Les évolutions de la protection des données personnelles (interview)

• Thiébaut Devergranne

J’ai été interviewé la semaine dernière par l’équipe très amicale et sympathique du site Données Privées à propos des évolutions européennes du régime de protection des données personnelles. Je répondais aux questions de Moehau Huioutu.

Données Privées : Le législateur français reconnaît un caractère fondamental aux données à caractère personnel et leur attribue en conséquence un régime de protection très strict. Partant de là, le non-respect de certaines dispositions de la loi Informatique et Liberté est pénalement sanctionné. Pourtant, en pratique, ce cadre législatif trouve difficilement à s’appliquer. N’est-ce pas un paradoxe ?

TD : Si, en fait c’est un des problèmes majeurs de la protection des données personnelles aujourd’hui. Le législateur a fait preuve d’une très grande sévérité au travers du dispositif pénal. Toutefois, en pratique les décisions de justice  sanctionnant ces infractions sont rares. Prenons par exemple l’article 34 de la loi informatique et libertés, qui impose au responsable du traitement de mettre en œuvre toutes les précautions utiles de sécurité informatique afin de protéger les données personnelles. La sanction pénale en cas de non respect de ces prescriptions est de 5 ans d’emprisonnement et 300.000 € d’amende, ce qui est sévère ! Et maintenant, observons la pratique :  il ne se passe pas une semaine sans que se produisent des incidents majeurs de sécurité conduisant à des compromissions à grande échelle de données personnelles… Et cela, la majorité du temps, sans aucune sanction (je vous invite à vous reporter à notre formation cil pour plus de détails à ce sujet).

En réalité, cela entraîne un risque important pour les responsables de traitements. Car certains concluent que parce que les sanctions sont rares, elles sont inapplicables. Or c’est faux. Il faut rester vigilant, et éviter ces infractions, tout en travaillant dans une logique de gestion de risques.

En définitive, on peut se demander si ces infractions ont encore un sens en pratique. Il me semblerait plus cohérent, soit de faire appliquer ce régime juridique, soit de les supprimer. En tout cas, la situation dans laquelle nous sommes est malsaine et appelle à une évolution.

Données Privées : Tous les observateurs s’accordent pour dire qu’une révision de la directive de 95 est nécessaire. Néanmoins, à peine annoncée, cette révision est déjà critiquée de toute part. En l’état, certaines des dispositions du projet de révision semblent difficiles à mettre en pratique (cf le droit à l’oubli) ou néfaste pour le développement de l’entreprenariat. Ce projet vous apparaît-il comme trop ambitieux ?

TD : Le problème de la protection des données personnelles aujourd’hui n’est pas d’ajouter plus de droit. Il est de faire appliquer le droit. Mais faire appliquer le droit à un coût, là où créer du droit n’en a en apparence pas, et peut donner le sentiment au régulateur qu’il exerce avec efficacité sa mission.

On ferait un progrès considérable si l’on sanctionnait effectivement les débordements majeurs. Or les sanctions prononcées aujourd’hui ne sont ni convaincantes, ni effectives. La CNIL a récemment sanctionné Google, dans l’affaire des Google Cars, à une amende de 100.000 euros. J’ai fait le calcul, cela représente 2 jours de budget café pour l’entreprise, alors que la lecture de la décision de la CNIL me laissait penser que de nombreuses infractions pénales avaient été potentiellement réalisées. Le message est un peu : « Vous ne respectez pas la loi : privé de café (mais pendant deux jours seulement) ». Est-ce vraiment convaincant ?

Données Privées : Doit-on favoriser d’autres approches ? L’auto-régulation ? La Privacy by Design ? Un consensus international ?

TD : Ce qu’il faut favoriser maintenant ce sont des sanctions efficaces. Le projet de règlement va dans ce sens et c’est un bon point. Mais encore faut-il que la CNIL ait le cran de prononcer des sanctions réelles. Car jusqu’à aujourd’hui, elle a surtout fait preuve de timidité. A contrario, la Commission européenne n’a pas ce problème, on l’observe dans d’autres domaines comme en matière de concurrence. Je me demande donc s’il ne serait pas plus efficace de lui laisser l’ensemble du volet sanctions, ce qui aurait plusieurs avantages : une plus grande cohérence du dispositif au niveau européen, la mise en œuvre de sanctions réelles et une plus grande indépendance que celle dont les autorités nationales de contrôle jouissent actuellement.

Données Privées : Peut-on dire que l’on est dans une phase de transition ? Autrement dit, si l’on ne prend pas les bonnes décisions dès aujourd’hui, nos données personnelles risquent-elles de nous échapper un jour ?

TD : Malheureusement elles nous échappent déjà ! Mais je ne crois pas à l’idée d’un point de non retour. L’équation de la protection des données personnelles est très simple en réalité: on arrivera à un équilibre lorsqu’il coûtera plus cher de ne pas respecter la loi, que de la respecter.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)