RGPD : quelles avancées ? Le travail du G29 : consentement, profilage et notifications.

Adopté en Avril 2016, le Règlement Général relatif à la Protection des Données doit être mis en œuvre au plus tard en mai 2018, date à laquelle il entrera en vigueur en remplacement de la Directive 95/46/CE. Il a pour vocation de moderniser le cadre européen de la protection des données à caractère personnel afin de prendre en compte les avancées technologiques et réduire les écarts juridiques entre les différentes législations des Etats membres de l’Union européenne que n’impliquait pas la directive.

Depuis le vote du Règlement qui devra s’appliquer uniformément dans tous les pays de l’UE, la préparation de la mise en œuvre des dispositions dans les Etats membres est largement soutenue et encadrée, particulièrement par la Commission européenne et le Groupe de Travail Article 29 (dit G29).

Le G29, composé des autorités indépendantes de protection des données des 28 états membres et du contrôleur européen de la protection des données, s’emploie à publier des lignes directrices afin de fournir une interprétation précise de la législation. Elles permettent de définir plus précisément les termes employés dans le règlement et de clarifier les exigences légales et techniques pour remplir trois objectifs : l’harmonisation, la simplification et la clarification.

Des lignes directrices ont déjà été publiées sur le droit à la portabilité des données, l’autorité chef de file ou le DPO (délégué à la protection des données). Pour poursuivre le travail, le G29 a organisé au début du mois d’avril 3 ateliers sur le consentement, le profilage et la notification des violations de la protection des données à caractère personnel.

Le consentement. Concept clé dans le traitement des données personnelles, le consentement est un élément important du RGPD : la définition se situe dans la continuité de la législation précédente mais l’article 6 renforce les exigences de la validité.

Cela constitue une inquiétude pour certaines entreprises car le règlement rend nécessaire le consentement pour une collecte et un traitement ce qui représenterait un risque pour l’économie numérique de l’Union Européenne et pour certains secteurs tels que la santé ou la recherche (les chercheurs considèrent que l’échange de données, quel que soit le cadre juridique des pays, est nécessaire pour leur travail).

La continuité des services gratuits, pour lesquels le paiement financier est remplacé par l’utilisation des données personnelles, est également source d’interrogation : quelles sont les conditions pour que les services gratuits restent un modèle conforme à la législation ? Un refus de consentir peut-il permettre une interdiction d’accès à un service ?

Il est nécessaire que le G29 définisse précisément les termes notamment le fait que le consentement doive être une « action positive », « librement donné » ou encore le niveau technologique de protection (avec le choix entre « privacy by default » [1] et « privacy by design » [2]).

Enfin, des éclaircissements sont attendus sur les preuves du consentement que les entreprises pourraient être amenées à fournir, en particulier leur nature et la durée de conservation de ces preuves.

Incontestablement, la demande des entreprises est la flexibilité, non seulement pour la mise en œuvre en espérant pouvoir profiter d’une période de transition, mais également sur les dispositions afin que les exigences précisées par le G29 aient un faible impact sur leurs activités.

Le profilage. Il s’agit d’une forme de traitement, automatique, des données personnelles. L’article 22 du Règlement protège contre les décisions purement automatiques : considéré comme un risque, le profilage est également vu comme un outil pouvant présenter des opportunités intéressantes pour lutter contre la fraude ou dans la recherche médicale par exemple). Les dispositions relatives au profilage soulèvent craintes et questionnements.

Premièrement, la question de l’obligation de transparence (articles 13 et 14) inquiète : selon certaines entreprises, il serait extrêmement compliqué d’expliquer la procédure de traitement des données personnelles au vu des technologies utilisées. Elles proposent que le G29 développe, conjointement avec les acteurs, des explications standards pour chaque type de traitement afin qu’elles soient accessibles aux utilisateurs.

Les entreprises soulignent également le fait que la transparence risque de révéler des informations relatives à leurs secrets commerciaux.

Le profilage suscite également des questions éthiques : faut-il exclure certaines données du profilage dans la mesure où il existe déjà des réglementations sectorielles sur les données qui peuvent être utilisées ? 

Enfin, la question du profilage des mineurs a été abordée. Les participants se sont interrogés sur la limite d’âge à apporter pour traiter des données ainsi que sur les moyens de vérifications de l’information.

La notification des violations. Nombreuses ont été les interrogations à propos du contenu, de la procédure et des impacts des notifications de violation.

Concernant le contenu, il serait souhaitable de préciser les éléments à transmettre en cas de violation des données personnelles.

Les entreprises ont abordé l’impact des notifications de violation : elles craignent les retombées négatives sur leurs activités après une notification (en termes de réputation notamment). Elles demandent à ce que soient publiés des rapports sectoriels afin de profiter des leçons tirées par les autres compagnies.

La procédure devrait être clarifiée notamment le récepteur de la notification mais également des précisions sur le délai de 72h (à partir de quand court-il ?) et souligne qu’il est excessivement court. Les entreprises demandent à ce que les notifications puissent être faites de manière incomplète afin de s’assurer qu’il y a bien eu une violation avant de finir de compléter la procédure Il serait intéressant que des notes très générales et pratiques soient publiées sur les bonnes pratiques afin que les acteurs soient prêts à remplir ces nouvelles obligations.

Enfin, les entreprises présentes se sont interrogées sur le comportement à avoir en cas de violation au cours d’une enquête criminelle : la notification, le cas de l’interdiction de notification par les autorités répressives et l’attitude à adopter avec l’autorité de contrôle. 

L’AEDH se réjouit du dialogue instauré par le G29 avec différents acteurs (entreprises, autorités/délégués à la protection des données et ONGs). Pour autant, l’AEDH déplore que la représentation des ONG ait été limitée à une personne, et que les entreprises, largement majoritaires dans l’auditoire, aient été omniprésentes dans les débats, au détriment des représentants de la société civile. Il est également dommageable que les entreprises aient davantage cherché à « renégocier » les termes du Règlement (pourtant déjà voté) plutôt que de faire des propositions concrètes d’éléments à incorporer aux lignes directrices.



[1] La protection par défaut (privacy by default) doit éviter les difficultés rencontrées par les utilisateurs pour définir les paramètres de protection de leurs données personnelles et éviter un usage différent que celui pour lequel l’accord au partage ou à la récolte des données a été donné

[2] La protection dès la conception (privacy by design) intègre le respect de la vie privée directement dans la conception et le fonctionnement des systèmes et réseaux informatiques. Cela signifie prendre en compte dès le début les exigences en matière de protection de la sphère privée/protection des données et intégrer les outils de protection directement dans le produit, au lieu de les ajouter ultérieurement sous forme de compléments.

 

Retour à la page précédente