Retour

Touche pas mes datas

Au centre du Règlement général de protection des données (RGPD), il y a la gestion des informations personnelles de tous les résidents européens. Cette préoccupation est hissée au rang de droit fondamental. Les administrations nationales devront collaborer plus étroitement pour faire respecter des droits personnels ou ceux des entreprises. Pour les entreprises ne respectant pas ces règles, l’amende pourra monter jusqu’à 4% du chiffre d’affaires planétaire ou jusqu’à vingt millions d’euros s’il s’agit d’un acteur local. L’entreprise se retrouve en première ligne à l’article 24 du RGPD, en étant priée de prévoir une fonction de délégué à la protection des données: «Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire».

Oubli partout

L’ambition européenne est d’édicter une série de normes protectrices, les premières du genre à une telle échelle, servant de référence pour une éventuelle solution mondiale. Par exemple, un géant du web chinois ne respectant pas le code sera pénalisé par les Européens. Parmi les dispositions originales, il y a une sorte de droit à l’oubli renforcé: non seulement une personne peut exiger l’effacement de ses données, mais l’entreprise incriminée devra le faire savoir aux éventuelles autres maillons de la chaîne auxquels elles avaient transmis ces données. La législation européenne laisse néanmoins une marge d’appréciation à ses propres membres. Ainsi, le texte devient nettement plus souple s’il s’agit d’un traitement occasionnel des données, sans que l’on sache exactement ce que cela recouvre. L’âge limite en-dessous duquel les parents donneront leur autorisation pour les informations collectées sur leurs enfants est de 16 ans.

L’Espagne va choisir de porter cette norme à 13 ans seulement, de même que la République tchèque. La Belgique veut maintenir une série de barrières juridiques concernant la sphère du secret professionnel, tandis que l’Estonie donnera le droit à son administration de collecter n’importe quelle information personnelle digitalisée, s’il s’agit de contrer une menace contre l’ordre public. D’une manière générale, les administrations échappent en partie à la vigilance du RGPD si elles font des «traitements de données à caractère personnel mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique». Cela concerne notamment les systèmes d’identité et les fichiers judiciaires.

Bruxelles contre-attaque

L’ensemble du dispositif sera chapeauté par un Comité européen de protection des données, où tous les membres seront représentés sur le plan technique et administratif autour d’un responsable de l’Union européenne. En cas de litige, le plaignant pourra formuler une réclamation auprès d’une autorité de contrôle nationale et traduire en justice l’acteur informatique incriminé et ses sous-traitants. En revanche, des compagnies particulièrement vertueuses dans leurs traitements des données se verront décerner un certificat national de bonne conduite valable pour trois années. Fruit d’une longue négociation intracommunautaire, le RGPD survient au moment où les nuages s’accumulent sur les réseaux avec divers scandales. Il faut cependant constater la ligne de fracture: les Etats-Unis ont inventé Google, Amazon, Facebook, Apple, Microsoft. La Chine se dote de puissants acteurs tels que Baidu, Alibaba, Tencent, Xiaomi. Rien de tel en Europe. Le Vieux Continent préfère l’innovation juridique. Il est évident que le nouveau règlement concerne aussi les acteurs européens, nettement moins puissants. Ce qui frappe, c’est une sorte de souveraineté numérique exprimée dans le nouveau texte, avec une touche d’extraterritorialité: il s’applique sur le territoire européen, que le traitement des données ait lieu ou pas dans l’UE. Toutefois, l’articulation pratique avec le droit américain ou chinois s’annonce difficile, sans parler des procédures pratiques et techniques.

Maurice Satineau