne pas nécessiter de refonte totale de ses principes (la France a eu à ce titre une contribution très significative dans l’élaboration de la directive 95/46).
Aussi, le règlement conserve donc énormément de principes posés par la directive de 1995 (« 60-80% ») – la différence étant qu’il va falloir maintenant les appliquer en raison des sanctions !
Un règlement – pas une directive
La principale réforme était déjà de passer d’une directive à un règlement ! La directive impose en effet une transposition dans les 27 pays européens, alors qu’un règlement fait directement office de loi. Ceci explique également la complexité des négociations qui ont été faites entre les 27 états.
Les principaux apports nouveaux
De manière synthétique les objectifs de la réforme étaient les suivants :
- Mettre en place de véritables sanctions dissuasives (20M€/4% CA global)
- Utiliser un règlement en lieu et place d’une directive afin d’éviter d’avoir à transposer la règlementation en 27 lois différentes
- Conserver l’architecture juridique établie par le droit antérieur et la renforcer (une grosse partie des obligations antérieures sont conservées dans le nouveau règlement)
- Supprimer les déclarations CNIL (en fait pour remplacer cette obligation par une obligation beaucoup plus contraignante de mettre en place un registre interne)
- Imposer de nouvelles obligations de sécurité comme la notification à la CNIL en cas de violation des données personnelles en 72 heures – et la notification de la violation de sécurité aux personnes dont les données ont été compromises.
- Imposer une PIA (privacy impact assessment) – une étude d’impact sur la vie privée pour les traitements les plus sensibles.
- Renforcer les droits des personnes en imposant notamment de recueillir et de retracer le consentement au traitement des données personnelles
- s’assurer d’une application très large du règlement à toute entité qui traite des données personnelles de personnes en Europe (en résumé – en droit les choses sont plus complexes)
À noter que la règlementation ouvre également une voie importante à la certification qui permet de s’assurer qu’un traitement s’exécute en conformité par rapport à la loi.