L’utilisateur reste la principale cause de fuites de données. (Illustration: Maison Moderne)

L’utilisateur reste la principale cause de fuites de données. (Illustration: Maison Moderne)

Le 15 décembre 2015, la présidence luxembourgeoise du Conseil de l’UE est parvenue à décrocher un accord informel sur une matière très sensible et vivement débattue au sein du Parlement européen: la protection des données à caractère personnel. Le «General data protection regulation» ou GDPR est l’aboutissement d’une longue réflexion initiée par la Commission dès 2012 pour remplacer une législation vieille de 30 ans. Attendu de longue date, cet accord donnera naissance à un nouveau cadre pour tout ce qui a trait au respect de la vie privée à l’ère numérique. Le paquet «protection des données» comprend deux parties: un règlement général sur la protection des données, qui veut permettre aux citoyens d’avoir plus de contrôle sur ce qui est fait de leurs informations personnelles, et une directive concernant la police et la justice. Si l’accord de principe est voté par le Parlement européen, les nouvelles règles seront d’application dans les deux ans. «On s’attend à une mise en application au premier semestre 2018, confirme Catherine Di Lorenzo», senior associate chez Allen & Overy. «Actuellement, nous attendons le vote du parlement, qui sera suivi de vérifications techniques.»

Concernant le volet protection des données, le choix de l’instrument juridique n’est pas neutre. Étant directement applicable sans devoir passer par une transposition nationale, un règlement laisse une moins grande marge d’appréciation aux pays membres. «Toutefois, sur certains points, les États ont la possibilité de légiférer davantage. Ils peuvent, par exemple, choisir d’ajouter des sanctions pénales aux amendes. Il n’y aura pas d’harmonisation totale.» Le lobbying intense des géants du web couplé aux intérêts économiques en jeu, certaines questions délicates ont été gardées pour plus tard afin d’accélérer le consensus, rendant la copie quelque peu édulcorée. «Il y a eu énormément de modifications entre la première version et la version actuelle du texte. Si le projet est moins ambitieux, il demeure que la mise en conformité avec le GDPR ne sera plus une option. Les enjeux en présence sont tels que c’est aujourd’hui un sujet qui doit se discuter au sein des conseils d’administration», complète Catherine Di Lorenzo. Certaines avancées sont bel et bien réelles, comme l’inscription en toutes lettres du droit à la rectification, à l’effacement et à l’oubli, qui devrait favoriser la confiance des consommateurs en l’économie numérique, mais aussi l’obligation pour les organisations de documenter l’ensemble de leurs efforts en matière de protection des données personnelles. Le texte définit également, pour la première fois, des notions comme le profilage en ligne. Autre tournant, dans le cas de transferts de données transnationaux, le texte s’applique sur l’ensemble des prestataires dirigeant leurs activités vers le territoire de l’UE, y compris ceux opérant depuis l’étranger, ce qui est inédit.

Clarifier les responsabilités

Pour se conformer aux nouvelles dispositions, les entreprises, désormais obligées de solliciter le consentement explicite de leurs clients pour toute conservation de données les concernant, ont du pain sur la planche pour adapter leurs processus. Parmi les changements phares: l’adoption d’une philosophie de «privacy by design»; une notion resserrée du consentement de l’utilisateur; une obligation de notification à l’autorité de surveillance compétente dans les 72 heures en cas de brèche dans la protection de données à caractère personnel ou encore des sanctions pouvant aller jusqu’à 4% du chiffre d’affaire mondial d’une entreprise. «Le plus important est de créer des processus transparents et connus de tous, afin que chaque faille soit détectée et notifiée à temps. Il s’agit ensuite de sensibiliser ses équipes aux nouvelles obligations et de progressivement diffuser une culture du respect de la vie privée et des données personnelles. Fondamentale, la notion de ‘privacy by design’ sous-entend d’intégrer la protection des données dès la conception d’un projet et non plus seulement à postériori. C’est un vrai renversement de perspective, qui permet d’être conforme, mais aussi de disposer d’un avantage comparatif sur ses concurrents. La protection des données personnelles devra faire partie de l'ADN de l'organisation.» Il faudra documenter les mesures comme le contrôle de son infrastructure, le cryptage des données ou encore les accès à ses systèmes, et surtout réévaluer régulièrement les choix posés.

Dans le sillage du règlement, le rôle dévolu aux instances de contrôle comme la CNPD est amené à évoluer. «Il ne faut, par exemple, plus notifier tout traitement de données. Cette obligation vient de tomber. Le volet purement administratif va laisser place à davantage d’investigation et de coopération à l’échelle européenne.»

La création d’un «European data protection board» composé de tous les organes de surveillance des États membres pour remplacer l’actuel Groupe des 29, fait également partie des changements annoncés dans le texte. «Il s’agit d’un autre nom, mais aussi d’une nouvelle étendue des compétences», note Catherine Di Lorenzo. «Cette instance pourra trancher des litiges et guider les organes nationaux dans l’inévitable interprétation du règlement.» Son action sera renforcée par la mise en place d’un guichet unique pour tout le territoire européen qui traitera de toutes les questions et réclamations liées à l’usage de données personnelles.

Très médiatique, l’épineuse question de la préservation de la vie privée des citoyens de l’UE vient de prendre un nouveau tour avec un premier accord politique traitant de la réforme de la protection des données sous la présidence luxembourgeoise du Conseil.