3 questions à …

Gaëtan Bourdais, Avocat collaborateur, SHIFT AVOCATS

1/ Quel bilan du RGPD 5 ans après ?

Le bilan est globalement positif.

D’abord, le RGPD a popularisé le droit à la protection des données personnelles.  Cette réglementation existe en France depuis la loi Informatique & Libertés du 6 janvier 1978 et le RGPD en a repris les grands principes. Mais elle était largement méconnue (des citoyens) voire volontairement ignorée (des entreprises). Le RGPD a bénéficié d’une forte couverture médiatique en raison des amendes astronomiques auxquelles les réfractaires s’exposent désormais en cas de manquement.

Ensuite, la majorité des organisations prennent désormais au sérieux le RGPD. Ce n’était pas nécessairement le cas, il y a 5 ans. Les amendes exceptionnelles infligées par les autorités de contrôle – comme celle de 1,2 milliards d’euros à l’encontre de Meta – ont fini par convaincre les plus réticents que le RGPD concernait tous les acteurs, y compris les grands éditeurs américains. En outre, être capable d’attester de sa conformité au RGPD est devenu un prérequis indispensable pour contractualiser avec des grands-comptes, pour répondre à un marché public ou pour céder son entreprise.

Enfin, le RGPD est devenu une réglementation de référence en dehors de l’Union européenne, pour de nombreux pays dans le monde qui s’en sont inspirés pour consacrer la protection des données personnelles de leurs citoyens.

Cela étant, il faut relativiser ce bilan. Beaucoup d’organisations n’ont pas poursuivi leur mise en conformité après l’établissement de leur registre des activités ou la mise en ligne de leur politique de confidentialité. Cette conformité « de façade » n’est évidemment pas suffisante. Le RGPD implique la mise en œuvre d’une réelle data governance au quotidien, afin notamment d’être capable de détruire les données à l’issue de leur durée de conservation ou de pouvoir répondre aux demandes de droit d’accès.

2/ Quels aspects vertueux ?

Le RGPD a permis de renforcer la sécurité informatique des organisations. Son article 32 impose la mise en œuvre de mesures de sécurité physiques, logiques et organisationnelles adaptées aux risques auxquels les traitements de données personnelles sont exposés. En pratique, comme tous les systèmes d’information contiennent des données personnelles, cette obligation spécifique est devenue peu ou prou notre droit commun de la sécurité informatique.

Les principes de privacy by design et by default obligent également à prendre en considération la contrainte légale dès le cahier des charges d’un projet informatique. Ce faisant, le juridique devient force de propositions et est moins perçu par les opérationnels comme l’obstacle ultime à franchir en fin de leur phase de build.

Le RGPD incite aussi à traiter les données personnelles au sein de l’Union européenne. Les transferts en dehors de l’UE deviennent risqués, notamment s’ils se font vers des territoires où notre Charte des droits fondamentaux n’est pas garantie pour les citoyens. Le sujet de la souveraineté européenne de nos données est de plus en plus pris sérieusement en compte par les entreprises, au bénéfice de nos éditeurs de solutions informatiques français ou européens.

3/ Quelles réglementations à venir sur la Data ?

Plusieurs textes européens nous attendent prochainement, en lien avec la data ou la sécurité de celles-ci :

• Le règlement européen sur la gouvernance des données (Data Governance Act), qui entrera en application le 24 septembre 2023 vise à créer un marché de l’intermédiation des données;
• Le projet de règlement Data Act qui contribuera à la réutilisation des données générées par les produits et services numériques ;
• Le projet de règlement AI Act qui encadrera la conception et la commercialisation des intelligences artificielles ;
• La directive Network and Information Security (NIS, version 2), qui devra être transposée d’ici le 18 octobre 2024 vise à renforcer la cybersécurité de certaines organisations qualifiées d’essentielles ou importantes ;
• Le projet de règlement Cyber Resilience Act qui créera un principe de Security by design aux fabricants de produits numériques.

Beaucoup de nouvelles contraintes (mais aussi d’opportunités !) que les entreprises devront rapidement prendre en compte.