Veille Juridique – décembre 2019.

2020 et au-delà

C’est une nouvelle année mais aussi une nouvelle décennie qui s’annonce, avec ses défis, ses contraintes et ses promesses.

Pour mieux aborder ces enjeux, accordons-nous un bref retour sur l’année 2019

Plus d’un an après l’entrée en vigueur du RGPD, un premier constat sur la mise en œuvre du Règlement est déjà possible.

Les autorités européennes de supervision ont endossé leurs nouvelles compétences et infligé leurs premières sanctions.

Elles ont également mis en place une coopération visant à traiter les plaintes transfrontières.

On en retient les observations suivantes :

• Les autorités ont dans leur viseur les GAFAM autant que les structures de taille plus modeste.

En témoignent par exemple les amendes de la CNIL envers Google pour un montant de cinquante millions d’euros et de l’autorité de Berlin concernant la société immobilière Deutsche Wohnen pour un montant de 14,5 millions d’euros.

En parallèle, des hôpitaux, écoles, entreprises de télécommunication mais aussi des associations et des entités publiques se voient sanctionnés pour des montants moindres, souvent en raison de manquements aux obligations de sécurité, utilisation disproportionnée de la reconnaissance faciale, mais aussi pour utilisation illégale de cookies, comme récemment en Belgique.

• Les difficultés surgissent néanmoins lorsqu’une autorité est confrontée à une importante concentration géographique d’entreprises.

Les délais de procédure en Irlande concernant les plaintes contre Facebook et Whatsapp commencent ainsi à provoquer des remous diplomatiques dans la communauté des autorités de supervision.

Malgré ces difficultés, on constate une mise en conformité croissante et une clarification progressive du cadre légal.

Les récents arrêts de la Cour européenne de justice concernant la collecte de données en ligne, la notion de co-responsabilité et le droit à l’oubli ont contribué à cette clarification.

• Au-delà du contexte européen, la protection des données et de la vie privée devient un enjeu mondial.

Aux Etats-Unis, la Federal Trade Commission n’est pas en reste avec une amende record (settlement order) de cinq milliards de dollars à l’encontre de Facebook.

Le California Consumer Privacy Act en vigueur depuis le début de l’année 2020 devient en outre un cadre légal de référence pour les entreprises exerçant des activités en Californie.

Pendant que la Chine développe une dystopie établissant une surveillance généralisée de sa population, des lois de protection des données sont adoptées en Asie et en Afrique. C’est le cas plus précisément en Inde, au Togo et au Kenya.

2019 a vu l’émergence de préoccupations majeures qui se développeront dans les prochaines années.

• La collecte de données en ligne par l’intermédiaire de cookies est un des principaux sujets de débat.

Même si le projet de directive européenne « ePrivacy » dont on attendait beaucoup (trop ?) est à l’arrêt, dans l’attente d’une nouvelle proposition de la Commission européenne, les règles d’utilisation des cookies et de fonctionnement des ad techs en général devraient se voir clarifiées. 

Avec en ligne de mire un consentement plus libre et spécifique de l’internaute au traitement de ses données.

• L’intelligence artificielle est, enfin, un enjeu majeur de ces prochaines années.

En lien avec la reconnaissance faciale et la biométrie de façon plus générale, elle constitue à la fois une opportunité et un défi pour nos sociétés démocratiques.

Ce n’est pas sans raison qu’elle figure en bonne place dans le programme de la nouvelle Commission européenne, et que la CNIL a ouvert un débat public sur le sujet.

Les initiatives européennes sur le sujet ont été répertoriées par l’Agence européenne des droits fondamentaux.

L’intelligence artificielle est également le thème de la prochaine conférence internationale (CPDP) qui aura lieu à Bruxelles du 22 au 24 janvier prochain.

Ces considérations nous emmènent vers des questions qui dépassent le cadre légal pour aborder les aspects éthiques de l’utilisation des nouvelles technologies.

Au-delà de la loi, c’est la dignité humaine qui est en jeu, alors que nos démocraties sont assaillies d’informations de plus en plus difficiles à vérifier. L

es scandales liés à la manipulation des informations des électeurs aux Etats-Unis et en Grande-Bretagne posent la question de nos futurs choix de société, dans un contexte politique, économique et environnemental fragile.

Une vision globale semble de plus en plus nécessaire pour aborder, au-delà de 2020, les futures décennies.

C’est un exercice qu’a fait le Contrôleur européen de la protection des données, Giovanni Buttarelli, décédé prématurément en cette année 2019.

Ses réflexions ont été rendues publiques récemment sous la forme d’un manifeste, « 2030 : une nouvelle vision pour l’Europe », qui se conclut par un plan d’action en dix points pour une vie privée soutenable (« sustainable privacy »).

Les liens qu’il y tisse entre protection des données, démocratie et dignité humaine dans un contexte de profonds changements environnementaux et sociaux, sont une véritable source d’inspiration.

De quoi aiguiser notre esprit critique et notre imagination en ce début d’année, que nous vous souhaitons aussi belle que possible.

Anne Christine Lacoste

Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER