Dans un peu plus d’un an, soit le 25 mai 2018, le nouveau Règlement européen sur la protection des données personnelles entrera en vigueur. La protection de ce type d’informations sensibles revêt une importance capitale pour les entreprises et les particuliers. Explications avec Maitre Olivier Iteanu.
Propos recueillis par Philippe Richard
Le Privacy Shield est l’accord qui encadre les transferts des données personnelles vers les États-Unis. Il remplace l’ancien Safe Harbor que la Cour de justice de l’Union européenne a invalidé fin 2015 parce que les protections apportées par le droit européen n’étaient pas assurées aux États-Unis. Quelles sont les grandes différences entre ces deux textes ?
Olivier Iteanu : Le Safe Harbor et le Privacy Shield sont tout d’abord équivalents en qu’ils sont l’un et l’autre pris au visa de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Celle-ci sera abrogée dans un an, dès l’application du GDPR (« General Data Protection Regulation » ou en français, « Règlement général sur la protection des données »). Dès lors, nous pouvons nous interroger sur la cohérence de la méthode, qui consiste à s’être précipité pour formaliser le Privacy Shield au visa d’un texte abrogé avec effet en mai 2018. Je dirai que les objectifs, les concepts et le langage des deux programmes sont identiques. L’un comme l’autre est censé accorder aux citoyens européens des garanties sur la protection de leurs données personnelles lorsqu’elles sont transférées aux États-Unis, pays sans réglementation fédérale équivalente à la GDPR.
Le Privacy Shield et Safe Harbor, c’est donc la même chose ?
Sur le fond, ils sont en effet équivalents. La seule différence concerne le recours potentiel accordé à un citoyen ou à une autorité de contrôle européenne. La Cour européenne de justice avait fait grief au Safe harbor de ne pas permettre aux citoyens et aux autorités compétentes, comme les CNIL, de contrôler l’application par les entreprises ayant adhéré au Safe harbor, de leurs différentes obligations. Il y a dorénavant de nombreux recours possibles. Mais ils sont longs, complexes et probablement très onéreux. Les autorités nationales peuvent notamment s’adresser à un médiateur, une Ombudspersonn, qui pourrait enquêter sur des plaintes à l’égard d’organisations soupçonnées de ne pas respecter le Pricvacy Shield. Mais ce médiateur n’a pas de pouvoir coercitif et est contrôlé par le département américain du commerce ; sa neutralité est donc douteuse… Ce médiateur pourrait intervenir auprès d’une entreprise si un citoyen se plaint d’un manquement à la protection de ses données. Et ensuite, les autorités américaines entameraient une enquête.
72 heures chrono !
C’est une avancée pour les citoyens ?
Pas vraiment. En réalité, le Privacy Shield apporte une réponse à la Cour européenne, la CJUE, qui a invalidé le texte précédent, le Safe Harbor, mais ne donne pas de véritables garanties aux citoyens européens. En outre, il y a un simple problème pratique. Comment les CNIL européennes, pourraient-elles contrôler ces entreprises américaines adhérentes au Privacy Shield, comme Facebook par exemple, dans la mesure où elles ne pourront pas accéder à leurs infrastructures puisqu’elles sont aux États-Unis…
Quelle est votre opinion à propos du GDPR ?
Le texte présente des avancées indéniables, mais ça n’est pas la révolution. La réglementation antérieure, par exemple l’article 34 de la Loi de 78 sur la confidentialité des données, obligeait déjà les entreprises à prendre « toutes précautions utiles », ce qui est sensiblement équivalent au privacy by design du nouveau texte. Le concept de « privacy by design », érigé par l’article 25 du règlement, impose aux entreprises de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. On peut considérer que les trois grandes avancées du texte, dans le domaine de la sécurité sont :
– une augmentation conséquente des sanctions : 4 % du CA mondial alors que c’est au maximum 150 000 € avec la Loi de 1978 ;
– l’obligation pour tout le monde de notifier la violation de données personnelles à la CNIL dans les 72 heures de la connaissance de cette violation, c’est l’ancienne notification de faille de sécurité limitée aux fournisseurs de services de communication électronique;
– avoir institutionnaliser le rapport obligatoire entre la technique, l’organisationnel et le juridique, le droit dépendant des deux premiers, c’est notamment la privacy by design.
Toutes les entreprises sont-elles concernées ?
En théorie, le GDPR s’applique à toutes, y compris aux PME. Mais, il y a toujours une appréciation de la personne concernée par des poursuites, pour évaluer les sanctions. On tiendra donc compte du fait que les PME ne sont pas en situation de disposer de moyens et de ressources leur permettant d’avoir le même niveau de sécurité que des grands comptes. Mais les entreprises de plus de 250 salariés devront néanmoins tenir un registre de traitement des données. Ce sera une obligation.