Lors de la présentation de son rapport annuel hier, Isabelle Falque-Pierrotin, présidente de la CNIL, est revenue sur le sujet phare de l’année 2018 : le Règlement général sur la protection des données. Un cap vu comme un véritable pari pour l’Europe.

D’entrée, la présidente de l’autorité indépendante a dénoncé un « marketing de la peur », sur ce texte, « présenté de façon un peu biaisée dans les gazettes et l’opinion publique ». Les ingrédients sont sur la table : un texte complexe, des acteurs qui ne sont toujours pas en conformité alors que le règlement a été adopté en 2016, et le fameux couperet du 25 mai.

Plutôt que de cultiver cette crainte, Isabelle Falque-Pierrotin a préféré une nouvelle fois présenter ce RGPD sous son meilleur angle : « une chance pour l’Europe », un « cadre de confiance », des garanties nouvelles pour le consommateur, une « réponse opérationnelle à la crise de confiance », et enfin une remise en concurrence des acteurs européens face aux gloutons américains.

Pour mémoire, comme expliqué au long de notre trilogie analysant ligne par ligne le règlement, le critère du ciblage utilisé pour définir le périmètre territorial du règlement est très vaste.

Visa européen pour le train du numérique

Seront en effet soumis au RGPD non seulement les entreprises installées en Europe, mais également celles ailleurs qui ciblent ce marché. Conclusion : les valeurs du RGPD vont se propager par-delà les frontières européennes auprès de toutes les entités qui butinent de la donnée personnelle sur le vieux continent. « L’Europe remontre dans ce train numérique ! » s’est enchantée la chef de file de l’institution.

Sur la scène, la CNIL a fort à faire. « IFP » a ainsi rappelé qu’entre 2016 et 2018, elle a démultiplié les campagnes d’information à destination des acteurs. « Sur notre site, toute une série d’outils à destination des acteurs individuels ou des collectivités pour expliquer la logique du RGPD. On a par exemple fourni un logiciel pour mettre en place l’analyse d’impact, des modèles de registres. L’enjeu est d’expliquer et rationaliser le règlement ».

La CNIL compte poursuivre sa collaboration avec les différentes têtes de réseau pour porter la bonne parole, en particulier les fédérations professionnelles, les associations de collectivités locales, avec l’idée que cette pédagogie puisse être relayée le plus horizontalement possible. Plus haut vers le ciel européen, les échanges s’intensifient avec les institutions pour que les nouveaux concepts issus du RGPD bénéficient d’une convergence des régulateurs. Une quinzaine de « guidelines » ont ainsi fait l’objet d’un processus d’adoption.

Le danger d’une approche morcelée

L’urgence est là, doublée d’un danger : une Europe morcelée, par des divergences d’appréciation sur des concepts clefs comme le consentement, le privacy by design, etc. Les juristes savent que de tels défauts sont le terreau idéal pour développer des stratégies de forum shopping, et donc à profiter des faiblesses ou souplesses d’une législation d’un État membre déterminé.

C’est d’ailleurs là l’une des caractéristiques du RGPD : si un règlement s’applique directement et uniformément, cette fois le législateur européen a prévu dans le marbre de nombreuses marges de manœuvre au profit des États membres sur des options cruciales comme les données de santé ou l’âge à partir duquel un consentement peut être exprimé par un mineur.

Ce n’est sans doute pas un hasard si eBay a annoncé fin mars qu’à compter du 1er mai 2018, sa structure eBay GmbH « sera le nouveau responsable de traitement des données » pour le site dans toute l’Europe, exception faite du Royaume-Uni. En clair, l’un des fers de lance du e-commerce a préféré s’installer contractuellement dans le Land de Brandebourg plutôt qu’en France... où d’ailleurs la législation est à la traine, toujours en phase de débat au parlement après l’échec en commission mixte paritaire.

Le RGPD, un pari

Pour la représentante de la CNIL, une certitude : « L’Europe joue gros dans ce règlement. (…) Elle doit faire la démonstration non seulement que ces principes éthiques et généraux sont bons, mais aussi que le nouveau dispositif est efficient et apportera aux acteurs économiques les garanties, la sécurité qu’ils sont en droit d’attendre. À ce stade, c’est un pari. Si on réussit, on aura un standard mondial. Reste à démontrer que cela marche. C’est une épreuve de vérité collective ».

Pour jouer sur le sort, la CNIL va démultiplier les démarches, et ce à un mois et 14 jours du RGPD : un modèle de registre simplifié, outre des modèles types de mentions d’information, et toujours ce fameux guide pour les PME/TPE corédigé avec la BPI qui est annoncé la semaine prochaine. 

S’agissant des startups, Geoffrey Delcroix, en charge du laboratoire d’innovation (LINC) à la commission, décrit la stratégie développée : un accompagnement au plus près de ces acteurs qui n’ont pas souvent les ressources à déployer lors des levées de fonds.

« On veut qu’ils aient un rôle majeur dans le succès de la mise en œuvre du règlement notamment au niveau international en saisissant ses opportunités, dans des solutions innovantes ». L’idée ? Les transformer en fer de lance sur le privacy by design, la transparence, la portabilité des données… Autant d’exemples à faire reluire auprès des autres structures peut être moins motivées à sauter le pas.

Des sanctions monstres, une approche pragmatique

S’agissant du volet des sanctions, qui miroite systématiquement dès lors qu’un article évoque le RGPD, la présidente de l’autorité assure que son attitude sera « extrêmement pragmatique ».

Comme elle nous l’avait déjà expliqué, Isabelle Falque-Pierrotin rappelle que le RGPD s’appuie sur un des concepts et principes qui existent dans le droit positif depuis 40 ans en France. Cela concerne les finalités, une bonne partie des droits des personnes. L’épisode règlementaire va donc être l’occasion d’un « effort de rattrapage » d’un certain nombre d’acteurs sur lequel il serait surprenant qu’il y ait de généreuses mansuétudes.

Soufflant le chaud et le froid, la présidente considère qu’à partir du 25 mai, les régulateurs joueront leur crédibilité dans la mise en oeuvre du cadre européen. « Il n’y aura pas de période de grâce. » Néanmoins, la CNIL ne veut pas nécessairement d’un « tableau de chasse » garni de trophées, préférant s’engager dans une logique d’accompagnement et de montée en apprentissage. « On prendra en compte les efforts, la bonne foi,  du type d’entreprises, etc. Le but est de faire en sorte que les acteurs s’approprient ces nouvelles notions, pas au régulateur de gérer un quantum de sanction ».

Les préoccupations de la CNIL

L’épisode français du projet de loi sur les données personnelles, en discussion au Parlement, a suscité une vive déception au sein de l’institution et spécialement l’échec de la commission mixte paritaire où sénateurs et députés n’ont pu trouver un terrain d’entente. « Cet échec est à nos yeux extrêmement préoccupant ».

La préoccupation se concentre évidemment sur le calendrier : « nous avons un objectif opérationnel absolu. Il faut que la loi soit finalisée avant le 25 mai. Si elle ne l’est pas, l’insertion de la CNIL dans la coopération européenne sera très difficile », typiquement dans le cadre d’une plainte transfrontière qui exige la collaboration entre les autorités de contrôle de plusieurs États membres.

Autre inquiétude : les ressources. « Tous les métiers de la CNIL craquent comme au sein d’un habit un peu étroit ». Alors que le nombre de postes en place reste presque constant année après année, le RGPD va mobiliser davantage les ressources humaines de la commission, notamment sur la question des failles de sécurité où l'intervention de la commission était cantonnée jusqu’à présent aux seuls fournisseurs d’accès Internet. « Nous avons besoin d’une augmentation substantielle de nos ressources. » Le message a été transmis au gouvernement et la réponse est attendue lors de la prochaine loi de finances.

Cambridge Analytica, hors des clous des sanctions du RGPD

L’affaire Cambridge Analytica, qui concerne Facebook, ne sera en tout cas pas le levier attendu pour garantir cette quête de crédibilité. Les faits étant antérieurs à l’entrée en application du RGPD, les protagonistes reconnus coupables ne seront soumis qu’aux sanctions antérieures, soit pour la France un maximum d’un million d’euros.

Le G29, qui regroupe les autorités de contrôle, a souligné le 21 mars que la CNIL britannique, rejointe depuis par son homologue irlandais, menait actuellement une enquête. Les membres du groupement ont promis par ailleurs de travailler ensemble sur le dossier. Qu’en dit la commission française ? « Nous attendons d’avoir le retour de leur part avant de savoir si nous-mêmes sommes compétents pour engager des contrôles. Nous allons très certainement faire quelque chose, est-ce que cela sera de façon autonome ou dans le cadre du G29 ? Cela n’a pas été élucidé ».

En tout cas, pour Isabelle Falque-Pierrotin, « c’est un dossier qui prend la logique et les arguments de ces grands acteurs à revers. Il est particulièrement utile ».

Selon elle, l’affaire écorne les messages de ces ardents défenseurs de la transparence, de la démocratie, de la liberté d’expression et de la communication. « L’effet d’image est particulièrement négatif. Est-ce que cela va nous aider ? Oui. Cela fait monter la prise de conscience. On dénonce ces pratiques depuis plusieurs années, mais nous avions un peu de mal à dire aux personnes que la combinaison des données collectées à leur insu pouvait être préoccupante. On voit aujourd’hui le risque de manipulation politique. Sur le plan pédagogique, la pédagogie par le drame, c’est utile. »