RGPD – Le RGPD, cinq ans après
Cinq ans après son entrée en application, le Règlement général sur la protection des données (RGPD) présente un bilan contrasté pour les acteurs de la donnée. Le RGPD s’est rapidement imposé comme l’une des normes les plus connues, à la fois des opérateurs économiques et du grand public. Pour répondre à son objectif ambitieux – renforcer la protection des libertés et droits fondamentaux des personnes physiques tout en permettant la libre circulation des données personnelles -, le RGPD a opéré un changement de paradigme par rapport au cadre préexistant. Le régime des formalités préalables auprès des autorités de protection des données a ainsi largement laissé sa place à un régime de responsabilisation (accountability), imposant aux acteurs de mettre en place des mécanismes et procédures internes pour assurer leur conformité à la protection des données. Ce nouveau régime, couplé à l’action pédagogique et répressive renforcée des autorités, a amené les acteurs à attacher une plus grande importance aux problématiques de protection des données. La mise en œuvre de cette réglementation s’avère toutefois complexe et relativement onéreuse, particulièrement pour les petites entreprises et les start-ups.
Le cadre normatif qui entoure le RGPD est en constante évolution, principalement en raison de l’actualisation des recommandations des autorités et des précisions de la Cour de justice de l’Union européenne. De nombreuses interrogations subsistent toutefois, faute de précision concernant la mise en œuvre concrète de certaines parties du régime et d’uniformisation suffisante quant à l’interprétation de ces règles par les différentes autorités européennes. La démarche de conformité nécessite d’aller au-delà du seul RGPD. Le RGPD, qui est en principe un règlement d’application directe et uniforme dans l’Union européenne, intègre en réalité de nombreuses marges de manœuvre nationales qui ont permis aux différents États membres de préciser certaines dispositions, de prévoir certaines dérogations, voire de renforcer certains des droits prévus par celui-ci. Ces cinq dernières années ont par ailleurs révélé des différences importantes concernant la mise en application du texte par les différentes autorités européennes, en particulier en ce qui concerne la nature, la fréquence et l’étendue des sanctions. Les acteurs de la donnée qui mettent en œuvre des traitements dans plus d’un État membre de l’Union européenne doivent donc s’assurer de respecter les spécificités de chaque pays.
Ils doivent également veiller à leur conformité aux autres textes qui régissent, directement ou indirectement, le droit des données. Certains textes, autres que le RGPD, visent à encadrer l’utilisation de certains types de données, par exemple les données détenues par le secteur public avec le Règlement sur la gouvernance des données (Data Governance Act), ou portent sur des problématiques particulières, comme la cybersécurité, les contrats de fournitures de contenus ou services numériques ou les communications électroniques, qui interagissent nécessairement avec le RGPD. La multiplication des textes existants ou à venir à prendre en compte dans le cadre d’une démarche de conformité densifie la charge des entreprises et pourrait créer un sentiment d’insécurité juridique, notamment au regard de certaines difficultés d’articulation.
L’enjeu des années à venir sera de pérenniser ce pilier de la confiance dans l’économie numérique. Entreprises et autorités devront nécessairement continuer à travailler ensemble pour que le respect de la protection des données personnelles soit et reste un outil de compétitivité des entreprises, et non un frein à l’innovation. Cet enjeu d’accompagnement des acteurs est d’autant plus important au vu des développements attendus en matière de systèmes d’intelligence artificielle, dont certains reposent sur l’utilisation d’une quantité impressionnante de données, y compris personnelles.
RGPD, par Clara Hainsdorf, associée White&Case, partenaire du Club des juristes