Voss | TBS Education

[su_pullquote align=”right”]Par Gregory Voss et Kimberly Houser[/su_pullquote]
La débâcle du Cambridge Analytica et l’audience du Sénat américain qui a suivi ont révélé sans équivoque qu’aux États-Unis, les lois relatives à la protection des données personnelles ne sont pas appropriées. Malgré leurs grands discours, les sénateurs ont fait preuve d’un manque de compréhension, non seulement du fonctionnement de l’économie des données, mais également des lois de leur propre pays.

Lorsque le Règlement général sur la protection des données en Europe (RGPD) est entré en vigueur le 25 mai 2018, les inégalités entre les lois européennes et américaines sont devenues assez évidentes. Dans notre document de travail intitulé « RGPD : la fin de Google et Facebook ou un nouveau paradigme dans la protection des données personnelles ? », à paraître dans l’édition d’automne du Richmond Journal of Law and Technology, nous étudions ces différences en termes d’idéologie, de mesures d’application, ainsi que les lois elles-mêmes.

Le modèle économique américain relatif à la technologie consiste à fournir des services gratuits en échange des données personnelles d’un utilisateur. Cela est cohérent avec la loi américaine de protection des données personnelles, qui est spécifique à chaque secteur. En effet, seul un certain type de données – médicales et financières, par exemple – est protégé, mais seulement dans la limite prévue par la loi applicable. Aux États-Unis, il n’existe pas de loi fédérale omnibus sur la protection des données dans le secteur privé. Bien que la Federal Trade Commission (FTC) soit l’autorité de facto en matière de protection des données aux États-Unis, ses antécédents en matière de mesures d’application de la loi contre les entreprises américaines de technologie sont plutôt limités. Historiquement, la FTC n’a pris des mesures que lorsqu’une entreprise ne respectait pas la politique de protection des données personnelles qu’elle a fournie, en vertu de l’Article 5 de la loi de la FTC concernant les « pratiques trompeuses et déloyales ».

Le modèle européen de protection des données personnelles est basé sur la fondation des droits de l’Homme et considère comme fondamentales la vie privée ainsi que la protection des données. Sous le prédécesseur du RGPD (la Directive de 1995), de nombreuses mesures ont été prises contre les entreprises américaines de technologie pour cause de violation des lois des États membres de l’Union européenne. Malgré ces nombreuses mesures d’application de la loi réussies, ces entreprises américaines de technologie n’ont pas changé de façon significative leur modèle économique par rapport aux données obtenues de l’UE, en raison de la faiblesse du plafond des amendes prévues par les législations nationales (par exemple, 150 000 € en France pour une entreprise évaluée à 500 milliards d’euros).

L’idéologie américaine qui sous-tend la protection des données personnelles est l’équilibre entre la capacité d’une entité à monétiser les données qu’elle collecte (encourageant ainsi l’innovation) et les attentes des utilisateurs en matière de vie privée (ces attentes étant visiblement faibles aux États-Unis). Dans l’UE, l’accent est mis sur la protection des données personnelles des utilisateurs. Le cas de Google Espagne illustre parfaitement cette dichotomie. Un citoyen espagnol a voulu faire retirer de Google certaines informations le concernant, comme le permet la loi en vigueur dans l’Union européenne. Google s’y est opposé et a saisi le tribunal. Étaient opposés la liberté d’expression (d’une importance capitale aux États-Unis) ainsi que le droit de Google à revendiquer les informations du public, et le droit européen à la vie privée et à l’oubli, invoqué par le plaignant européen. La Cour de justice européenne a jugé que l’équilibre des intérêts a penché en faveur du plaignant.

Comme expliqué dans notre publication, les lois fédérales des États-Unis sont spécifiques à chaque secteur, les principaux domaines étant couverts par la loi américaine de l’assurance maladie (Health Insurance Portability and Accountability Act) (informations relatives aux soins de santé), la loi Gramm-Leach-Bliley (Gramm-Leach-Bliley Act) (informations financières), la loi « Fair Credit Reporting Act » (informations relatives au crédit) et la loi visant à protéger la vie privée des enfants sur Internet (Children’s Online Privacy Protection Act) (informations sur les enfants). En outre, les États ont également adopté diverses lois relatives à la sécurité des données, exigeant la notification des atteintes à la protection des données.

D’un autre côté, l’approche européenne a toujours été plus large. Par exemple, pour atteindre ses objectifs, la Directive de 1995 stipule que chaque État membre de l’Union européenne est dans l’obligation d’adopter des lois exhaustives relatives à la protection de la vie privée. Même si l’adoption d’une directive était synonyme, pour les États membres, de flexibilité quant à la création de leur propre loi sur la protection de la vie privée, en 2012, la Commission européenne a décrété que la loi devait être mise à jour. Le RGPD a été promulgué pour : assurer l’harmonisation entre les lois des États membres, intégrer des avancées en matière de technologie, débarrasser les entreprises des charges administratives liées aux demandes d’enregistrement et, comme nous l’indiquons dans notre publication, uniformiser les règles du jeu pour les entreprises de technologie utilisant les données personnelles de celles situées en Europe.

Étant donné que les entreprises américaines ont pu monétiser leurs données avec peu de restrictions ou de conséquences, elles se sont imposées dans le domaine de la technologie, avec une part de marché de 80 % pour Facebook, et de 90 % pour Google. Toutefois, les règlementations ont été mises à jour conformément aux données de l’Union européenne. Le RGPD exige, entre autres, un consentement vérifiable et préalable à l’utilisation des données de l’utilisateur ainsi qu’un consentement pour toute utilisation secondaire. Il n’existe pas d’exigence similaire aux États-Unis : les entreprises opérant sous la loi américaine reposent essentiellement sur un mécanisme de retrait et n’ont pas l’obligation de révéler les utilisations secondaires des données. Le RGPD prévoit également un droit à l’oubli, un droit à la portabilité des données personnelles, la possibilité de refuser le traitement automatique des données (profilage), et exige que le traitement des données ait lieu sur une base légale. Aucun de ces droits ne sont accordés aux citoyens des États-Unis sous les lois fédérales américaines en vigueur.

Le RGPD ayant une portée extraterritoriale, la loi sera appliquée si l’entreprise, peu importe où elle est située, collecte et traite les données personnelles de celles situées en Europe, et lorsque le traitement concerne l’offre de biens ou de services (payants ou « gratuits ») aux personnes concernées, ou le contrôle de leur comportement, dans la mesure où celui-ci a lieu au sein de l’UE. Cela soulève la question suivante : le RGPD sera-t-il synonyme de la mort de Google et Facebook ou présentera-t-il un nouveau paradigme dans la protection des données personnelles ? Le temps nous le dira. Toutefois, étant donné que, sous le RGPD, les amendes pourraient passer de plus de 100 000 euros à plus d’un milliard d’euros, il semblerait que le modèle économique américain (les données pour le service) doive s’adapter, au moins en ce qui concerne les données de l’UE.

Cet article a été publiée dans Oxford Business Law Blog.

Nombreux étaient les participants à la 5ème édition des Matinales de la Recherche de Toulouse Business School, concernés par la nouvelle législation européenne sur la protection des données.

Applicable à toutes les entreprises dont les activités ciblent le territoire européen, le règlement général pour la protection des données personnelles (RGPD) entrera en vigueur à partir du 25 mai 2018. Son objectif est de protéger les citoyens européens contre une utilisation malveillante de leurs données à caractère personnel. Gregory Voss, Juris Doctor et enseignant-chercheur à TBS et Maître Stanley Claisse, avocat spécialiste en droit de la propriété intellectuelle, droit de l’informatique et des télécommunications, ont fait le point sur cette nouvelle réglementation : plus uniforme, plus responsabilisant, plus vertueuse.

Une évolution réglementaire nécessaire

Big Data, stockage biométrique… De nombreuses évolutions technologiques sont intervenues depuis la directive européenne de 1995 qui régit actuellement la protection des données en Europe. La législation n’est plus adaptée mais surtout elle présente d’importantes disparités entre les états membres qui ont transposé la directive avec des différences. L’harmonisation de la réglementation constitue donc un objectif de la réforme.
Autre ambition du nouveau règlement : alléger le fardeau administratif et le coût engendrés par les formalités de déclaration préalable dont doit s’acquitter toute entreprise traitant des données personnelles.

Enfin, si le niveau de protection des données personnelles en Europe est globalement satisfaisant, les sanctions financières prévues par la directive à l’encontre de contrevenants demeuraient très faibles dans certains états, comme la France.

C’est dans ce contexte et à l’issue d’un long processus que l’Union européenne a adopté le nouveau règlement général pour la protection des données personnelles (RGPD). Il sera applicable à partir du 25 mai 2018.
Une étape pour l’établissement du marché numérique européen
Le choix de légiférer via la forme du règlement n’est pas anodin. A la différence de la directive, les règlements européens ne nécessitent pas de transposition dans les Etats membres. Le règlement européen général pour la protection des données personnelles permet donc une harmonisation quasi-parfaite de la législation dans les 28 Etats membres.
Son champ d’application concerne toutes les entreprises, quelle que soit leur taille qu’elles aient, ou non, leur siège dans l’Union européenne. Ainsi, les entreprises transnationales dont les activités ciblent le territoire européen tombent désormais sous le coup de la réforme.

“ On parle d’effet extraterritorial du nouveau règlement européen. Il inclut les cas classiques d’entreprises qui traitent des données à caractère personnel dans l’union européenne ou y ayant un siège social, mais aussi les entreprises hors de ce territoire dont les activités ciblent les personnes sur le territoire de l’union européenne. Qu’il s’agisse de la fourniture de produits et de services ou du suivi du comportement dans l’union européenne qui visent ces personnes. ”
Grégory Voss, Juris Doctor et enseignant-chercheur à TBS

Une réglementation responsabilisante pour les entreprises

La philosophie du nouveau règlement général pour la protection des données personnelles est résolument tournée vers la responsabilisation des entreprises. Cette volonté se traduit, d’une part, par l’obligation faite aux entreprises de démontrer à tout moment qu’elles sont en conformité avec la législation. Cette obligation va engendrer une modification dans la gouvernance des entreprises qui devront recruter des profils adaptés. Ces « délégués à la protection des données à caractère personnel » auront pour mission de cartographier les traitements de données personnelles mis en œuvre par l’entreprise et d’assurer leur conformité à la réglementation. On estime à 75 000 postes le gisement mondial d’emplois dans ce domaine.

L’objectif de responsabilisation des entreprises s’exprime, d’autre part, à travers l’obligation, pour toutes les entreprises, et pas seulement les fournisseurs de services de communications électroniques, de déclarer, aux personnes ciblées par le traitement des données, toute attaque ou piratage subis par leur base de données. Sauf exception prévue dans le règlement, elles doivent informer les personnes physiques de la potentielle corruption de leurs données personnelles, dès lors que la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Cette obligation d’information exposera l’entreprise, de façon prévisible, à la multiplication des actions collectives ou des demandes de réparation de préjudice.

En cas de manquement à ses obligations, l’entreprise s’expose à de lourdes sanctions financières, lesquelles ont été considérablement renforcées puisqu’elles peuvent atteindre 4% de leur chiffre d’affaires mondial pour certaines violations dans le cas d’une entreprise.
Plus responsabilisant, ce dispositif se substitue à la déclaration préalable que doit aujourd’hui effectuer toute entreprise traitant des informations à caractère personnel.
Vers une amélioration du niveau de sécurité global des entreprises
Si l’objectif de cette nouvelle réglementation est, au premier chef, de minimiser les risques de violations des données personnelles et les préjudices subséquents, son effet sera bénéfique sur le niveau de sécurité des entreprises. Pour protéger les données personnelles qu’elles traitent, les entreprises devront mettre en place des outils de sécurité informatique, de chiffrement, de contrôle d’accès… Si elles ont recours à des sous-traitants, elles devront s’assurer qu’ils sont en conformité avec leurs exigences de sécurité. Ces obligations renforcées devraient contribuer à l’amélioration globale du niveau de sécurité des systèmes d’information et avoir un effet préventif sur la cybercriminalité.
En revanche, cette amélioration ne sera pas immédiate dans toutes les entreprises :

“ Si les grandes entreprises se sont préparées à ce changement réglementaire, les petites et moyennes entreprises vont mettre plus de temps à s’adapter. Espérer qu’elles seront en conformité dans les 6 mois est largement illusoire. Ce sera un travail de longue haleine qui de plus nécessitera de la régularité dans la vérification de la conformité des données. ”
Stanley Claisse, avocat au barreau de Toulouse, spécialiste en droit de la propriété intellectuelle, droit de l’informatique et des télécommunications.

Gregory Voss est Juris Doctor et enseignant-chercheur à Toulouse Business School. Ses recherches portent essentiellement sur la question de la protection des données personnelles et le droit de l’internet. Il a publié de très nombreux articles et ouvrages sur ce thème. Son article « Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation » vient d’être publié dans la Revue juridique Thémis de l’Université de Montréal et beaucoup de ses articles de recherche sont accessibles depuis http://ssrn.com/author=1740804 et http://tbs-education.academia.edu/WGregoryVoss

Maitre Stanley Claisse est avocat inscrit au barreau de Toulouse, conférencier et formateur. Il est spécialisé en droit de la propriété intellectuelle, droit de l’informatique et des télécommunications. Il est également ingénieur en informatique.

[su_pullquote align=”right”]Par Gregory Voss[/su_pullquote]

La réforme lancée en 2012 par l’Union européenne (UE) en vue d’assurer un haut niveau de protection des données à caractère personnel pour les citoyens des 28 pays membres verra-t-elle le jour en 2017 ? C’est possible, mais il reste encore à trouver un accord entre le Parlement européen, le Conseil de l’UE et la Commission européenne : c’est la phase du trilogue.

Depuis juin 2015, ces trois institutions de l’UE négocient pour parvenir à un texte unique, le Règlement général sur la protection des données (RGPD). Il existe encore des points de désaccord entre le Parlement et le Conseil, en particulier sur l’obtention du consentement individuel concernant le traitement des données personnelles, les droits et devoirs des collecteurs de données, le montant des amendes en cas d’infraction.

Dès 2012, la Commission européenne a proposé une nouvelle législation sur la protection des données à caractère personnel. Mais ce texte voté par le Parlement européen le 12 mars 2014, attend désormais d’être validé par le Conseil de l’UE. Cette réforme permettra de protéger les citoyens européens et leurs données personnelles même pour les entreprises transnationales responsables du traitement des données via Internet dont le siège ne se trouve pas dans l’UE. Si le niveau de protection des données personnelles en Europe est en général élevé, le niveau des sanctions financières est trop bas, contrairement à ce qui se passe aux Etats-Unis.

Dès que les trois instances de l’UE se seront mises d’accord sur un projet de texte, celui-ci ne pourra être adopté qu’après deux lectures consécutives du même texte par le Parlement, directement élu par les citoyens, et le Conseil qui réunit les gouvernements des 28 états membres. Une fois adopté (sans doute en 2016, même si certains penchent pour une adoption fin 2015), il deviendra applicable dans les deux années suivant l’adoption.

Ce RGPD harmonisera le droit européen et pourrait avoir pour autre atout d’engager un processus d’harmonisation du droit international en matière de protection des données personnelles vers le haut. Par ailleurs, la réduction du fardeau administratif grâce à ce seul texte de loi permettra d’économiser 2,3 milliards d’euros par an, selon les calculs de la Commission.

Le processus peut sembler long mais il convient de rappeler qu’il a fallu 5 années pour négocier la Directive européenne de 1995 sur la protection des données à caractère personnel. Pour le RGPD nous n’en somme qu’à 3 ans et demi, il reste donc de la marge.

Le RGPD fait l’objet d’un intense travail de lobbying par les représentants des responsables du traitement des données. Ces derniers, même s’ils ralentissent le travail législatif, peuvent jouer un rôle légitime en informant le législateur sur les réalités des sociétés collectrices de données.

Depuis l’affaire Snowden, la réforme législative a connu de nombreux soubresauts. Edward Snowden, ancien consultant de la CIA et membre de la National Security Agency (NSA), révélait en juin 2013, que le gouvernement des Etats-Unis avait collecté auprès de 9 géants américains des nouvelles technologies des informations à caractère personnel au sujet de personnes vivant hors des Etats-Unis, notamment dans le cadre d’un programme de surveillance électronique appelé PRISM. Dès le 21 octobre 2013, le Parlement européen proposait un texte dans lequel une des dispositions stipulait que « le responsable du traitement ou le sous-traitant informent […] la personne concernée de toute communication de données à caractère personnel à des autorités publiques au cours des douze derniers mois consécutifs ». Cette disposition est de toute évidence influencée par l’affaire PRISM.

En général, les affaires liées à la protection des données stimulent le débat sur la vie privée en Europe, même si elles ont ébranlé la confiance entre l’UE et les Etats-Unis. Ainsi, le 6 octobre 2015, dans une affaire sur le transfert des données d’un citoyen autrichien aux États-Unis par la filiale de Facebook en Europe, la Cour de justice de l’UE (CJUE) a invalidé les Principes de la sphère de sécurité (Safe Harbor Principles) qui permettaient un tel transfert. En cas de menaces sur la sécurité des Etats-Unis, une clause permettait aux autorités étatsuniennes d’accéder aux données personnelles des Européens. La CJUE a tout naturellement suivi les conclusions de l’avocat général suite à l’annonce de la décision de la CJUE qui selon lui, « pose un problème pour les plus de 4000 sociétés américaines et européennes qui dépendent des Safe Harbor Principles pour transférer des données à caractère personnel aux États-Unis ». Reste à voir les actions que les institutions et les entreprises européennes et américaines vont engager suite à cette décision.

D’un autre côté, même en l’absence d’un RGPD, l’affaire Google Privacy Policy, révèle que les Etats membres de l’UE ont à leur disposition des outils pour contraindre le moteur de recherche à respecter la vie privée et les données à caractère personnel. Ainsi, après plusieurs injonctions, les autorités de surveillance de la protection des données personnelles d’Allemagne d’Espagne, de France, d’Italie, des Pays-Bas et du Royaume Uni ont prononcé à l’encontre de Google des sanctions, notamment des amendes de plusieurs centaines de milliers d’euros. Même si ces pénalités sont relativement peu élevées par rapport au chiffre d’affaires annuel de Google (59 milliards d’euros en 2014), elles annoncent des mesures coercitives plus sévères basées sur le chiffre d’affaires de l’entreprise sanctionnée dans le projet de législation européen.

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est en désaccord avec Google sur le déréférencement suite à la décision Google Spain de la CJUE. Depuis la reconnaissance de ce droit par le tribunal, en 2014, toute personne peut demander à un moteur de recherche d’effacer les résultats apparaissant en cas de requête à partir de son nom. Conséquence: Google a reçu plusieurs dizaines de milliers de demandes de citoyens français. Elle a donc procédé au déréférencement de certains résultats sur les extensions européennes du moteur de recherches (.fr ; .es ; .co.uk ; etc.). Mais elle n’a pas procédé au déréférencement sur les autres terminaisons géographiques ou sur google.com, consultable par tout internaute. En mai 2015, la CNIL a mis en demeure Google de procéder au déréférencement sur tous les noms de domaine. Mais Google fait valoir que cette décision constitue une atteinte au droit à l’information du public et donc une forme de censure. Un rapporteur sera sans doute nommé pour trouver une solution.

Pendant que l’Union européenne tente d’arracher un texte commun sur la protection des données personnelles, les états comme la France continuent de renforcer leur arsenal législatif. Le gouvernement a ainsi présenté le 26 septembre 2015 un projet de texte soumis à l’avis du public pour une « République numérique » : une trentaine d’articles portant sur le secret des correspondances électroniques, la portabilité des fichiers, le libre accès aux données publiques. La consultation des citoyens dans l’élaboration du document est une procédure intéressante dont il conviendra de suivre l’évolution.

[su_note note_color=”#f8f8f8″]Par Gregory Voss et les articles « European Union Data Privacy Law Developments », publié dans The Business Lawyer (volume 70, number 1, Hiver 2014-2015), « Looking at European Union Data Protection Law Reform Through a Different Prism : the Proposed EU General Data Protection Regulation Two Years Later », publié dans Journal of Internet Law (volume 17, number 9, mars 2014) et « Privacy, E-Commerce, and Data Security », publié dans The Year in Review, publication annuelle de ABA/Section of International Law (Printemps 2014), co-écrit avec Katherine Woodock, Don Corbet, Chris Bollard, Jennifer L. Mozwecz, et João Luis Traça.[/su_note]

[su_box title=”Applications pratiques” style=”soft” box_color=”#f8f8f8″ title_color=”#111111″]L’impact du RGDP pour les entreprises va dépendre du texte final adopté par l’UE. Ce qui est certain c’est qu’il y aura une plus grande responsabilisation des entreprises qui gèrent les données. Certaines entreprises vont sans doute devoir créer des postes de délégué à la protection des données (DPD) sur le modèle du Correspondant Informatique et Libertés (CIL) en France. Des entreprises spécialisées dans l’impact des juridictions en matière de protection de la vie privée vont également voir le jour. Il conseille donc aux chefs d’entreprises d’effectuer une veille législative en matière de protection des données personnelles afin de se conformer à la législation dès que celle-ci entrera en vigueur. Il suggère de sensibiliser les employés par des formations sur la protection des données personnelles. Enfin, les entreprises devront mettre en place des procédures adéquates pour se conformer à la législation sur la protection des données à caractère personnel, y compris celles qui permettront les notifications qui seront requises par le RGDP des violations de données à caractère personnel.[/su_box]

[su_spoiler title=”Méthodologie”]Pour rédiger ses articles sur la législation en matière de protection des données à caractère personnelle, j’ai analysé de nombreux documents juridiques ainsi que « des centaines de pages de propositions, d’amendements, d’avis » émanant surtout des travaux du G29, le groupe de travail indépendant de l’UE sur le traitement des données à caractère personnel. Dans ses articles, je mets en perspective les propositions des instances européennes pour l’adoption d’un RGPD et offre des conseils pratiques pour les entreprises. J’ai également examiné l’évolution des positions des différentes instances européennes, Commission européenne, Parlement, Conseil de l’UE et a étudié les réactions du législateur suite aux révélations d’Edward Snowden en matière de surveillance électronique..[/su_spoiler]