Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

L’article 5 est, dans la lettre comme dans l’esprit, révolutionnaire, si l’on veut bien regarder avec honnêteté les usages en vigueur avant 2018.

« Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée » (par. 1a). Si à la rigueur on peut convenir que l’on agissait de manière licite, force est de reconnaître que les critères de transparence et de loyauté n’étaient guère pris en compte. Aucune personne dont les données étaient capturées n’était prévenue des modalités et des finalités de cette captation. Si donc on doit désormais se conformer à cette nouvelle disposition, et on le doit, les changements à accomplir, en termes d’optique et de pratique, sont considérables.

Le paragraphe 1b du même article 5 a de quoi nous assommer, pardon nous éclairer, davantage : « Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ». Autrement dit, un directeur marketing reste responsable des données qu’il a rassemblées, quand bien même leur utilisation évoluerait au fil du temps. Et cette évolution ne doit pas être incompatible avec les raisons indiquées à l’origine de la collecte. La notion de « finalités déterminées, explicites » pourrait à elle seule, si elle est entendue au sens strict par un magistrat, réduire les données personnelles collectées à un usage unique.

Le paragraphe 1c n’est pas mal non plus : « Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ». Finies les stratégies attrape-tout et les ratissages larges pour récupérer un maximum d’informations. Chaque opération doit être calibrée en fonction d’un objectif précis et de lui seul. La philosophie du texte apparaît de nouveau ici : il s’agit de limiter autant que possible la diffusion de données personnelles afin que pas un individu puisse prétendre avoir été dépouillé d’informations le concernant sans son consentement.

La durée de conservation est elle aussi visée (par le paragraphe 1e de l’article 5) : elle ne doit pas excéder « celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce qui implique, soyons clairs, une destruction des données après usage ; ce n’est, avouons-le, pas dans nos habitudes.

La licéité du traitement a désormais un fondement, rappelé dans l’article 6, qui énumère six conditions dont au moins une doit être remplie. Les quatre dernières étant consacrées à des questions non commerciales, seules les deux premières nous concernent. Soit « la personne concernée a consenti au traitement des données à caractère personnel pour une ou plusieurs finalités spécifiques », soit « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ». C’est donc clair : pour exploiter une information personnelle, un consentement ou un contrat est indispensable. Pour un mineur de moins de 16 ans, âge que les États membres peuvent abaisser jusqu’à 13 ans (la France vient d’opter pour une majorité numérique à l’âge de 15 ans), le consentement doit être donné par le titulaire de la responsabilité parentale (art. 8-1). Lorsqu’on s’adresse à des enfants, les termes doivent être choisis en fonction de l’âge, afin que la compréhension soit facilitée (art. 12-1).

En cas de litige, la charge de la preuve du consentement incombe au responsable du traitement, pas à la personne qui se considère lésée (art. 7). Et tout est prévu dans les lignes denses du RGPD pour donner les moyens à l’autorité de contrôle de décider s’il y a bien eu consentement et pour quoi.

Aucune place n’est plus laissée à l’ambiguïté, sur laquelle tout le monde jouait depuis vingt ans : « Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » (art. 7-2). Ce consentement peut être retiré à tout moment. Et il est interdit de compliquer l’usage de cette possibilité : « Il est aussi simple de retirer que de donner son consentement » (art 7-3).

Ce n’est pas nouveau, du moins en France, mais clairement réaffirmé dans l’article 9 : le traitement qui révèlerait les origines raciales ou ethniques, les opinions politiques, les convictions religieuses, la santé ou l’orientation sexuelle des personnes concernées est interdit (art. 9-1), sauf dans dix cas particuliers liés au droit du travail ou à l’intérêt public. L’une de ces exceptions est intéressante, et étonnante car elle s’éloigne du caractère protecteur du texte : quand les données sont « manifestement rendues publiques par la personne concernée » (art.9-2e). Dans ce cas, des informations dites sensibles peuvent être révélées ; ce qui, vu l’exhibitionnisme ambiant, peut toucher beaucoup de monde.