Protection de données personnelles : bilan de l’année écoulée et perspective pour l’année 2019

A l’ère de l’économie post-industrielle, les données personnelles sont plus que jamais au cœur de l’économie mondiale et constituent une manne financière considérable pour de nombreuses entreprises au premier rang desquelles figurent les géants du WEB comme les GAFAM.

D’ici 2020, la valeur des données personnelles devrait même atteindre les 1 000 milliards d’euros en Europe, soit 8% du PIB, selon Boston Consulting Group (BCG).

Toutefois, freinées dans leur élan, diverses cyberattaques mettant en péril des données de millions d’utilisateurs en 2018, ont écorné l’image de ces sociétés, Facebook et Google étant indubitablement les plus référencées à ce titre.

2018 aura donc été une année agitée dans le milieu du numérique en France comme dans le monde en raison de l’introduction du RGPD, lequel a développé chez les entreprises un principe de responsabilisation (« Accountability principle») à l’égard de la sécurisation des données personnelles des consommateurs européens.

A l’aube de cette nouvelle année, il convient de ce fait de s’interroger sur le cadre général des Data Regulation en Europe et dans le monde, et d’exposer les projets à venir à l’horizon 2020.

La situation en France et en Europe 

Sous le règlement n°2016/679, en vigueur depuis le 25 mai 2018, la Commission Européenne a confié aux autorités de régulation nationales le soin de veiller sur son effectivité, en sanctionnant les entreprises non respectueuses de la loi à l’aune des articles 83 et 86 de ce texte.

De cette façon, le bilan 2018 met en lumière des chiffres vertigineux : 1 200 cas de violations de données, 6 000 plaintes de personnes concernées enregistrées et près de 34 millions de personnes en France et à l’étranger concernées par des failles de sécurité.

En réponses à ces plaintes, l’AAI française créée en 1978 a condamné en 2018 de nombreuses entreprises françaises comme étrangères, Bouygues Telecom et Google en étant les derniers exemples les plus parlants. L’opérateur français écopa d’une amende 250 000 € pour défaut de sécurité des données clients B&You. Quant à la firme américaine, l’amende s’éleva à 50 000 000 €, en raison notamment d’un manque de transparence sur les informations délivrées aux utilisateurs.

Le pouvoir de contrôle et de sanction n’étant pas l’apanage de la CNIL, les autres organes de régulation étatiques comme les autorités allemande (BfDI), irlandaise (DPC) et anglaise (ICO), ont recensé avec la CNIL près de 22 000 plaintes.

Signe de l’état encore balbutiant de l’implantation régionale du RGPD, des divergences existent dans l’interprétation de la loi comme le montrent les conclusions de l’avocat général de la CJUE Maciej Szpunar publiée en janvier dans sa défense de la limitation aux frontières européennes du droit à l’oubli dans une Affaire opposant Google à la CNIL.

Ailleurs dans le monde, le bilan de 2018 est contrasté au vu des travaux réalisés par la CNUCED, lesquels ont recensé les Etats possédant ou non une loi nationale en matière de données personnelles. Selon l’organisation internationale, 58% des pays répertoriés en ont une, contre 10% en cours de rédaction d’un projet de loi. Quant aux 33% n’ayant aucune loi, le RGPD apparaît de fait comme un modèle de référence pour sécuriser les relations d’affaires de leurs entreprises notamment dans le cadre de transfert de données à l’international.

Une prise de conscience à l’international ?

Bien qu’il existe une prise de conscience des Etats sur la nécessité de judiciariser le traitement des données, peu d’entre eux peuvent garantir un niveau de protection équivalent au RGPD, ce qui peut être problématique pour le transfert de données de citoyens européens vers des entreprises établies dans un pays en dehors de l’EEE (cf. articles 44 à 50 du RGPD).

Actuellement, 12 pays dans le monde bénéficient d’une décision d’adéquation adoptée par la Commission Européenne ou par une autorité de contrôle1, en vue de ces transferts de données à l’international. Parmi ceux-ci figurent les États-Unis par l’intermédiaire du mécanisme d’auto-certification des entreprises qu’est le Bouclier de protection de données (« Privacy Shield 2»).

Le cadre juridique américain 

Les États-Unis, pays de la Silicon Valley, sont étonnement dépourvus de loi fédérale pour la collecte et le traitement des données de ses citoyens. Par compensation, ses divers Etats ont voulu limiter l’usage de ces données via des réglementations sectorielles, comme le Fair Credit Reporting Act qui protège les informations personnelles sur la solvabilité des individus.

L’absence d’uniformisation des lois des fédérations et l’absence d’autorité fédérale indépendante crée également une méfiance des autorités européennes qui s’est traduite par la suspension du Privacy Shield en septembre 2018, l’Union européenne estimant que ce mécanisme n’assurait pas « une protection suffisante aux citoyens de l’Union ». En réponse, l’administration du Président Trump a mis en place fin 2018 de nombreuses mesures dont celles visant à durcir le processus de certification du Privacy Shield. Ces efforts furent salués par Bruxelles puisqu’en décembre 2018 la suspension fut retirée.

D’autres idées sont également nées par l’initiative de Marco Rubio, sénateur américain, qui a déposé un projet de loi pour la création d’un règlement fédéral sur la collecte de données au début de l’année 2019. Ce projet de loi, intitulé “American Data Dissemination Act”, permettrait d’augmenter le pouvoir législatif du FTC sur la base « Privacy Act » de 1974. Les démocrates pourraient cependant menacer sa faisabilité du fait entre autres, que cette loi remplacerait les réglementations en vigueur dans les États.

Ailleurs dans le monde, il existe un élan similaire à celui présent aux États-Unis, notamment du point de vue des projets de créations d’autorités de contrôle nationales capable de veiller à l’application des législations nationales comme le met en lumière le « RGPD brésilien ».

Le Brésil : vers un renforcement des dispositifs législatifs

Le 28 décembre dernier, le Journal Officiel brésilien annonçait la mise en place de mesures provisoires concernant la création d’une Agence nationale pour la protection des données. Cette mesure est dans la lignée de l’entrée en vigueur de la LGPD, la Loi Générale sur la Protection des Données, prévue pour février 2020. Selon les membres du Parlement brésilien, cette Agence aura pour mission « d’assurer le respect de la Loi Brésilienne sur la protection des données ». Pour cela, elle sera composée d’un conseil d’administration, d’un Conseil national (composé de 23 représentants), d’un contrôleur, et d’un organe consultatif et juridique propre.

Cette réforme longuement attendue est un des projets les plus conséquents en matière de protection de données personnelles au sein du pays.

En Asie : la bonne dynamique de Singapour et de la Chine

En Orient, Singapour s’est pendant longtemps distingué comme l’Etat offrant l’un des cadres juridiques les plus protecteurs en Asie. En tant que garante de l’effectivité du Personal Data Protection Act de 2014, la Commission Nationale sur la protection des Données (PDPC) y joue un grand rôle comme elle l’a récemment illustré lors de ce qui a été qualifié de « pire brèche de l’histoire du pays ». Durant cette affaire, SingHealth et IHiS ont compromis les données de 20% de la population nationale.

Concernant les nouveautés pour 2019, la majorité des entreprises du pays ne seront plus autorisées, à recueillir, utiliser ou à divulguer les données d’identifications des personnes concernées (ex : n° de CNI) selon une recommandation du PDPC.

Outre Singapour, c’est en Chine que l’influence du RGPD est des plus notables puisqu’en mai 2018 entrait en vigueur le Personal Information Security Specification en même temps que le RGPD. Cette loi actualisant la Cyber Security Law, elle met en exergue l’obligation d’une spécification des catégories de données personnelles collectées, en introduisant par exemple le concept de données sensibles dans l’esprit de l’article 9 du texte européen.

Forte de ses ambitions en cette nouvelle année, l’administration de Xi Jinping souhaite devenir à l’avenir un « Cyber superpower » en développant des standards juridiques made in China destinés à s’exporter à l’étranger.

La loi nippone quant à elle n’a rien à envier à ses voisins. Dans une récente communication des autorités européennes, le Japon et la Commission européenne « sont convenues de reconnaître comme adéquats leurs systèmes respectifs de protection des données ». Cette reconnaissance mutuelle qui est la première rendue sous le RGPD visera à fluidifier les échanges de données entre les entreprises des deux territoires.

Le point en Afrique

Sur le continent africain, la protection des données constitue également un grand enjeu puisque les pays africains abritent 435 millions d’utilisateurs d’Internet, pour 191 millions utilisateurs des réseaux sociaux, selon le Digital Report 2018 de We Are Social et Hootsuite.

Au sein des 54 États africains, 23 d’entre eux possèdent une législation nationale à ce jour : le Bénin, le Burkina Faso, la Côte d’Ivoire, le Gabon, le Mali, le Maroc et la Tunisie en sont les quelques exemples.

Parmi eux, l’Algérie, qui jusqu’ici n’avait aucune loi, a adopté le 10 juin 2018 la loi relative à la protection des personnes physiques dans le traitement des données à caractère personnel. Pour la République d’Égypte qui était également dépourvue de toute réglementation, un projet de loi est en attente d’adoption par le Parlement après avoir été approuvé par le pouvoir exécutif en août 2018. Cette loi arrive un an après un scandale national au cours duquel le gouvernement égyptien fut accusé de surveillance de masse mettant ainsi en cause les données personnelles de ses citoyens (données bancaires, d’identification nationale, empreinte digitale…).

Enfin, symbole de ce dialogue interrégional, l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP) a été créée en 2007 à Montréal pour coordonner la réglementation applicable dans les pays francophones.

Quid de l’Océanie ?

La judiciarisation des données personnelles a été mise en place depuis les années 80 et 90 en Australie et en Nouvelle-Zélande.

Pour le premier, qui en sus des lois gouvernementales de ses Etats possède une loi fédérale datant de 1989, modifiée à deux reprises, un régime obligatoire de notification des atteintes à la vie privée a été introduit par un projet de loi fédérale de 2017, entré en vigueur depuis février 2018. Les effets de cette loi furent très vite leur apparition puisque l’autorité nationale de régulation a recueilli pour 2018, près de 1 000 notifications. Certainement, ces plaintes iront crescendo pour l’année 2019, au vu de la faille de sécurité déclarée en février dernier qui a menacé la vie privée des employés du groupe Bunnings,

Pour la Nouvelle-Zélande, qui bénéficie d’une décision d’adéquation de la Commission européenne, le Privacy Act resté inchangé depuis 1993 est en cours d’actualisation depuis le dépôt d’un projet de loi au Parlement en 2018. En cas d’adoption, il attribuerait des pouvoirs de sanctions au commissaire à la protection de la vie privée et introduirait l’obligation de déclaration des atteintes à la vie privée. Le calendrier et le contenu final du projet de loi sont encore inconnus, mais le texte devrait être adopté en 2019.

A la lumière de ces exposés, 2018 aura donc permis de sensibiliser les citoyens européens, les entreprises et les Etats à l’importance de l’encadrement des données personnelles, et les perspectives intéressantes qu’offrent 2019 semblent conforter cette dynamique.

Conclusion

Avec le prochain UN World Data Forum prévu en 2020 à Berne, les acteurs économiques ensemble avec les Etats et les organisations régionales pourront dresser un état des lieux de l’effectivité des lois sur les données personnelles.

Une chose est sûre, le marché des données devenu la mine aurifère de cette ère du digital fera naître de nombreuses réflexions à l’avenir. C’est en tout cas ce que montre l’avis de l’essayiste Gaspard Koenig, fondateur d’un think tank qui dans son rapport intitulé « mes data et moi » propose une patrimonialisation des données, laquelle permettrait aux citoyens d’être payés pour son utilisation.

Reste à savoir si la Commission Européenne rendra un avis sur ce rapport publié l’année dernière.

Basile JANVIER

 

POUR EN SAVOIR +

(1) Réflexions sur le World data forum 2020

Site asiafoundation.org : la priorité d’un traitement de données responsable pour un meilleur développement

(2) Marc Rubio, introduction de projet de loi pour la création d’une autorité fédérale de contrôle pour la collecte de données personnelles

Site fortune.com > consumer privacy

(3) CC – Chambre sociale – Arrêt n°1844 du 19 décembre 2018, Fédération Sud des activités postales et des télécommunications Sud PTT

(4) Conclusion de l’avocat général Szpunar sur le droit à une demande de déférencement de données sensibles, affaire C-136/17, Google c/ CNIL, communiqué de presse n° 1/19, Cour de justice de l’Union européenne

(5) Carte du CNUCED des Etats pourvus d’une loi sur les données personnelles

Site unctad.org  Data Protection and Privacy Legislation Worldwide

(6) Scandale du projet de surveillance massive par l’Égypte

Site middleeastmonitor  Opinion  Article  Egypt

(7) Gaspard Koenig : « Chaque citoyen doit pouvoir vendre ses données personnelles »

Site lesechos.fr > Tech-média

Ces territoires sont : Andorre, Argentine, Canada, îles Féroé, Guernesey, Israël, île de Man, Jersey, Nouvelle-Zélande, Suisse, Uruguay et États-Unis (Privacy Shield)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *