Le parlement européen, via la commission LIBE, vient de publier le « Rapport d’évaluation de la Commission sur la mise en œuvre du Règlement général sur la protection des données deux ans après son entrée en application ». Le rapport est plutôt complet et le moins que l’on puisse dire, c’est qu’il tire un bilan assez amer de l’application du Règlement. Analyse.
Quelques observations notables
Le rapport, que vous pouvez télécharger ici (où ici s’il n’est plus disponible), se concentre sur l’impact du RGPD et la prise de conscience des citoyens en matière de protection de la vie privée.
En effet, on apprend que les « citoyens sont de plus en plus conscients de leurs droits en vertu du RGPD », ce qui est une excellente chose.
Si ce constat est plutôt positif, les raisons de ce dernier le sont nettement moins : les plaintes explosent car les organismes ne traitent toujours pas les données de façon licite. Les citoyens sont certes de plus en plus conscients de leurs droits mais ces derniers ne sont toujours pas respectés, et ils continuent à « rencontrer des difficultés lorsqu’ils tentent d’exercer ces droits, en particulier le droit d’accès, à la portabilité et à la transparence accrue, en dépit des mesures visant à faciliter l’exercice des droits des personnes concernées mises en place par les organisations ».
Dernière observation, tout aussi importante : les autorités de protection des données (comme la CNIL, par exemple), ne sont pas structurées pour faire face au nombre de plaintes, beaucoup « manquent d’effectifs et de ressources et ne disposent pas d’un nombre suffisant d’experts en technologie. »
Au sein des autorités de protection des données, une transformation devient de plus en plus urgente : elles doivent s’adapter pour être capables de traiter efficacement les plaintes, d’accélérer les dossiers, les traitements, etc.
Elles doivent avoir la capacité de répondre rapidement, de se saisir d’un dossier brûlant, comme une violation de données massive qui survient.
Pour réussir cette transformation, elles ont besoin de nouveaux outils mais surtout de moyens plus conséquents et d’un effectif renforcé. On imagine donc – du moins, on espère – voir ceci arriver prochainement.
Le détail du rapport, point par point
Le rapport rentre ensuite dans le détail. Je vous résume les aspects essentiels et à retenir.
Sur les observations générales
Le Parlement européen se félicite de l’application du RGPD, devenu un modèle mondial en matière de protection des données à caractère personnel. Il observe qu’un mouvement d’ampleur internationale découle du Règlement : signature de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, qui est alignée sur le RGPD, par plus de 42 États.
Le Parlement européen considère que l’application du RGPD est une réussite et estime qu’à l’heure actuelle, il n’est pas nécessaire de « mettre à jour ou de réexaminer la législation », tout en insistant sur la nécessité de poursuivre le travail pour renforcer l’application, en pratique, du Règlement, y compris pour les grandes plateformes et dans des secteurs spécifiques, comme la publicité en ligne, le microciblage, le profilage algorithmique, …
Sur les bases légales du traitement
Si le Parlement confirme bien l’usage des bases légales du RGPD, il s’inquiète du fait que les responsables de traitement en invoquent souvent de nombreuses pour la même finalité.
Pourquoi est-ce un problème ?
Un traitement de données à caractère personnel doit toujours reposer sur une base qui le rend légal. Un traitement de données peut avoir plusieurs finalités, et chaque finalité peut reposer sur une base légale différente. Un traitement peut donc avoir plusieurs bases légales, une finalité ne peut en avoir qu’une seule.
Exemple : un traitement de données chez un RH. Il y aura de nombreuses données, entre votre identité, votre adresse, votre photo, etc. On pourra parler du traitement « gestion du dossier du personnel ». Mais il y aura différentes finalités : la gestion du dossier RH, la gestion des arrêts maladie, la gestion des déclarations sociales, la gestion de la paye si les RH le font, etc. La gestion du dossier RH reposera sur l’intérêt légitime de l’entreprise, la gestion des arrêts maladie, des déclarations sociales ou encore de la paye reposera sur des obligations légales.
Ce point peut sembler anodin mais il est important à comprendre : invoquer plusieurs bases légales pour une même finalité, c’est mettre l’utilisateur dans le doute, lui faire croire qu’il n’a pas le choix, lui faire croire que tout est bon, légal, etc.
Le Parlement s’inquiète donc de l’usage de multiples bases légales pour une même finalité : « les responsables du traitement mentionnent souvent tous les fondements juridiques du RGPD dans leur déclaration de protection des données sans plus d’explications ni faire référence à l’opération de traitement spécifique concernée; [le Parlement] croit qu’une telle pratique restreint la capacité des personnes concernées et des autorités de contrôle d’évaluer si ces fondements juridiques sont appropriés ».
Consentement et intérêt légitime
Le rapport observe que le consentement n’est, au mieux, pas toujours respecté et, au pire, qu’on tente d’arnaquer les personnes concernées : le rapport « fait observer que la mise en place d’un consentement valide reste compromise par l’utilisation d’interfaces truquées, un suivi omniprésent et d’autres pratiques contraires à l’éthique ; est préoccupé par le fait que les personnes subissent souvent une pression financière qui prend la forme d’une invitation à donner son consentement en contrepartie de ristournes ou d’autres offres commerciales, ou qu’elles sont contraintes par des clauses de prestation subordonnée à donner leur consentement si elles veulent avoir accès à un service, en violation de l’article 7 du RGPD ».
Autrement dit, le rapport déglingue les organismes qui vous demandent, par exemple, d’accepter les cookies, le tout dans une fenêtre indigeste où le bouton « refuser » est caché, où il faut tout décocher, puis aller dans les détails, chercher les petites lignes, celles sur l’intérêt légitime, etc. Bref, un cauchemar que vous connaissez déjà.
L’intérêt légitime est justement le point suivant : le Parlement s’inquiète que les organismes invoquent cet intérêt légitime pour tout et n’importe quoi, de façon totalement abusive. De la même manière, il déplore l’absence de mise en balance des intérêts lorsque cet intérêt légitime est invoqué.
Pourquoi est-ce un problème ?
Lorsqu’un organisme décide de baser son traitement sur son intérêt légitime, il doit réaliser un exercice dit « de mise en balance » entre ses intérêts d’un côté et ceux des personnes concernées de l’autre. Si l’intérêt des personnes est supérieur, le traitement ne devrait pas être mis en place.
Exemple : un journal en ligne invoque son intérêt légitime pour le suivi systématique des lecteurs sur sa plateforme, il justifie cela en expliquant que c’est son modèle économique.
En réalité, ce traitement ne devrait pas être basé sur cet intérêt légitime à faire du business car il sera difficile, voire impossible pour les lecteurs de s’y opposer. Leurs informations seront collectées, revendues, partagées, etc. Il n’est pas possible de garantir les droits fondamentaux des personnes dans cette configuration. Le point d’équilibre entre les intérêts et les droits n’existe pas, l’intérêt légitime à faire du business n’est donc pas acceptable, même s’il est tout à fait compréhensible – et normal – que l’entreprise cherche à générer de l’argent.
Cela ne veut pas dire qu’il est impossible de mettre ce traitement en place, mais qu’il faut soit trouver une autre base légale, soit renforcer et garantir les droits des personnes afin de trouver un équilibre… C’est cet exercice qu’on appelle la mise en balance des intérêts. Et c’est l’absence de cet exercice que déplore le Parlement.
Droits de la personne
Le rapport souligne que certaines entreprises manquent à leurs obligations d’information :
- sur le droit d’accès, en ne fournissant pas, par exemple, la liste des tiers avec qui les informations ont été partagées.
- sur les informations relatives au comportement de l’utilisateur, qui ne sont que rarement traitées correctement alors que ce sont des données à caractère personnel.
Sur l’application en pratique du RGPD
Globalement, si le RGPD est un bon règlement, le Parlement déplore son application inégale – voire inexistante – entre les différents États membres.
Les sanctions
Les sanctions sont différentes, certaines sont anecdotiques, le montant de la sanction est parfois « trop faible pour avoir l’effet dissuasif escompté contre les violations de la protection des données ».
Il appelle les autorités à passer à la vitesse supérieure en utilisant tout ce que le RGPD permet dans son éventail de sanctions et rappelle une chose importante : l’amende est une sanction parmi d’autres et ce n’est pas toujours (NDLR : d’expérience, jamais) la plus dissuasive.
Quel est le problème de la sanction financière ?
Le RGPD permet à une autorité de prononcer une interdiction de traitement des données à caractère personnel, ainsi qu’une obligation à la suppression des données collectées de manière non conforme au RGPD.
Prenons ces quelques exemples pour comprendre tout ceci (et à quel point cette sanction peut s’avérer très dissuasive et efficace)…
Exemple 1 : vous construisez des pièces dans le secteur automobile. Ces pièces sont signées par les ouvriers, puis par le contrôle qualité… Une autorité de contrôle vous contrôle, vous sanctionne et vous interdit de faire usage des données de ce traitement : vous ne pouvez plus fabriquer vos pièces, ni les contrôler…
Exemple 2 : vous êtes une entreprise spécialisée dans la mise en relation de chauffeurs et de passagers. Suite à un contrôle, l’autorité de supervision constate de graves manquements à la protection des données dans les 12 derniers mois. Elle décide de vous interdire de faire usage des données personnelles : plus de données de chauffeurs, plus d’informations de passagers, plus de trajets, ni de collecte d’adresses – physiques ou IP – de l’ensemble des utilisateurs… Et cerise sur le gâteau, vous demande de supprimer les données des 12 derniers mois, collectées à l’insu des chauffeurs et des clients. Bilan : votre entreprise s’arrête net.
Exemple 3 (à savourer sans modération): imaginons Google… les autorités de contrôle pourraient le sanctionner de la sorte, l’obliger à supprimer des données qui n’ont pas été collectées conformément au RGPD d’un côté et, de l’autre, à stopper le traitement jusqu’à sa mise en conformité…
L’interdiction de traitement est – à mon humble avis – beaucoup plus dissuasive et sévère que la sanction financière.
Les enquêtes
Elles sont longues, très longues et souvent trop longues, selon le Parlement, qui estime que cela détériore la confiance des citoyens dans l’application réelle de la loi.
D’expérience, c’est effectivement le cas : le RGPD, personne ou presque n’y croit. De trop nombreuses personnes disent que ça ne sert à rien, que les entreprises font ce qu’elles veulent, qu’elles ne sont pas sanctionnées et que quand elles le sont, c’est anecdotique et ça ne change rien, l’entreprise continuant à faire n’importe quoi… Comment, dès lors, avoir confiance ou garder espoir ?
Le Parlement invite donc les autorités, à nouveau, à passer à la vitesse supérieure, tant dans les temps de traitement que dans les sanctions, pour qu’enfin les responsables de traitement respectent la loi.
Le Parlement est, cependant, parfaitement conscient du manque de moyens : « 21 États parmi les 31 États auxquels s’applique le RGPD (à savoir les États membres de l’Union européenne, l’Espace économique européen et le Royaume-Uni) ont explicitement déclaré ne pas disposer des ressources humaines, techniques et financières, ni des locaux et infrastructures suffisants pour remplir correctement leur mission et exercer leurs pouvoirs; s’inquiète du manque de personnel technique spécialisé dans la plupart des autorités de contrôle de l’Union, ce qui complique les enquêtes et l’application de la législation; observe avec inquiétude que les autorités de surveillance sont sous pression étant donné le déséquilibre croissant entre leurs responsabilités en matière de protection des données à caractère personnel et les ressources dont elles disposent ».
Des pistes sont proposées, comme la mise en place d’une taxe numérique, payée par les grandes entreprises, afin de les contraintes à payer pour leur propre surveillance et faire changer les choses. D’autres sont plus brutales, comme contraindre les États membres à se conformer à leurs obligations légales en allouant le budget de fonctionnement nécessaire aux autorités pour qu’enfin elles puissent faire leur travail correctement.
Le Parlement sait que dans de nombreux cas, ce sont les utilisateurs qui gèrent les sanctions, ils vont au tribunal et s’ils gagnent, l’organisation doit certes les indemniser, mais n’est pas contrainte par décision du tribunal de se mettre en conformité.
Toujours sur le terrain de la pratique, le Parlement s’inquiète de certaines autorités de contrôle, comme celle irlandaise ou luxembourgeoise, totalement dépassées par le nombre de plaintes et de dossiers à traiter, en raison du mécanisme de guichet unique.
Explications : le mécanisme de Guichet unique permet à un organisme de « définir » une autorité compétente au sein de l’union. Cette autorité sera son interlocuteur unique pour toutes les activités de traitement sur le territoire européen, on l’appellera l’autorité « chef de file ».
Problème : de nombreuses entreprises ont leur siège européen en Irlande ou au Luxembourg, les deux autorités sont donc totalement débordées, prennent du retard, ne sont pas capables de gérer l’ensemble des affaires, etc. Le parlement demande donc aux autorités d’accélérer les choses, l’autorité irlandaise étant encore en train de traiter certains dossiers de 2018… La confiance des citoyens dans l’application du RGPD dépend grandement des autorités, de la qualité de leur travail et la rapidité à laquelle elles prennent les dossiers en charge.
Dans les autres points notables, le parlement fustige l’utilisation abusive du RGPD qu’ont certains États afin de restreindre les journalistes ou les organisations non gouvernementales. On peut ici citer le dossier de l’association Anticor, qui, dans le cadre du renouvellement de sa procédure d’agrément, a été victime de pressions, en particulier du ministère de la Justice qui n’a pas hésité à invoquer le RGPD pour connaître le nom de ses donateurs.
On espère donc qu’à l’avenir ce genre d’affaire n’arrivera plus… même si on peut hélas en douter.
Les décisions d’adéquation
Avant de parler du rapport, petite explication de ce qu’est une décision d’adéquation. C’est une décision prononcée par les autorités de contrôle, qui considèrent, après étude approfondie, que la législation d’un pays est assez protectrice des données à caractère personnel pour qu’on puisse transférer des données « simplement » : pas de documents complémentaires, pas de clauses contractuelles supplémentaires, etc. La législation du pays telle quelle suffit. La CNIL met à disposition une carte des pays et des décisions d’adéquation
On peut, par exemple, transférer des données au Japon sans avoir besoin d’encadrer ce transfert par des mesures complémentaires.
Ceci dit, on comprend que le travail à faire est – et doit rester – juridique. Il s’agit d’analyser l’ensemble des lois du pays pour s’assurer qu’il présente un niveau de protection suffisant pour qu’on puisse, sereinement, transférer des données à caractère personnel.
Ce que le rapport dit, c’est que cette décision ne doit « pas être de nature politique, mais juridique ». On pense alors aux accords entre l’Union Européenne et les États-Unis : à deux reprises déjà, les accords de libre échange des données ont été démontés et invalidés devant la Cour de Justice de L’Union européenne.
Seulement… l’enjeu de l’échange entre les deux acteurs est hautement politique, donc on continue de transférer des données et ce, malgré l’absence de garanties satisfaisantes sur ces transferts.
Pire encore, pour le Parlement, il est impossible d’avoir une décision d’adéquation lorsqu’il existe des « programmes de surveillance de masse qui incluent la collecte des données », le rapport rappelant ici les arrêts dits Schrems I, Schrems II et Privacy International et al.
Pourtant… la circulation des données entre le Vieux continent et les États-Unis ne s’est pas arrêtée, malgré les décisions de justice prononcées, malgré l’invalidation des accords d’échange, malgré la critique de l’ensemble des programmes de surveillance américains… Constat d’échec, donc.
Constat d’échec également pour l’application de la directive ePrivacy (directive vie privée et communications électroniques). L’entrée en application du RGPD a introduit des changements dans cette directive et nombre d’États membres ne l’appliquent toujours pas correctement. Le Parlement européen demande donc à la Commission d’engager des procédures d’infraction à l’encontre des États membres qui jouent les mauvais élèves. Le sujet ePrivacy étant un gros morceau, j’aurais l’occasion d’y revenir dans un prochain article.
Voici pour l’essentiel du rapport. Si cette lecture commentée du rapport ne vous suffit pas et que vous adorez les « petits » détails, je ne peux que vous inviter à le lire
On passe la seconde ?
On retiendra de ce rapport que le RGPD est un bon texte, qu’il permet d’aller loin, tant dans le contrôle que dans les sanctions… mais qu’il n’est pas appliqué de façon ferme.
Un manque de personnel, de moyens, des différences entre les États membres mais aussi des raisons politiques sont autant de facteurs qui semblent empêcher la bonne application du texte, pourtant manifestement réclamée par les citoyens de l’Union.
On peut imaginer, si ce rapport est suivi d’effets, que les contrôles des autorités vont augmenter, s’accentuer, que les sanctions seront plus lourdes, voire qu’on aura des sanctions d’interdiction de traitement des données à caractère personnel. Pour y arriver, il faudra que les autorités de contrôle aient un budget de fonctionnement plus conséquent, renforcent leurs effectifs… et que les États membres s’y plient, de gré ou de force si la Commission décide de les sanctionner.
En résumé, il faut que tout le monde joue le jeu pour éviter que la machine s’enraye et que l’ensemble des efforts – et la confiance des citoyens – soient annihilés.
Merci pour cette analyse très intéressante !
Voici quelques statistiques sur les sanctions prononcées au titre du RGPD, qui me semblent la compléter utilement : https://laboussole.coop/2020/05/20/2-ans-de-rgpd-comparaison-de-lapplication-du-reglement-par-les-pays-europeens/
(une petite typo : « afin de les contraintes ces à payer ».)
Bonjour, merci pour ce retour ! Je viens de lire l’article et les statistiques, joli travail qui met bien en perspective l’application du règlement au sein des Etats membres, les écarts, les problèmes potentiels, les raisons, bref, du bon contenu que je n’avais pas vu passer à l’époque, merci donc !