Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

Soyons clairs : depuis quinze ans, un bon marketing était en grande partie basé sur une utilisation intelligente de données personnelles. Que celui qui n’a jamais transmis une information produit à un individu ciblé n’ayant rien demandé lève le doigt. Voyons ?… Pas de doigt levé, je m’en doutais. Que celui qui n’a jamais conservé un nom, un numéro de téléphone ou une adresse mail sans en avertir l’intéressé jette la première pierre. Attention ? Ok, pas de pierre. Que celui qui… Je crois que vous avez compris.

Bien entendu, certains ont été beaucoup plus loin, attirant, récupérant, puis détournant ou transférant des profils, intéressants car consommateurs, d’innocents qui avaient eu la faiblesse d’ouvrir un site, de suivre un lien, ou de se manifester par une inscription, une adhésion, un commentaire… Et qui, ça va de soi, s’empressaient d’accepter les conditions générales de vente ; les lire ? Vous n’y pensez pas. Les responsabilités sont donc partagées.

Ces derniers temps, il faut le reconnaître, les pièges se sont multipliés. Certes, la frénésie consommatrice, l’addiction aux réseaux, le besoin de reconnaissance – « J’existe, moi, je clique ! » – n’ont pas été pour rien dans la constitution de bases de données géantes, des centaines de millions d’individus se livrant sans hésiter à qui voulait les harceler.

Dès lors, pourquoi se priver ? C’était beau, la nouvelle économie, l’horizontalité, l’ubérisation, l’intelligence artificielle. Le data, quel dada ! Et nous y avons été, tous, à fond ! La crise ? Mon œil. Pas pour tous, et pas pour tout. Jamais les petits hommes n’ont tant fabriqué, vendu, acheté. Pour ne pas couler, on écoule. Quitte à crouler. Chaque nom, et chaque information associée à ce nom, étaient bons à garder, à tester, à profiler. Tout le monde a besoin de quelque chose, un jour. Il suffit de le créer, ce besoin, pardon de le révéler. De le satisfaire ? Oui, mais pas trop quand même. Pour que la machine continue de tourner.

On a su. On assumait. Oui, mais voilà. On a été trop loin. Adultes, nous ? Non, les adultes n’existent pas. Il n’y a que des enfants qui vieillissent. Alors comme des gosses, nous en avons voulu toujours plus et nous avons été trop loin. Ou nous avons failli aller trop loin. Avant qu’il ne soit trop tard, les autorités ont sévi. La CNIL ne nous avait pas lâchés, mais, bienveillante, cantonnée à son hexagone, elle a été dépassée. Alors l’Europe est intervenue. Plusieurs fois. En 1995 d’abord, et puis en 2016, avec effet aujourd’hui.

Quel est cet effet ? L’illégalité. Ce qui était du marketing intelligent est maintenant du marketing illégal. Désormais, si vous utilisez vos fichiers clients ou usagers comme avant, vous êtes dans l’illégalité. Et oui. Mais ?… Non. Comment ?… Parce que.

Il s’agit de bien comprendre ce qu’est une donnée personnelle et comment on doit la traiter. Les enjeux sont importants, les risques élevés. Amendes en millions d’euros, responsabilité personnelle, justice, tribunal, ça vous parle ? On ne plaisante plus. Mark, Larry, Serguei, Jeff, vous m’entendez ? Rigolez pas les autres, vous aussi. Même si les géants du numérique sont les principales cibles de RGPD, toutes les structures sont concernées, quelle que soit leur taille. Grosses boîtes, start up, plombiers, mairie de Triffouillis et association machin-chose : vous ne pouvez plus utiliser vos fichiers comme vous l’entendez.

Certes, il y avait déjà quelques règles et quelques sanctions. Ah bon ? Oui. Ainsi, en janvier 2018, donc avant l’entrée en vigueur du règlement, Darty a été sanctionné par la CNIL, pour ne pas avoir assez sécurisé les données de ses clients. L’utilisation contestée provenait en fait d’un sous-traitant, mais c’est bien l’entreprise qui a été condamnée. À 100 000 € d’amende. Ce n’est donc pas rien, mais c’est une peccadille par rapport à ce qui peut vous arriver désormais, si vous aussi n’êtes pas assez vigilants.

On rêve. Eh non. Le droit européen stipule que les données appartiennent aux citoyens, et qu’aucune structure ne peut se les approprier pour les utiliser à sa guise. Ah… Les entreprises doivent indiquer de manière claire et précise comment elles collectent, traitent et conservent les données personnelles. Il est question de loyauté, de transparence, de finalités déterminées, légitimes, adéquates, limitées… Hein ? Ces mots nous auraient fait rire, avant. Mais les temps ont changé. Les instances européennes réagissent, et on peut les comprendre.

Vous devez réaliser une étude d’impact avant de traiter vos données, vous soumettre à un code de conduite qui régira les pratiques dans votre secteur, nommer un délégué à la protection des données qui signalera tout incident à l’autorité de contrôle, la CNIL en France. Différentes sanctions sont prévues en cas de non-respect de cette réglementation, allant de l’avertissement à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise. Euh… Mince alors.

C’est du lourd. Voire du brutal. Mais c’est pour notre bien. Quand même… Bon, d’accord. C’est vrai qu’il fallait faire quelque chose. Que nous, entreprises, avions tendance à dépouiller nous, individus. Les premières prennent aux seconds un nom, puis une adresse, puis un goût, puis une habitude, puis un profil, et puis, sans que nous nous en rendions compte, elles prennent leur libre-arbitre. La liberté. La plupart des entreprises ne pensent pas à mal. Juste à marketer. Mais à force… Trop c’est trop.

Avec le web 2.0, nous avons pris conscience que la richesse se trouvait dans les données, jusqu’à parvenir à la toute puissance du big data aujourd’hui. Cette puissance est telle que certains se demandent si la notion de frontière entre vie publique et vie privée a encore un sens. N’est-il pas trop tard ? s’interrogent d’autres. Les initiateurs du RGPD ne le pensent pas, en tout cas ils ne le disent pas. Pour eux, on peut et on doit intervenir afin que nous ne soyons pas dépossédés ou vampirisés par les datas centers et ceux qui les possèdent.

Ce retour de balancier est dans l’air du temps. Une étude du cabinet Pégasystems menée auprès de 7 000 consommateurs au printemps 2017 dans 7 pays de l’Union Européenne montre que 82 % des citoyens ont décidé de faire valoir les droits qui leur sont reconnus par le RGPD. Et les Français, avec les Espagnols et les Italiens, semblent les plus sourcilleux quant à leurs données personnelles. Ainsi, 96 % des Français interrogés souhaitent savoir quelles informations les concernant sont détenues par les entreprises. Quand on sait le souci croissant des citoyens d’être reconnus dans leurs droits, on ne prend pas ces chiffres à la légère.

Susciter la confiance, allier protection et libre circulation

Le RGPD n’est donc pas un texte que l’on peut s’empresser d’oublier après sa date de mise en œuvre. Il se veut un coup d’arrêt au pillage d’informations qui devraient rester confidentielles et à l’intrusion dans les vies privées. La protection des individus est ainsi l’objectif principal du RGPD.

Dès le début des considérants (pas moins de 173), le ton est donné : « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental » (1^er considérant). Et même « Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité » (4^e considérant).

Si le besoin de protection se fait sentir, c’est parce que les membres du Parlement et du Conseil européens, émanations représentatives des citoyens de l’U.E., ont considéré que les entreprises, et dans certains cas peut-être les administrations, avaient été trop loin dans l’exploitation de données à caractère personnel. En effet, le RGPD s’inscrit dans le cadre d’une évolution socio-économique, rappelée dans le 6^e considérant : « L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu’aux autorités publiques d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l’économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel ».

On voit bien que l’U.E. n’accuse pas plus les uns que les autres, mais montre les responsabilités partagées des entreprises, des autorités publiques, de la technologie et des individus eux-mêmes.

L’Europe ne s’exonère pas non plus, puisque le 9^e considérant précise : « Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE (premier texte de référence européenne sur le sujet) n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne ».

Le principal problème pointé est la différence des niveaux de protection selon les pays. Dès lors, l’unité, pour toutes les entreprises sur tout le territoire de l’U.E., et même pour leurs sous-traitants hors U.E., apparaît comme une condition sine qua non d’une politique efficace en la matière. « Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union » (10^e considérant).

Le texte, bien que très contraignant nous allons le voir, se veut néanmoins tourné vers un objectif économique positif : « Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur » (7^e considérant).

« Confiance ». C’est, à notre avis, le mot le plus important. Si le RGPD a pour objectif de garantir, de restaurer, ou de « susciter » la confiance des citoyens envers les acteurs publics et privés du grand marché européen, alors c’est de bon cœur que nous y souscrivons. Il est indispensable en effet que les personnes qui achètent en ligne, utilisent un service, consultent des offres, expriment un avis, puissent accomplir ces actes sans craindre d’être dépossédées d’une partie de leur intimité.

Sans crainte d’être dépossédées, ou même harcelées, pour reprendre un mot à la mode depuis la fin 2017 et qui pourrait s’appliquer au numérique. Combien de fois chaque jour recevons-nous des informations que nous n’avons jamais sollicitées, soi-disant parce que nous sommes abonnés à quelque chose dont nous ignorons jusqu’à l’existence ? Aujourd’hui, nous devons nous désabonner alors que nous n’avons jamais été abonnés. Si le RGPD est appliqué correctement, ce ne sera plus nécessaire : l’envoi d’une newsletter est maintenant interdit si le destinataire n’y a pas expressément consenti.

Ce respect nouveau est une bonne chose. Les échanges économiques ne sont jamais aussi fructueux que lorsque les différentes parties se sentent en confiance l’une par rapport à l’autre.

Ces échanges fluides sont nettement encouragés : « Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l’Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel » (13^e considérant). 


On le voit : la protection des données ne doit pas être un frein, mais au contraire un atout « pour que le marché intérieur fonctionne correctement ». L’article 1 du RGPD reprend cette combinaison des deux objectifs. Citons simplement le premier alinéa : « Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données ». Protection et libre circulation, les deux fondements de l’Union Européenne n’auraient pas pu être rappelés de manière plus explicite.  

Les considérants qui suivent annoncent parfois mot pour mot les articles à venir, sauf qu’ils sont le plus souvent rédigés au conditionnel, pour montrer le souhait, l’intention, tandis que les articles sont à l’indicatif, signifiant qu’ils s’imposent juridiquement.

La philosophie du texte étant posée, observons désormais ses principales dispositions.