Entrée en vigueur du nouveau règlement pour la protection des données: tout est dans l'utilisation des outils

Entrée en vigueur du nouveau règlement pour la protection des données: tout est dans l'utilisation des outils
Entrée en vigueur du nouveau règlement pour la protection des données: tout est dans l'utilisation des outils - © Markus Spiske

Elise Degrave, est professeure à l'Université de Namur et spécialiste du droit des nouvelles technologies. Elle répond aux questions d'Arnaud Ruyssen dans Soir Première, à propos de l'entrée en vigueur du RGPD — Règlement général pour la protection des données — dont l'objectif est d'assurer, d'uniformiser, la protection des données à caractère personnel dans l'Union européenne.

On va avoir ce nouveau règlement qui va entrer en vigueur dans un mois, le 25 mai prochain. Ça veut dire que jusqu'ici elles n'étaient pas protégées, ou pas bien protégées, les données à caractère personnel ?

Non, pas du tout. En fait, elles sont protégées depuis longtemps, même très longtemps, puisque chez nous, en Belgique, on a été un des États précurseurs dans cette matière. On a une loi qui encadre la protection des données depuis 1992. On avait même commencé plus tôt à l'occasion de la création du Registre national, en 1983. Au niveau l'Union européenne, une directive est intervenue en 1995, qui fixe les grands principes cadres. Et puis le RGPD, à présent, vient confirmer grosso modo les principes de la directive 95/46. Et donc le RGPD est une piqûre de rappel, c'est une évolution des règles, mais ce n'est pas la révolution que certains veulent faire croire. C'est-à-dire qu'on parle beaucoup de RGPD pour le moment, parce qu'il y a eu énormément de marketing européen à ce niveau-là. Il y a eu aussi — il faut quand même le dire — une arrivée de consultants massive sur le terrain. (Cette année), on voit apparaître des spécialistes du RGPD dont on n'entendait pas parler avant, qui conseillent les entreprises dans l'adaptation de ce règlement — à un prix très fort, d'ailleurs, c'est parfois un peu scandaleux —.

Il faut dire aussi que les données personnelles se sont multipliées. On les laisse un petit peu partout, sans doute bien plus qu'au début des années 90. On peut parler de Facebook, vous venez d'en parler ; quand on utilise un GPS connecté dans sa voiture, c'est le cas aussi ; on en laisse chez son opérateur téléphonique ; quand on fait ses courses, avec une carte de fidélité ; quand on se fait soigner, même dans un hôpital. Dans tous ces éléments-là, dans tous ces moments de notre vie, on laisse des données personnelles à différents acteurs. D'où l'idée de les protéger. Qu'est-ce qu’on va faire de plus et de mieux, alors, maintenant, que ce règlement européen va entrer en vigueur ?

Oui, donc, dans un premier temps, le changement va surtout être organisationnel, en interne, au sein des entreprises, au sein des administrations. Il faut créer, et ça, c'est une bonne chose, une véritable culture de la donnée, une culture de la protection de la donnée, établir des réflexes de protection des données. Alors, par exemple, il faut, dans la plupart des entreprises, et dans toutes les administrations, engager ce qu'on appelle un délégué à la protection des données. Beaucoup d'entreprises en avaient déjà, ils avaient des juristes spécialisés dans cette matière. Maintenant, ça devient une obligation. Il va falloir aussi établir un certain nombre de documents, par exemple, ce qu'on appelle des registres des activités de traitement. C’est-à-dire, on va demander aux entreprises et à nos administrations de faire le point sur ce qu'elles ont comme données, qu'est-ce qu'elles en font, etc. Et le but est de mettre fin à certaines pratiques barbares de l'époque, où on disait "on va collecter toutes les données qu'on peut, parce qu'on ne sait jamais que ça puisse servir à un moment ou à un autre". À l'époque, aussi, il y a eu quand même certains abus dans la réutilisation des données, qui entachent la confiance du citoyen par rapport aux entreprises, par rapport aux Administrations. Par exemple, ça sera fini, maintenant, d'utiliser le Registre national pour aller voir la date d'anniversaire de sa voisine, donc, le Registre national n'est pas le Facebook de l'administration. On a eu aussi, à l'époque, quelques cas de policiers qui repéraient les jolies filles dans les voitures, ils notaient la plaque et puis ils étaient très pressés de rentrer au bureau pour faire un accès au registre DIV, et alors aller harceler la fille en question, puisqu'ils avaient le numéro GSM. C'est très grave, ça, pour la confiance des citoyens dans l'état, mais ce sont des choses qui étaient protégées déjà avant et qui ont, d'ailleurs, été, à l'époque, sanctionnées.

Donc il y avait des dérives déjà dans l'Administration, des dérives dans les entreprises. Il y avait, pourtant, déjà, des règles qui faisaient que normalement c'était interdit. Elles seront mieux connues, mieux encadrées, mieux surveillées, avec ce RGPD ?

Normalement, cette piqûre de rappel, permet aux gens d'être conscientisés, donc il va y avoir une meilleure formation des agents et des personnes dans les entreprises qui utilisent les données. Maintenant, mon inquiétude c'est par rapport aux citoyens. Le citoyen lui-même ne connaissait pas très bien ses données, alors maintenant comme on en parle beaucoup, il va mieux les connaître. Mais les beaux principes, il ne suffit pas de les affirmer, il faut aussi pouvoir les concrétiser. Or, ça, c'est ma crainte, puisque ces règles n'étaient pas très connues ni très appliquées à l'époque. Le RGPD lui n’est pas une baguette magique qui va transformer tout seul un crapaud en prince charmant. Il faut voir qu'est-ce qu'on va en faire concrètement, donc, par exemple, si on affirme le droit d'accès du citoyen à ses données. C’est un droit qui existe depuis 1992. Il est réaffirmé dans le RGPD. Il est très important pour que la personne puisse avoir une prise sur ses données. Ce droit est respecté depuis des années par Google, qui permet d'accéder aux données qu'on a encodées sur Google — c'est d'ailleurs assez flippant de voir tout ce qu'il retient lui que, nous, on ne retient pas —. Mais ce droit d'accès à Google est lui-même difficilement accessible. Il y a un certain cynisme quand même de la part de certains opérateurs à ne pas vouloir tout à fait faire en sorte que le citoyen puisse avoir cette prise sur ses données. Et donc on a parfois l'impression qu’il y a des outils ultrapuissants au service des entreprises et Administrations qui roulent en limousine, mais le citoyen, lui, on le laisse avancer à pied. Et donc là, il y a un réel problème, une réelle réflexion à avoir, de savoir comment est-ce qu'on va aider le citoyen à s'en sortir, parce que la protection des données… une donnée n'est pas un enjeu économique pour une entreprise, une donnée c'est un moyen pour protéger la vie privée d'un citoyen, c'est d'abord cela.

On parle aussi d'amendes très importantes. Est-ce que ça, ça ne va pas changer la donne ? On sait qu'on a de grands acteurs, aujourd'hui, comme Facebook, comme Google — les GAFA notamment —. Est-ce que le fait de pouvoir leur infliger des amendes très fortes si elles ne respectent pas la protection des données ne va pas quand même faire qu'elles seront plus attentives à les respecter ?

Donc, les amendes au niveau des GAFA c'est une chose. Les GAFA, elles vont surtout être attentives, je crois, à leur réputation, comme la société en général. Donc, payer l'amende une fois c'est quelque chose qu'ils n'auront pas de mal à faire, même si l'amende peut être astronomique —1,4 % du chiffre d'affaires mondial—, mais c'est surtout sur la réputation des entreprises qu'il va falloir jouer. Alors, l'amende c'est le gros changement qu'il va y avoir chez nous. C’est ce qui fait réagir les Administrations et les entreprises. C’est de dire qu'il y a des amendes à la clé parce que jusqu'ici on avait une Commission de vie privée qui n'avait pas ce pouvoir, et donc, qui faisait ce qu'elle pouvait. C’était un chien de garde de la protection de la vie privée, mais c'est un chien de garde qui n'avait pas de dents, et donc il ne faisait pas très peur. Maintenant, l'autorité de protection des données que le législateur a mise en place, plutôt que de faire évoluer la Commission de vie privée, il a choisi de faire une autorité de protection des données nouvelle…

Qui sera plus ou moins avec les mêmes missions, mais qui s'appellera différemment ?

Oui, c'est ça. Et le gros problème va être que le 25 mai elle ne sera probablement pas prête, mais bon, ça, c'est un choix du législateur. L’autorité de protection des données va pouvoir imposer cette amende. Le risque c'est qu'elle réduise son rôle au rôle d'un super flic, et donc, ça, je pense que c'est très important de pouvoir affirmer que l'autorité de protection des données doit aussi continuer à être un relais pour le citoyen, un organe de la conscience sociale. On s'est engagé dans internet de manière très vite. Du coup, on a mis en place tous ces (inaudible) — Cambridge Analytica —, les pratiques qui accompagnent tous ces outils, ce sont des bolides qui roulent à 250 km/h, mais on n'a pas eu le temps de mettre en place les ceintures de sécurité et les airbags. Et donc, ce sont des outils qui progressivement nous échappent, aussi bien les bases des données, que les robots, que les algorithmes. Et donc, il faut qu'on ait une autorité de protection des données qui éclaire les citoyens et qui défende les citoyens par rapport à ces enjeux-là qui sont vraiment majeurs.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK