Bilan sur l’application du règlement sur la protection des données personnelles (RGPD)
Mercredi 9 octobre 2019, je suis intervenue à la Commission des Lois de l’Assemblée nationale, avec mon collègue Philippe Gosselin, pour faire un bilan sur l’application de la loi relative à la protection des données personnelles (RGPD), pour laquelle j’avais été rapporteure. Cette intervention faisait partie d’un bilan plus large de l’activité de la Commission depuis le début de la mandature où plusieurs ont été communiqués : 8610 amendements examinés, 43 textes votés, 3400 personnes auditionnées, 11100 pages de rapport, 2268h en séance.
Le RGPD, pierre angulaire d’un modèle européen du numérique, plus respectueux des utilisateurs
Nous pouvons tirer un bilan international très positif du RGPD. Cité comme un antidote face aux scandales de fuites massives de données tel que connu au moment du Cambridge Analytica, mais aussi comme un modèle à l’étranger, c’est notamment le cas de la Californie qui a mis en place son propre “RGPD” le “California Consumer Privacy Act” , d’autres pays s’en inspirent de l’Inde au Brésil.
De nombreux acteurs ont contribué à une mise en œuvre efficace de ce règlement depuis son entrée en vigueur le 25 mai 2018 :
- Une diligence des acteurs institutionnels dans le travail légistique, sur un texte extrêmement complexe. Cela tient tout d’abord au travail réalisé par Nicole Belloubet, ministère de la Justice, aux administrations, à la CNIL, aux experts et à la Commission des lois.
- Les RegTech qui développent les fonctionnalités pour UI/UX loyales (sans cases pré-cochées, paramétrages cachées, vocabulaire trop juridique…).
Lors d’une visite en mars dernier dans des petites et moyennes entreprises, nous avons constaté un grand effort de la part de ces dernières qui ont notamment revisité leurs systèmes d’information et embauché de nouveaux profils. Néanmoins, des questionnements subsistent en particulier sur le statut des sous-traitants et la responsabilité qui incombe à l’une ou l’autre des parties. De plus, les entreprises ont fait par de leurs inquiétudes quant au changement de paradigme qui passe d’une responsabilité a priori à une conformité a posteriori.
Un texte qui ne vivra que si tous les acteurs s’en emparent
Pour que ce texte soit une vraie réussite, il faut désormais que les différents acteurs le fassent vivre :
- Les citoyens doivent s’emparer de l’action de groupe. En France, plusieurs associations en ont déjà lancées, comme la Quadruture du Net, l’UFC Que Choisir ou encore ISOC France.
- La Commission européenne de Justice interprète le texte et prend position : le 1er octobre, elle a statué sur le fait que le placement de cookies requiert le consentement actif des internautes ; le déréférencement (droit à l’oubli) ne s’applique pas au monde entier, seulement à l’Europe.
- Les parlementaires doivent revenir à ces concepts porteurs de droit lorsqu’ils légifèrent sur des sujets numériques comme sur les données de santé, de transport, en bioéthique. Des débats publics à venir viennent questionner la manière dont s’applique le RGPD et quel contenu donner au notion juridique. Ainsi il va falloir suivre de près le débat sur l ‘Article 57 du Projet de loi de finance 2020 qui prévoit la possibilité pour les administrations fiscale et douanière de collecter et exploiter les données rendues publiques sur les sites internet des réseaux sociaux afin de lutter contre la fraude fiscale.
La volonté du Gouvernement d’ouvrir la possibilité à l’administration de recueillir de façon systématique des données sur les réseaux sociaux pour lutter contre la fraude fiscale, si elle est confirmée par l’Assemblée nationale, devra être fortement encadrée. En effet, plusieurs points interrogent, notamment :
- La notion de notification et de consentement
- La durée de conservation des données (1 an)
- La durée de l’expérimentation (3 ans)
- La sécurité du stockage Art. 57 (http://www.assemblee-nationale.fr/15/projets/pl2272.asp#P6850_733924)
Sur ce sujet, la CNIL a rendu un avis appelant à une extrême prudence.