Chapitre 10
Le RGPD, quatre ans après : quel bilan et quelles perspectives pour le droit de la protection des données personnelles ?
p. 211-226
Texte intégral
1Identité, date de naissance, mais également listes de diffusion musicales, objets connectés ou encore achats enregistrés, les données personnelles sont autant de petits cailloux allègrement semés par les petits poucets du numérique.
2Le désormais célèbre Règlement général sur la protection des données personnelles du 27 avril 2016, communément dénommé RGPD, est entré en vigueur le 25 mai 2018. Adopté après quatre années de négociations, ce règlement européen définit un ensemble de règles communes pour les acteurs effectuant le traitement des données personnelles dans le cadre de son activité, établi sur le territoire de l’Union européenne ou ciblant directement des résidents européens. Ce règlement prend acte d’une circulation des données personnelles à travers et parfois en dehors de l’Union européenne. Le RGPD, intégré dans le droit français par la loi du 20 juin 20181 modifiant la loi « informatique et libertés » du 6 janvier 1978, a pour objectifs ambitieux de renforcer les droits des citoyens européens par une meilleure maîtrise de leurs données à caractère personnel, tout en responsabilisant les entreprises et organismes traitant ce type de données.
3Le règlement s’applique exclusivement aux traitements de données de personnes physiques, à l’exclusion des échanges entre personnes morales. Il vise également les sous-traitants à qui les entreprises délèguent le traitement des données. Le sous-traitant est considéré dans ce cadre comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Le traitement peut se définir comme une opération ou un ensemble d’opérations, effectuées ou non à l’aide de procédés automatisés, appliquées à des données à caractère personnel. La donnée personnelle est appréhendée quant à elle dans ce cadre comme toute information se rapportant à une personne physique identifiée ou identifiable (RGPD, article 4, 1). En effet, une personne peut être identifiée directement – par son nom, prénom ou numéro de sécurité sociale – ou indirectement – par une adresse, un identifiant, un numéro de téléphone ou encore une donnée biométrique. La donnée peut ainsi être à caractère personnel même si elle est publique ; pour ne plus être considérée comme étant personnelle, une donnée doit être anonymisée de sorte à rendre impossible toute identification de la personne concernée.
4Quatre ans après l’entrée en vigueur du règlement, et à la suite d’une campagne de communication massive menée tant par la CNIL, les instances européennes que les réseaux professionnels, le premier impact de l’entrée en vigueur du RGPD s’est produit sur l’opinion publique. Les citoyens français s’estiment plus sensibles à la question des données personnelles et perçoivent le règlement comme un outil efficace pour protéger les données personnelles des citoyens et des consommateurs2. Une prise de conscience s’est produite dans l’esprit des personnes visées par cette nouvelle réglementation, même si ce constat s’avère plus nuancé du côté des entreprises et des organisations qui doivent encore intégrer ce sujet dans leur culture. Le sujet de la protection des données personnelles est désormais intégré au cœur des enjeux contemporains.
5Au-delà de ce premier constat, il convient de se demander si la mise en place d’un régime juridique de protection des données personnelles répond à l’enjeu de la protection efficace de la vie privée des utilisateurs. Il ressort de l’analyse que si le RGPD a renforcé la construction d’un droit de la protection des données personnelles, l’approche déployée dans le texte présente toutefois des limites.
La construction d’un droit de la protection des données personnelles
6Le RGPD a entraîné un mouvement massif de mise en conformité, grâce à la mise en place de nouveaux acteurs et à l’adoption du texte en tant qu’outil de régulation de l’usage de données personnelles. Dans son considérant 11, le règlement dispose
[…] qu’une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations. (RGPD, considérant 11)
7Les principaux apports de la nouvelle réglementation résident dans la consécration de grands principes du traitement, traduisant un accroissement des obligations en termes de mise en conformité des responsables du traitement, ainsi que dans la volonté de clarifier et renforcer les droits des personnes à l’égard de leurs données.
Un mouvement de mise en conformité
8La mise en conformité requise par la mise en œuvre concrète du RGPD exige désormais des responsables du traitement l’adoption d’une démarche intégrée, ainsi que la création d’un nouvel acteur, le délégué à la protection des données.
La démarche de conformité déclinée au travers du respect des principes du traitement
9Le RGPD renforce les sanctions applicables en cas de manquements des organismes de traitement des données. L’application de sanctions alourdies s’accompagne corrélativement d’un allègement des formalités administratives, notamment à travers la suppression des obligations déclaratives3. Le principe de déclaration s’est converti en -principe de responsabilité (accountability), la structure responsable du traitement devant être en mesure de pouvoir démontrer à tout moment le respect des principes de protection des données. Là où les responsables de traitement devaient déclarer le fichier de données personnelles à la CNIL, désormais il doit se mettre en conformité par lui-même. Ces règles imposent aux structures d’adopter une démarche destinée à prouver la conformité d’une entreprise concernée, laquelle pourra faire l’objet de contrôles inopinés a posteriori.
10La mise en œuvre du RGPD suppose pour les entreprises de repenser tout le cycle de vie des données, de leur collecte à leur suppression. En ce sens, le principe de privacy by design vise à restreindre la collecte des données personnelles aux informations strictement nécessaires à la finalité poursuivie. De façon complémentaire, le concept de privacy by default demande au responsable du traitement d’assurer par défaut le plus haut niveau de confidentialité aux données personnelles, ce qui suppose une bonne gouvernance dans la répartition et la gestion des tâches en interne. Les données doivent être accessibles aux seules personnes habilitées à leur gestion, ces dernières devant veiller tant au recueil du consentement explicite des personnes concernées qu’à la destruction des données une fois la finalité achevée. Il s’avère indispensable à cette fin d’effectuer une cartographie des traitements effectués – analyse des données, des prestataires, des modalités de conservation – et de veiller à la sécurisation des systèmes informatiques.
11En outre, le RGPD pose trois grands principes du traitement : « les données à caractère personnel doivent être […] traitées de manière licite, loyale et transparente au regard de la personne concernée » (article 5).
Le principe de collecte loyale est acquis de longue date en droit français. Il suppose que la personne concernée soit informée de l’existence et des finalités du traitement, mais également des conséquences pour lui s’il refuse ce traitement (considérant 68). Deux obligations sont reliées à ce principe : un principe de proportionnalité exigeant des finalités déterminées, explicites et légitimes, ainsi qu’un traitement adéquat, pertinent et limité des données (article 5). Le traitement des données doit ensuite être transparent. Le responsable du traitement doit informer l’utilisateur des finalités auxquelles sont destinées ses données et des modalités du traitement. Le RGPD contient une liste d’informations devant être communiquées aux individus (article 13). Le traitement doit enfin être licite (article 6). Le RGPD précise les situations dans lesquelles le traitement sera considéré comme licite, notamment lorsque l’utilisateur y a consenti, pour une ou des finalités définies ou spécifiques. Toutefois, le RGPD a réservé un certain nombre d’exceptions dans lesquelles le traitement peut être effectué s’il s’avère nécessaire – pour exécuter un contrat, pour respecter une obligation légale, pour sauvegarder les intérêts vitaux de la personne concernée, etc.
Le rôle central du délégué à la protection des données
12Le RGPD crée un nouvel acteur, en remplacement du correspondant informatique et libertés (CIL) : le délégué à la protection des données (DPD ; en anglais, data protection officer, DPO). Ce délégué a pour unique mission d’assurer la mise en conformité des organismes au RGPD. Il est désigné par le responsable du traitement ou le sous-traitant. Sa désignation est une obligation pour les structures publiques ainsi que pour les entreprises traitant des données à grande échelle ou bien des données sensibles – données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale (article 37, 1)4, mais toute entreprise peut le mettre en place. Le DPD se doit d’être indépendant à l’égard de la direction de l’entreprise, du responsable de traitement et/ou du sous-traitant afin de ne pas générer de situations de conflits d’intérêts.
13Le DPD exerce un double rôle, en amont et en aval de la mise en conformité, en interne comme en externe de l’organisation qui l’a désigné. En amont, il est chargé d’informer et de conseiller le responsable du traitement sur les mesures destinées à assurer la conformité avec le RGPD, ainsi que de contrôler le respect des dispositions qu’il a eu mission de mettre en pratique. À ce titre, le DPD endosse plusieurs rôles : évaluation des risques liés aux traitements des données personnelles, réalisation des analyses d’impact (article 39, 1), garantie de la sécurité informatique, gestion des incidents en cas de violation de données le cas échéant, etc. En aval, le DPD coopère avec l’autorité de contrôle et sert de relai entre la structure et l’autorité compétente. Il peut être amené dans ce cadre à mener des discussions et coopérer avec les autorités européennes de protection des données.
14Le RGPD confère au DPD un rôle crucial dans la bonne application du principe d’accountability, lequel conditionne la démarche de mise en conformité permanente des entreprises. Si seule la responsabilité juridique des responsables de traitement et sous-traitants est susceptible d’être engagée en cas de violation du RGPD in fine (article 82), le DPD s’avère être un véritable garant en interne de la sécurité juridique comme informatique, et donc de la protection des individus. La réussite de la démarche intégrée de conformité repose dans le nouveau régime à titre essentiel sur cet acteur, désormais massivement nommé dans les entreprises5, présentant des profils et des compétences très hétérogènes et dont le positionnement dans l’organigramme des organisations mérite parfois d’être clarifié.
15Au-delà du changement d’approche opéré par le texte en matière de mise en conformité des entreprises, une partie du RGPD est consacrée aux droits des personnes sur leurs données.
Un renforcement des droits des personnes à l’égard de leurs données
16La promesse essentielle du RGPD résidait dans le renforcement des droits des personnes sur leurs données. La réglementation actuelle vise en effet à conforter l’idée selon laquelle le droit à la protection des données personnelles touche à l’essence même de la personne. Le RGPD traduit le passage « d’une protection assurée par le respect du droit à la vie privée à la création de la catégorie juridique de donnée à caractère personnel ainsi qu’à l’élaboration et l’adoption d’un régime spécifique et protecteur »6. Les personnes ont vocation à mieux contrôler la communication et l’utilisation de leurs données. Deux apports peuvent être dégagés : la consolidation de la transparence ainsi que la consécration du consentement explicite.
La consolidation de la transparence
17L’un des objectifs annoncés par le RGPD était de renforcer la transparence au profit des individus. Quarante ans avant le RGPD, la loi du 6 janvier 19787 avait posé de manière novatrice et audacieuse les jalons de la protection des données personnelles en France, en mettant en place quatre droits fondamentaux : le droit d’information, le droit d’accès, le droit de rectification et le droit d’opposition. Le RGPD reprend dans un premier temps ces droits. Le droit d’information est remplacé par un principe de « transparence de l’information », lequel suppose que l’utilisateur est informé au moment de la collecte des données. La liste d’informations devant être fournies par le responsable du traitement a été sensiblement élargie par le RGPD, incluant par exemple désormais les coordonnées du DPD s’il existe ou encore la durée de conservation des données collectées (article 13, 1). Ces informations peuvent être demandées par tout individu a posteriori, elles doivent dans ce cas lui être transmises actualisées. Sous réserve de pouvoir justifier de son identité, l’utilisateur peut également vérifier si ses données font ou ont fait l’objet d’un traitement auprès d’une entité. Le renforcement du droit à l’information participe de l’objectif d’obtenir une effectivité des droits au profit des individus : si ce dernier est correctement informé, il sera plus en mesure d’exercer les droits qui lui sont octroyés.
18Le droit d’accès, tout comme le droit de rectification, sont maintenus. L’utilisateur dispose du droit d’accéder aux données personnelles le concernant détenues par un organisme (article 15). La personne concernée dispose également le droit d’obtenir du responsable du traitement la rectification des données à caractère personnel qui sont inexactes ou incomplètes (article 16).
19Le droit d’opposition est remplacé par un « droit à l’effacement » (article 17), qui consiste pour l’utilisateur à pouvoir demander au responsable du traitement d’effacer les données personnelles la concernant.
Ce droit est toutefois limitatif. Pour en bénéficier, l’utilisateur doit nécessairement expliquer les raisons justifiant cet effacement, en mentionnant l’un des motifs évoqués par le RGPD. Cette faculté est ouverte si les données collectées ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées (« droit à l’oubli ») ; si l’utilisateur retire son consentement ; si la personne s’oppose au traitement ; si les données ont fait ou font l’objet d’un traitement illicite ou si les données d’un mineur de moins de 16 ans ont été recueillies sans autorisation parentale. Toutefois, le responsable de traitement peut opposer à la demande de l’utilisateur plusieurs exceptions prévues par le texte, ce dont il résulte que le droit à l’oubli n’est ni absolu ni automatique en pratique8. L’apport du RGPD réside principalement sur ce point dans la nouveauté offerte à l’individu de pouvoir obtenir le retrait de ses données personnelles s’il retire son consentement. En outre, le droit à l’oubli vise à permettre l’effacement de données devenues obsolètes ou non nécessaires. Ce droit est cohérent avec le principe selon lequel les données stockées sont soumises à une durée de conservation, bien définie au moment où le stockage commence. Le droit au déréférencement au sein des moteurs de recherche a d’ores et déjà donné lieu à des sollicitations abondantes de la part des utilisateurs, en ce qu’il constitue un véritable garde-fou a posteriori lorsqu’un individu souhaite effacer des traces indésirables ou inopportunes sur Internet.
20Par ailleurs, le RGPD crée deux nouveaux droits. Le droit à la limitation du traitement (article 18) permet au citoyen de donner son consentement à la conservation de ses données mais de demander à la structure responsable du traitement de les marquer pour limiter leur utilisation future au strict minimum (considérant 156). Le droit à la limitation du traitement ne peut toutefois être invoqué que dans des hypothèses délimitées : présence d’un traitement illégal, contestation de l’exactitude des données ou encore nécessité d’utiliser les données pour l’exercice de droits en justice.
21Le nouveau droit à la portabilité (article 21) peut se définir quant à lui comme le droit d’une personne à récupérer les données qu’elle a fournies et, le cas échéant, de pouvoir les transférer à un tiers, y compris un nouveau responsable de traitement, notamment dans un contexte de mise en concurrence. Les données deviennent ainsi réutilisables dans d’autres contextes. À cette fin, l’utilisateur doit pouvoir récupérer l’ensemble des données communiquées, dans un format ouvert. La sécurité et la confidentialité des données doivent être particulièrement garanties par les organismes à cette fin. Ce droit vise l’ensemble des données fournies activement et passivement au responsable du traitement.
22Le RGPD exige des organismes traitant des données personnelles de pouvoir répondre à diverses interrogations tenant à la raison de la collecte des données, leur lieu de stockage, leur sécurisation, leur éventuel partage avec d’autres sociétés et l’exploitation qui sera faite de ces données par les tiers.
La consécration du consentement explicite
23Le RGPD consacre la notion de consentement explicite et définit ce dernier comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 4, 11). En vertu de ce texte, l’utilisateur doit donner un accord non ambigu pour la collecte et l’exploitation de ses données et, de façon corrélative et conformément au principe d’accountability, le responsable du traitement doit pouvoir démontrer que ce dernier a donné son consentement (article 7, 1). Ce dernier doit ainsi être donné de manière expresse et explicite, comme par exemple grâce au système des cases à cocher et non pré-cochées9. De façon protectrice pour l’utilisateur, la présomption d’acceptation de la collecte si le citoyen poursuit la navigation sur le site n’est donc plus autorisée. Le consentement doit également être obtenu de manière distincte : l’utilisateur doit préciser, pour chaque donnée, et pour chaque finalité, son choix concernant cette donnée personnelle.
24Par ailleurs, l’accès au service ne peut être conditionné à l’acceptation de traitement de données qui n’y seraient pas directement nécessaires, ce dont il résulte que désormais, le choix opéré par l’utilisateur ne peut plus le priver totalement de l’utilisation du service, en cas de refus d’un quelconque traitement. L’objectif est d’éviter les abus de la part des entreprises qui collecteraient des données personnelles non nécessaires à l’exécution du contrat conclu avec l’utilisateur. L’exception notable réside toutefois dans l’hypothèse où le traitement serait strictement nécessaire au service (article 7).
25Le RGPD a également pris soin de veiller à renforcer la protection de certaines catégories de personnes ou de données en termes de consentement donné. En particulier, les personnes mineures bénéficient d’une protection spécifique (considérant 38) : les enfants s’avèrent en effet moins conscients des risques et des conséquences du traitement de leurs données, ainsi que de leurs droits. Le consentement est également renforcé lorsqu’il existe un risque avéré quant à la protection des données à caractère personnel, notamment si le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour les libertés et droits fondamentaux (considérant 51).
26La combinaison entre accroissement des droits au profit des utilisateurs et révolution dans l’appréhension de la mise en conformité dans les entreprises met en exergue la mise en place d’un véritable régime juridique de la protection des données personnelles. Toutefois, le RGPD présente des limites dans sa mise en œuvre concrète, ce qui laisse la place à plusieurs propositions prospectives.
Les limites de la construction d’un droit de la protection des données personnelles
27Outil dense, complexe et à la mise en œuvre parfois redoutée par les entreprises, le RGPD présente quelques carences témoignant d’une efficacité relative du texte par rapport aux objectifs annoncés. Au-delà et de manière prospective, plusieurs réflexions émergent quant à l’opportunité d’une reconnaissance d’un droit à la propriété des citoyens sur leurs données.
Une efficacité relative
28Tant la portée incertaine de certaines modifications apportées par le RGPD sur la protection des individus que la mise en œuvre modeste des nouvelles modalités de sanction traduisent des faiblesses dans l’application du nouveau dispositif.
Les zones d’ombres dans la protection
29La mise en œuvre du RGPD ne résout que partiellement une difficulté sensible : une grande asymétrie entre l’individu et ceux qui traitent ses données. À titre d’illustration, l’article 20 du RGPD créant le droit à la portabilité des données au profit de la personne concernée accorde une apparente maîtrise des citoyens sur leurs données, mais elle cache en réalité un amoindrissement de la protection de ces dernières s’écartant d’une réelle libre disposition des données. Alors que le droit d’accès permet à l’utilisateur d’accéder à ses données sous une forme simple et intelligible, les données obtenues dans le cadre du droit à la portabilité se révèlent beaucoup plus difficiles à comprendre techniquement. L’effectivité de ce droit est en effet contrariée par l’absence de lignes directrices et de standards clairs à respecter par les entreprises sur la transmission au citoyen de ses données personnelles10.
30Par ailleurs, une zone d’incertitude existe en matière de licéité du traitement et notamment autour des exceptions au principe général de consentement préalable à la collecte et au traitement des données. Parmi les nombreuses exceptions visées par le texte figure la nécessité du traitement « aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers » (RGPD, art. 6). Cette exception présentant des contours incertains, elle risque d’être particulièrement mobilisée par les entreprises, notamment à des fins de prospection commerciale (considérant 47). Certes, les intérêts légitimes en jeu doivent être précisés à l’individu concerné et l’entreprise est censée rechercher en théorie un équilibre entre l’intérêt du responsable de traitement à pouvoir traiter les données et les libertés fondamentales des citoyens. Mais cette précaution semble bien insuffisante et il reviendra in fine aux autorités de contrôle d’arbitrer sur la délimitation11 et le bon usage de cette notion en pratique. La même difficulté a d’ailleurs vocation à se poser relativement à la notion de « motifs légitimes et impérieux » mentionnée à l’article 21 du RGPD sur le droit d’opposition12.
31Enfin, le RGPD élargit l’obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel en cas de risque pour les droits et libertés des personnes physiques (article 33, 1) et introduit une obligation de communication à l’individu d’une telle violation si cette dernière est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 34). Ces notions de « risque » et « risque élevé » laissent une large part d’interprétation aux responsables de traitement, ce qui pourrait conduire en pratique à un droit à l’information largement théorique sur ce point.
L’insuffisance de la politique de sanctions
32Du fait du passage à un système reposant sur la responsabilisation, les entreprises en situation de non-conformité avec la réglementation en vigueur s’exposent à des sanctions dépassant largement les précédentes sanctions applicables. La sanction a vocation à présenter un effet suffisamment dissuasif pour que les responsables de traitement se sentent contraints de respecter les grands principes du RGPD et intègrent la démarche de protection des données au cœur de la politique d’entreprise. Ce caractère dissuasif faisait défaut dans la précédente réglementation afférente aux données à caractère personnel, tant de manière théorique compte tenu des faibles montants des amendes administratives susceptibles d’être prononcées antérieurement13 que de manière -empirique au regard de la politique menée par la CNIL depuis 1978 – faible nombre de sanctions administratives prononcées, assorties de pénalités au montant peu élevé.
33En cas de manquement au privacy by design ou au privacy by default, les organismes en infraction prennent le risque d’être condamnés à des amendes très élevées. Avec l’entrée en vigueur du RGPD, la CNIL a récupéré plus de pouvoirs de contrôle et de sanction : contrôle sur les registres de traitement et des analyses d’impacts entre autres, ainsi qu’un pouvoir de sanction plus important qu’auparavant. Une sanction peut être appliquée à tous les responsables de traitement, ainsi qu’aux sous-traitants, et y compris en dehors de l’Union européenne au vu du champ d’application territorial du RGPD. La sanction administrative maximale pouvant être prononcée est également renforcée : jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise ou 20 millions d’euros, le montant le plus élevé étant retenu (RGPD, article 83). L’amende infligée doit être effective, proportionnée et dissuasive.
34En termes procéduraux, le citoyen confronté à une utilisation illégale de ses données dispose de trois voies de recours : le recours gracieux, le recours à la CNIL et le recours juridictionnel. Le recours gracieux permet de s’adresser à l’entreprise concernée, en charge du traitement des données. Ce type de recours présente une utilité lorsque des informations sont manquantes sur un site internet quant à l’application du RGPD ou lorsque l’individu se voit privé d’accès à un droit garanti par le RGPD. Si le citoyen fait face à un manquement manifeste au RGPD, il peut par la suite avertir la CNIL en adressant une plainte. La CNIL jugera de l’opportunité de donner suite à cette plainte en effectuant ou non des contrôles dans la structure concernée. Elle peut prononcer selon la gravité du manquement une mise en demeure pouvant être rendue publique ; une sanction pécuniaire allant jusqu’à 4 % du chiffre d’affaires de l’entreprise ; une injonction de cesser le traitement ou encore le retrait d’un label ou d’une certification obtenue par la structure concernée14. Enfin, chaque citoyen dispose de la possibilité d’assigner en justice l’entreprise ayant réalisé le traitement, la procédure étant toutefois longue et coûteuse. Les individus peuvent préférer déposer plainte contre l’autorité de contrôle, en présence d’une décision juridiquement contraignante ou face à une autorité de contrôle ne donnant pas de nouvelles quant à l’avancement du recours. Afin de donner pleinement portée au RGPD, le droit français autorise en parallèle des actions de groupe à caractère indemnitaire en matière de données à caractère personnel, visant à obtenir la cessation d’un manquement, dans le cadre d’actions menées par des organisations mandatées à cette fin (article 80, 1).
35En dépit de l’accroissement potentiel des sanctions et d’une simplification du dépôt de plaintes en ligne, le nombre de plaintes déposées à la CNIL a augmenté de manière modérée à la suite de l’adoption du RGPD. Toutefois, l’année 2021 a été marquée par un accroissement des sanctions et du montant cumulé des amendes, lequel atteint plus de 214 millions d’euros15. Si le nombre de sanctions prononcées demeure modeste, ces dernières détiennent une portée emblématique et symbolique. Ainsi, le 21 janvier 2019, la société Google a été condamnée de manière retentissante en application du RGPD à une amende de 50 millions d’euros16 par la formation restreinte de la CNIL17, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. De façon remarquable, la CNIL a prononcé une sanction au moyen de la procédure de plainte collective18. Le 31 décembre 2021, la CNIL a sanctionné à nouveau Google pour un montant total de 150 millions d’euros, en constatant que les sites internet de Google et YouTube rendent le mécanisme de refus des cookies plus complexe, afin de décourager les utilisateurs et les inciter à accepter les cookies. En conséquence, ce procédé porte atteinte à la liberté du consentement des internautes19. Les montants de ces amendes sont historiquement élevés par rapport aux précédentes sanctions prononcées20.
36Une partie de l’efficacité de la protection effective des droits des personnes sur leurs données personnelles dépend de la politique de sanction adoptée par la CNIL. Or, celle-ci ne s’est pas vue dotée de moyens budgétaires et humains supplémentaires suffisamment significatifs depuis 2018. Cette carence conduit à une impossibilité de mener et d’approfondir les contrôles et ainsi, à une politique de sanction insuffisamment dissuasive à l’heure actuelle. Le passage progressif d’une démarche d’accompagnement à une logique de sanction pourrait atténuer ce constat, mais l’absence de moyens constitue un frein réel au caractère dissuasif des hauts plafonds de sanction prévus par le RGPD.
37La notion de donnée à caractère personnel a donné lieu de longue date à des débats entre les tenants d’une approche « personnaliste » et les tenants d’une approche « propriétariste » de la donnée21. En optant pour une approche centrée sur la personne, le RGPD a suscité de nombreuses critiques et réflexions prospectives.
Vers le passage d’un droit à la protection à un droit à la propriété des citoyens sur leurs données ?
38Plusieurs pistes de réflexion émergent depuis quelques années en faveur d’une réappropriation par le citoyen de sa liberté de décision quant à ses données.
39Juridiquement, la donnée s’analyse comme un bien incorporel. Le droit de propriété est reconnu par l’article 544 du Code civil, lequel définit la propriété comme « le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements ». Si un tel droit était reconnu dans le domaine des données personnelles, cela confèrerait au propriétaire trois facultés : l’usus, le fructus et l’abusus. L’usus permet de jouir du bien, comme en témoigne par exemple la possibilité pour une personne de choisir de divulguer ou non ses données personnelles. Le fructus donne au propriétaire la possibilité de percevoir les fruits issus de la vente de ce bien : dans cette hypothèse, le propriétaire pourrait obtenir des revenus en contrepartie de la fourniture de ses données personnelles. L’abusus s’entend comme le droit de disposer librement du bien, comme par exemple le transférer ou le détruire.
40Le RGPD a fait le choix de parier sur une meilleure maîtrise de l’usage des données plus que sur la reconnaissance d’un droit de propriété sur les données. La réglementation vise en effet à conférer à l’heure actuelle une maîtrise accrue des droits attachés à l’individu, sans toutefois consacrer un réel droit de propriété. Actuellement, la propriété porte sur la création intellectuelle de ces données. Même si les données personnelles se rattachent à la personne même, elles ne peuvent être considérées comme étant cessibles : les données font l’objet d’une protection à partir des droits de la personnalité, à l’instar du droit à la protection de la vie privée.
41Pour autant, certains militent en faveur de la création d’un droit de patrimonialité des données personnelles22 : « le producteur de la matière première qu’est la donnée personnelle doit avoir l’usus et le fructus ». Les géants d’Internet vivent en effet de la vente de données personnelles en échange des services rendus aux consommateurs, ce dont il se déduit un caractère patrimonial de la donnée personnelle. L’objectif serait ici de renforcer la maîtrise des personnes sur leurs données personnelles assimilées à un bien comme les autres, notamment en leur permettant de recevoir une somme d’argent en contrepartie de la collecte et du traitement de leurs données.
42La monétisation prospective des données personnelles soulève toutefois de vives inquiétudes. Ainsi, pour la CNIL, un droit de propriété serait « susceptible de renforcer les déséquilibres économiques au détriment des personnes »23, en niant le rapport de force entre consommateurs et entreprises, par exemple par la signature de clauses de cession de données en échange de services. Par ailleurs, la question de la détermination de la valeur d’une donnée personnelle isolée reste posée puisqu’une donnée n’a de valeur que lorsqu’elle est recoupée avec d’autres données. Enfin, la patrimonialisation des données risque de fragiliser la protection juridique de la vie privée des individus. En effet, le RGPD a vocation à renforcer celle-ci à travers le prisme de la protection des données personnelles. Amoindrir la protection de ces dernières conduirait à fragiliser celle des personnes physiques.
43Une autre piste de réflexion réside dans le développement du self data : ce concept consiste pour les individus à produire, collecter et exploiter des données personnelles, sous leur contrôle et pour leur intérêt propre24. L’objectif est ici de se réapproprier les données, en dépassant largement le droit à la portabilité consacré par l’article 20 du RGPD.
44Enfin, les apports du RGPD ont vocation à être renforcés par l’adoption future d’un règlement centré sur « Vie privée et communications électroniques », dit règlement e-Privacy. Devant être initialement adopté en même temps que le RGPD, ce règlement remplacera à terme la directive relative à la protection de la vie privée de 2002, modifiée en 200925. Il devrait être applicable à toutes les communications électroniques. La difficulté pour les partenaires européens à trouver un compromis sur la rédaction de ce nouveau texte témoigne de la sensibilité de la thématique dans un contexte économique sans cesse évolutif.
Conclusion
45En conclusion, en attendant la création prospective d’une « Organisation mondiale de la data » ou encore d’une « déclaration des droits de l’homme, du citoyen et de ses données »26, la mise en place d’un droit nouveau est bel et bien amorcée depuis l’entrée en vigueur du RGPD.
46En dépit des incertitudes persistant tant sur l’interprétation du texte que sur l’évolution de la politique répressive afférente à la mise en œuvre du règlement, la mise en œuvre du RGPD traduit, parfois de manière complexe et abstraite, cette volonté de rééquilibrage entre les droits des citoyens d’un côté et la responsabilisation des entreprises de l’autre. L’attention marquée depuis quatre ans sur la protection des données à caractère personnel traduit la transformation progressive de cette thématique en l’un des fondements de la compliance en entreprise. Le chemin vers la conformité au RGPD demeure toutefois encore largement pavé de réticences et d’obstacles de la part des entreprises, nécessitant, au-delà des sanctions, des lignes directrices et de l’accompagnement afin de les sécuriser juridiquement sur leurs bonnes pratiques opérationnelles.
Notes de bas de page
1 La loi no 2016-1321 du 7 octobre 2016 pour une République numérique avait pour objet d’anticiper la mise en œuvre du RGPD, avant d’être complétée par la loi no 2018-493 du 20 juin 2018 relative à la protection des données et enfin par l’ordonnance no 2018-1125 du 12 décembre 2018.
2 Voir en ligne : [https://www.cnil.fr/fr/presentation-du-rapport-dactivite-2018-et-des--enjeux-2019-de-la-cnil] : d’après un sondage IFOP, 70 % des français s’estiment aujourd’hui plus sensibles aux problématiques de protection des données.
3 Toutefois, les structures de plus de 250 salariés et celles dont le traitement de données peut avoir des répercussions sur la vie privée doivent mener une étude d’impact sur la vie privée et tenir à jour en permanence un registre de traitement qui pourra être demandé par la CNIL en cas de contrôle.
4 À noter que le rôle de DPD peut être exercé de façon externe à l’entreprise, même si la désignation en interne semble plus opportune au regard de la connaissance que doit avoir le DPD des activités de l’entreprise et de son organisation interne.
5 82 000 DPD ont été nommés dans les entreprises en janvier 2022. Voir en ligne : [https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/].
6 Basile Darmois et Eloïse Glucksmann, « Introduction. Le traitement des données personnelles et le droit international, questions ponctuelles et actuelles », RDIA, no 1, 2018, p. 11.
7 Loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
8 RGPD, art. 17, 3 : traitement nécessaire à l’exercice du droit à la liberté d’expression, respect d’une obligation légale qui requiert le traitement concerné, motifs d’intérêt public dans le domaine de la santé publique, recherche scientifique, historique ou fins statistiques, etc.
9 Le consentement doit également pouvoir être retiré à tout moment de façon simple par chaque individu : RGPD, art. 7, 3.
10 Voir en ce sens, Rapport du Conseil général de l’économie, « Le Règlement général sur la protection des données : quelles opportunités pour les entreprises françaises ? », 2019, p. 24 et suiv.
11 Le considérant 47 du RGPD fournit en ce sens différentes illustrations de l’intérêt légitime.
12 RGPD, art. 21, 1 : l’article indique que le responsable du traitement doit analyser s’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, droits et libertés de la personne concernée.
13 Antérieurement à la loi pour une République numérique, le montant des amendes administratives susceptible d’être prononcées par la CNIL était limité à 150 000 euros ou 300 000 euros en cas de récidive.
14 En tout état de cause, la CNIL doit tenir informé l’auteur de la plainte de son état d’avancement et de l’issue éventuelle de sa réclamation, de même que de la possibilité d’un recours juridictionnel.
15 Voir en ligne : [https://www.cnil.fr/fr/bilan-sanctions-mises-en-demeure-2021].
16 Délibération de la formation restreinte no SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC.
17 La décision de la CNIL a été confirmée en appel par le Conseil d’État le 19 juin 2020 : CE, 19 juin 2020, no 430810.
18 10 000 personnes avaient mandaté La Quadrature du Net pour saisir la CNIL d’une plainte contre Google.
19 Délibération de la formation restreinte no SAN-2021-023 du 31 décembre 2021 concernant les sociétés Google LLC et Google Ireland Limited.
20 Par exemple, voir la délibération de la formation restreinte no SAN-2018-011 du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société Uber France SAS.
21 Voir en ce sens, B. Darmois et E. Glucksmann, « Le traitement des données personnelles et le droit international », art. cité, p. 12.
22 Génération Libre, « Rapport. Mes data sont à moi. Pour une patrimonialité des données personnelles », 2018. En ligne : [https://www.generationlibre.eu/wp-content/uploads/2018/01/2018-01-generationlibre-patrimonialite-des-donnees.pdf].
23 CNIL, 38e rapport d’activité annuel, 2017.
24 Ce mouvement a été initié par l’association Fondation internet nouvelle génération.
25 Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
26 Expression empruntée à Arno Pons, délégué général du think tank Digital New Deal Foundation.
Auteur
Maîtresse de conférences en droit privé (université de Montpellier). Elle est directrice adjointe de l’École de droit social de Montpellier et codirectrice de la chaire « Dialogue social et responsabilité sociale de l’entreprise » (LabEx Entreprendre). Juriste spécialisée en droit social, ses travaux de recherche portent sur les mutations du travail (formes atypiques d’emploi, relations triangulaires de travail), le dialogue social et la responsabilité sociale des entreprises.
Le texte seul est utilisable sous licence Licence OpenEdition Books. Les autres éléments (illustrations, fichiers annexes importés) sont « Tous droits réservés », sauf mention contraire.
Libertés et libéralismes
Formation et circulation des concepts
Jean-Pierre Potier, Jean-Louis Fournel et Jacques Guilhaumou
2012
Pétrole et corruption
Le dossier Mi.Fo.Biali dans les relations italo-libyennes (1969-1979)
Marion Morellato
2014
Montchrestien et Cantillon
Le commerce et l'émergence d'une pensée économique
Alain Guery (dir.)
2011
Faire participer les habitants ?
Citoyenneté et pouvoir d'agir dans les quartiers populaires
Marion Carrel
2013
Entre conflit et concertation
Gérer les déchets en France, en Italie et au Mexique
Luigi Bobbio, Patrice Melé et Vicente Ugalde (dir.)
2016
La politique au quotidien
L’agenda et l’emploi du temps d’une femme politique
Laurent Godmer et Guillaume Marrel
2016
La République et ses autres
Politiques de l’altérité dans la France des années 2000
Sarah Mazouz
2017
Le territoire de l’expulsion
La rétention administrative des étrangers et l’État de droit en France
Nicolas Fischer
2017
Le savant, le langage et le pouvoir
Lecture du Livre du plaisir partagé en amitié (Kitāb al-imtāʿ wa-l-muʾānasa) d’Abū Ḥayyān al-Tawḥīdī
Pierre-Louis Reymond
2018
Gouverner la vie privée
L’encadrement inégalitaire des séparations conjugales en France et au Québec
Émilie Biland
2019