À l’occasion des 5 ans du RGPD, Cécile Théard-Jallu et Julie Bader, respectivement associée et avocate chez De Gaulle Fleurance, reviennent sur les enjeux relatifs à la protection des données.
Depuis le 25 mai 2018, date d’entrée en applicationobligatoire du Règlement Général sur la Protection des Données (RGPD),le cadre de la protection des données à caractère personnel a fortement évolué et fait désormais partie inhérente de la vie des entreprises au sein de l’Union Européenne. Signe de ce bouleversement, les entreprises recourent désormais aux mécanismes de certification de conformité au RGPD comme la certification Europrivacy[1],vecteur de confiance et de valorisation de leur effort de conformité pour les parties prenantes. Plus globalement, l’ensemble de la société s’est emparé de ce sujet tant d’un point de vue business que pour la défense des droits et libertés fondamentales des personnes.
Le RGPD a eu cet effet d’harmonisation au niveau européen avec une montée en puissance du Comité Européen sur la Protection des Données (CEPD) et des autorités de contrôle au niveau national. Ce texte a permis en outre de définir des standards élevés en matière de protection des données à caractère personnel qui s’appliquent à tous, y compris aux plus grandes plateformes sur internet.
La dernière sanction de Meta (ex-Facebook) par la Commission irlandaise de protection des données (DPC) pour un montant de 1,2 milliard d’euros[2] n’est qu’une illustration de l’impact et de la force que représente aujourd’hui le RGPD au sein de l’Union Européenne mais également à l’échelle internationale.
L’autorité française, la CNIL, est un acteur déterminant à la fois dans la diffusion et l’accompagnement des pratiques de conformité et dans le contrôle des violations en matière de traitement des données à caractère personnel. En 2022, elle a ainsi procédé à 345 contrôles et adopté 21 sanctions dont 19 amendes pour un montant cumulé de 101 277 900 euros. Elle émet également des recommandations et des guides de façon régulière en accompagnant les acteurs notamment dans l’innovation grâce à son laboratoire d’exploration, le LINC.
Entre autres sujets, la CNIL joue un rôle majeur dans le contrôle des pratiques des pouvoirs publics s’agissant de l’utilisation d’outils technologiques innovants pour la sécurité publique.Les futurs Jeux Olympiques de Paris 2024ont par exemple donné lieu à l’autorisation du recours aux caméras dites « augmentées » pour des raisons de sécurité.
Autre enjeu d’importance : l’usage de l’intelligence artificielle face aux défis que représente cette technologie pour la protection des données à caractère personnel[3].Le 16 mai dernier, la CNIL a publié un plan d’action dédié à l’intelligence artificielle montrant sa mobilisation pour ce secteur[4].En 2023, la CNIL portera également une attention particulière sur le traitement des donnéesà caractère personnel via les applications mobiles, les fichiers bancaires ou lesdossiers patients[5].
La protection des données à caractère personnel reste un sujet central de notre société et au sein de l’Union européenne. Deux enjeux clés guideront sans doute les prochaines années en la matière[6] : les transferts internationaux des données à caractère personnel et les futures réglementations européennes qui interagissent directement ou indirectement avec le RGPD, en particulier la mise en place d’espaces européennes de données sectorisés.
TRANSFERTS INTERNATIONAUX
En 2020, l’arrêt de la Cour de Justice de l’Union Européenne (CJUE) « Schrems II »[7] invalide le Privacy
Shield, accord entre l’Union européenne et les États-Unis encadrant les transferts de données personnelles. La CJUE exige que des garanties plus élevées en matière de transferts internationaux de données à caractère personnel soient mises en œuvre, en particulier vers les Etats-Unis.
Cet arrêt a eu un retentissement international et continue de guider le cadre nouveau des transferts internationaux de données à caractère personnel. Le CEPD a notamment publié diverses lignes directrices[8] pour déterminer les nouveaux standards en matière de transferts internationaux afin d’assurer que les données à caractère personnel bénéficient d’une protection équivalente dans le pays de destination de ces données.
En juin 2021, la Commission européenne a également mis en place des clauses contractuelles types de transferts internationaux de données[9].
Ces considérations ont un impact direct car elles encouragent fortement les entreprisesà privilégier des transferts au sein de l’Union Européenne ou vers des pays dont la législation est considérée comme adéquate au RGPD. La localisation des données est également un levier majeur de négociation entre professionnels et un nouveau critère de confiance pris en compte par les personnes concernées.
L’encadrement et la mise en conformité des transferts internationaux de données à caractère personnel est un chantier prioritaire pour l’ensemble des entreprises. Ils nécessitent notamment de cartographier ces transferts et de mettre en œuvre les garanties ainsi que les mesures techniques et organisationnelles appropriées.
En particulier, les transferts UE-US demeurent complexes à encadrer car ils nécessitent de prendre en compte la loi fédérale américaine et la loi locale de l’état de destination dans les analyses d’impact. En outre, l’Union Européenne reste réticente à conclure un nouvel accord avec les Etats Unis(type Privacy Shield). Malgré les avancées obtenues dans le cadre des premières négociations, le Parlement européen a récemment demandéà la Commission Européenne de poursuivre ses efforts considérant que le régime actuellement proposé dans le projet de décision d’adéquation pour les transferts transatlantiques, reste insuffisant[10].
Les juridictions jouerontelles aussi un rôle déterminant afin de sécuriser les entreprises dans leurs projets, notamment pour préciser le cadre juridique des transferts internationaux de données[11].
SERVICES NUMERIQUES & REGLEMENTATION EUROPEENNE
L’Union Européenne n’a pas stoppé sa volonté de proposer un cadre unifié à la fois en matière de protection des données à caractère personnel avec le RGPD et d’open data. Le Paquet législatif relatif aux services numériques, bien qu’il ne concerne pas exclusivement ce type de données, tient compte de cet écosystème porteur et valorisé que représentent la collecte et le traitement des données, y compris les données à caractère personnel et leur libre circulation.
Le Data Act (DA) et le Data Governance Act (DGA)viendront poser un nouveau cadre de la gouvernance des données, y compris des données à caractère personnel. Le DA propose un cadre harmonisé concernantl’obligation de parties prenantes d’accorder l’accès aux données collectées ou générées par un appareil (Internet of Things (IoT)) et la définition et l’interdiction de certaines pratiques déloyales à cet égard.
Le DGA a pour objectif de poser des règles harmonisées sur la manière dont les organismes du secteur public peuvent partager les données, y compris les données à caractère personnel, relevant du périmètre du DGA, ainsi que sur les règles applicables aux intermédiaires habilités au partage de données entre les entreprises et les particuliers, soumis à des obligations de certification.
Avec une vision sectorisée, ces textes seront complétés d’autres règlements mettant en place des espaces européens de données, dont le premier, l’Espace européen des données de santé (EEDS), qui fait figure de pilote, avec des projets de terrain déjà portés par la France et la Finlande.
Le Digital Market Act (DMA) et le Digital Services Act (DSA), quant à eux, viennent proposer des règles renforcées dans le cadre de la régulation du marché numérique et des services numériques, en tenant compte notamment de la place des acteurs majeurs comme les Très Grandes Plateformes et les Très Grands Moteurs de recherche (GAMAM).
Enfin, l’Union Européenne se structure autour de la technologie de l’Intelligence Artificielle en proposant un futur cadre unifié européen avec le Règlement Intelligence Artificielle (IA Act). Ce texte a vocation à fournir des règles harmonisées concernant la définition et l’interdiction de certaines pratiques en matière d’IA, la classification de systèmes d’IA en fonction du risque (systèmes à haut risque et à risque limité) et certaines obligations de transparence pour certains systèmes d’IA. En particulier, ce texte tient compte de la nécessité de protéger les données à caractère personnel via les systèmes d’IA. L’utilisation et la protection de ces données sont des enjeux majeurs pour l’IA car la qualité et la quantité des données qui entraineront ces systèmes d’IA auront un impact direct sur leur performance.
Dans un monde de plus en plus numérisé, l’adoption de l’ensemble de ces textes représente un enjeu fondamental pour les professionnels qui doivent donc anticiper leur entrée en application. Le CEPD et les autorités de contrôles nationales sont également très vigilantes afin d’assurer une cohérence et une bonne articulation entre ces textes et les principes du RGPD, qui pourra lui-même être amené à évoluer notamment en conséquence des travaux sur l’Espace européen des données de santé. Ces textes seront également vecteurs de nouvelles opportunités professionnelles en ce qu’ils permettent de nouveaux traitements de données à caractère personnel, parfois à grande échelle de manière encadrée et pouvant être valorisé financièrement selon les conditions du droit applicable.
Au-delà des acteurs individuels, qu’ils soient professionnels ou citoyens, l’on voit derrière ces textes la recherche de souveraineté économique et géopolitique qui anime l’Union européenne et ses Etats-membres.
5 ans après l’entrée en application du RGPD, la protection des données à caractère personnel reste donc un sujet éminemment actuel et en forte évolution. Le RGPD est même devenu un standard international en matière de protection des données à caractère personnel et inspire un nombre croissant de législations adoptées dans le monde.
Julie Bader et Cécile Théard-Jallu, respectivement avocate et associée chez De Gaulle Fleurance
____________________________________
[1]De Gaulle Fleurance – Partenaire d’Europrivacy https://www.degaullefleurance.com/privacy/
[2] DPC Inquiry Reference: IN-20-8-1 – 22 mai 2023 – https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland
[3] En particulier, la CNIL a créé un service dédié à l’intelligence artificielle qui « a vocation à renforcer sa compréhensiondu fonctionnement des systèmes d’IA et à consolider son expertise dans la prévention des risques pour la vie privée liés à la mise en œuvre de ces systèmes. »
[4] CNIL - Intelligence artificielle : le plan d’action de la CNIL – 16 mai 2023
[5] CNIL – Thématiques prioritaires de contrôle 2023 : caméras « augmentées », applications mobiles, fichiers bancaires et dossiers patients – 15 mars 2023
[6]Ces enjeux majeurs sont accompagnés de nombreuses autres considérations. En particulier, l’interprétation du RGPD et de ses notions font l’objet d’évolution et de précisions par les juridictions. (v. notamment sur les récentes évolutions en matière de préjudice moral. V. Quirin et G. Jagerschmidt, "Observations sur l'arrêt C-300/21 Österreichische Post rendu par la CJUE le 4 mai 2023", à paraître)
[7] CJUE, 16 juillet 2020 Aff. C‑311/18
[8]https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_fr
[9]https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr
[10]Résolution du Parlement européen du 11 mai 2023 sur l’adéquation de la protection assurée par le cadre de protection des données UE–États-Unis (2023/2501(RSP)
[11] A noter notamment la récente décision du Tribunal de l’Union Européenne (TUE) sur la notion casuistique de qualification des données à caractère personnel (pseudonymisées ou pouvant être considérées comme sortant du cadre du RGPD) dans le cadre d’un transfert international de données à caractère personnel (TUE, 26 avril 2023 T‑557/20)