Compte-rendu du Comptoir - Retour sur 5 ans de mise en œuvre : Comment le RGPD a réinventé la protection des données personnelles ?
Ce 6 juillet, à l’occasion de l’anniversaire des 5 ans de l’entrée en vigueur du Règlement Général sur la Protection des Données s’est tenu un nouvel épisode des Comptoirs OCTO, animé par Julie François-Franco, juriste consultante chez OCTO. Vous pouvez voir le replay ici.
Le sujet de la protection des données personnelles a plus de 40 ans
D’aucuns pourraient croire que le sujet de la protection des données personnelles est un sujet récent, qui ne serait pas plus vieux que l’entrée en vigueur du RGPD il y a 5 ans. On en parle en réalité depuis bien plus longtemps, et sa première apparition dans la loi date de la fin des années 70, avec une loi fédérale allemande en 1977, et l’année suivante l’adoption de la loi Informatique et Liberté, accompagnée de la création de notre autorité française de protection des données, la CNIL.
Pourquoi protéger nos données ?
La directive européenne 95/46/CE de 1995 marque un nouveau mouvement, européen cette fois, dans l’histoire de la protection des données. L’approche française du sujet y est prégnante. En effet la CNIL a l’intuition, dès sa création, que le numérique va faire peser trois menaces sur notre vie privée: celle de nous connaître, celle de nous surveiller, et celle de nous piéger.
Nous connaître
Pourquoi le simple fait de nous connaître constitue une menace ? En raison d’une nouvelle économie : celle de la donnée. Google tire 90% de ses revenus de la publicité ciblée, Facebook 98%. Si c’est gratuit, c’est vous le produit !
Nous surveiller
On se rappelle du scandale des écoutes de dirigeants européens par les autorités américaines. Ce scandale a donné lieu à l’invalidation par la Cour de Justice de l'Union Européenne (CJUE) du Privacy Shield, qui était un mécanisme d'auto-certification pour les sociétés établies aux État-Unis d'Amérique; ce dispositif avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis.
La surveillance engendre également des risques de contrôle social important, comme on peut l’observer de manière évidente par exemple en Chine ou en Afghanistan.
Nous piéger
Les cyber-attaques constituent un risque de plus en plus développé, et elles ont divers impacts:
L’impact financier, le plus évident : vous avez une perte financière suite à la fuite de vos données bancaires,
L’impact moral : la perte de confiance dans l’administration ou dans sa capacité à protéger nos données. L’AP-HP (le CHU d’Île-de-France) a été victime d’un hacking, et s’est retrouvée dans l’incapacité de remonter finement les victimes. Résultat : il a fallu envoyer un SMS à tous les patients ayant déjà été entrés ne serait-ce qu’une fois dans le système informatique de l’AP-HP, pour indiquer que le service avait été hacké.
L’impact corporel : la fuite de données du site de rencontres extra-conjugales Ashley Madison a par exemple entraîné au moins deux suicides.
Notre dépendance de plus en plus forte au numérique accentue ces diverses menaces. On délègue de plus en plus d’actions au numérique (à notre smartphone via nos applications mobiles, aux sites internet, et même aujourd’hui à l’intelligence artificielle), et ce faisant nous laissons de plus en plus de traces susceptibles d’être utilisées à mauvais escient.
La CNIL
La Commission nationale de l'informatique et des libertés est indépendante. Elle fait le choix dans un premier temps de faire de la pédagogie, en accompagnant les acteurs économiques : on trouve sur son site de nombreuses ressources qui vont dans ce sens. Dans un second temps, en cas de manquement, elle endosse son second rôle, qui est celui de sanctionner.
La CNIL est habitée d’une volonté de comprendre les différents secteurs économiques qu’elle accompagne, et ne se contente pas de suivre la société, comme on le dit souvent du droit, mais cherche bien à aller au devant de l’innovation. Sa recherche de compréhension fine des secteurs auxquels elle s’intéresse a pour résultat que pour par exemple ceux des ressources humaines ou de la santé, qui sont parmi les secteurs pour lesquels ces questions ont le plus souvent été posées (les ressources humaines) et qui présentent le plus évidemment des risques (la santé), nous disposons de nombreuses ressources d’accompagnement, de vulgarisation, de référentiels…
Les bases des sanctions
La CNIL mène ses enquêtes de trois manières :
Des contrôles sur place : la CNIL se rend dans les locaux de la structure afin d’y mener son enquête,
Des auditions : la CNIL entend les responsables de traitement ou le délégué à la protection des données de la structure contrôlée,
En ligne.
Une enquête peut démarrer sur différentes bases :
Les plaintes
N’importe qui peut déposer une plainte à CNIL s’il ou elle estime avoir subi un préjudice. Dans ce cas, si jamais les plaintes sont multiples, la CNIL peut considérer qu’elle a un faisceau d’indices concordants allant dans le sens de mauvaises pratiques, elle peut donc se saisir pour procéder à un contrôle.
L’auto-saisine
La CNIL se renseigne sur l’actualité. Dans le cadre des émeutes récentes par exemple, il a été question de faire tomber les réseaux sociaux comme TikTok ou Snapchat : est-ce que la CNIL aurait autorisé le gouvernement à mener une telle action ?
Les thématiques prioritaires
Revues chaque année, celles de 2023 sont les suivantes :
Les caméras augmentées pour les J.O.
Elles auraient pour fonction par exemple de reconnaître une personne fichée S s’approchant d’une fanzone dans le but de l’appréhender. Il est évidemment important de rester vigilant quant à la conformité au RGPD d’un tel dispositif, et à la proportionnalité entre l'atteinte aux droits et libertés des personnes et la sécurité recherchée.
Le fichier des incidents de crédits aux particuliers
Ce fichier, tenu par la Banque de France, est accessible par les banques et autres organismes de crédit et est bien entendu extrêmement sensible. Il est essentiel d’en contrôler l’accès, évidemment très important d’en éviter la fuite, et il est surtout primordial que ses informations soient bien à jour afin d’éviter les préjudices (par exemple qu’une personne qui doit en être retirée le soit bien, pour qu’elle ne perde pas injustement la possibilité de contracter des crédits).
Les dossiers de Santé
Les données de santé étaient déjà prioritaires depuis 2020, et aujourd’hui vient s’ajouter une spécification qui est celle des dossiers de santé. Les dossiers médicaux sont maintenant partagés entre l’assistance publique et les professionnels de santé, ce qui accroît les risques.
Les applications mobiles
Celles-ci sont très intrusives : elles peuvent obtenir des accès à votre terminal qui n’existent pas en web : on donne facilement et sans réel consentement des permissions aux applications que l’on télécharge. Si l’on prend l’exemple de Facebook, vous devez lire les CGU pour avoir conscience des permissions que vous donnez, et elles sont très larges : accès à votre galerie photo, votre micro, votre calendrier, vos messages privés, votre caméra, votre géolocalisation, et plus encore. C’est en raison de cet accès micro que vous allez voir apparaître dans votre fil d’actualités et dans vos publicités ciblées des sujets que vous n’avez pourtant évoqués qu’oralement, mais à proximité de votre téléphone. Cela représente évidemment un fort risque sur la vie privée des personnes, ainsi que sur leurs droits et libertés. Ici, c’est le risque de nous connaître qui prédomine.
Face à l’étendue du danger présenté par les applications mobiles, la CNIL a produit des recommandations sur les applications en mars 2023, comme elle l’avait fait en 2020 pour les cookies sur le web. On peut supposer qu’elle va d’abord laisser un délai d’adaptation au secteur - c’est ce qu’elle fait toujours - avant de passer aux sanctions.
Les Sanctions
On observe une augmentation exponentielle des sanctions prises : on passe d’une sanction de 150 000 € d’un GAFAM (Google) en 2020 à 100 millions d’euros en 2020 pour la même entreprise. La CNIL et les autorités de protection des données européennes vont être plus vigilantes à l’égard des GAFAM, qui sont les grands gagnants de cette nouvelle économie : ils en tirent la majeure partie de leurs bénéfices, ce sont donc ceux qui sont le plus fortement sanctionnés. La condamnation la plus spectaculaire est celle de META en 2023 par la Data Protection Commission (l’équivalent de la CNIL en Irlande), à 1,2 milliards d’euros. Dans le cas de plus petits acteurs cependant, la CNIL va avoir tendance à être moins sévère.
Outre cet aspect financier, le gros risque pour les entreprises condamnées est réputationnel : les décisions de la CNIL sont publiques. C’est bien sûr particulièrement vrai pour les structures qui se sont positionnées sur le sujet de la responsabilité sociale et environnementale des entreprises.
Pour conclure
Le RGPD a réinventé la protection des données personnelles. On l’observe dans le pouvoir de sanction impressionnant de la CNIL - qui témoigne également de la prégnance de l’approche française au niveau Européen - , cependant son véritable impact est la visibilité qu’il a donné au sujet : c’était un sujet assez confidentiel, plutôt réservé aux initiés jusqu’à l’adoption du texte en 2016, et il est sur toutes les lèvres aujourd’hui, tant du côté des utilisateurs que de celui des professionnels du numérique.
Le Comptoir résumé en dessin, par Ornella Guyet, consultante chez OCTO Technology
Sources
Pour le pourcentage des revenus de Google et Facebook: Dominique Cardon, Culture numérique, Presses de Sciences Po, 2019