Le “Règlement général sur la protection des données” - le RGPD (1) - est entré comme prévu en application le 25 Mai 2018 - soit deux années après son adoption par le Parlement européen et le Conseil.
Une réforme plus qu’une révolution
Ce règlement n’est pas une véritable innovation mais plutôt une réforme et une adaptation d’une directive datant de … 1995.
L’application de cette directive s’était toutefois révélée déficiente car les États l’avaient transposée “ de différentes façons”, rendant ainsi son application disparate et incohérente (2).
D’autre part, il était nécessaire de tenir compte, vingt ans après, de l’évolution du progrès technique et du rythme exponentiel de la circulation des données informatiques (personnelles et professionnelles).
La protection d’une liberté … et d’un marché
Le but premier du règlement est la protection des données personnelles des citoyens - protection basée sur le principe constitutionnel de “liberté” de la personne telle qu’énoncé par l’article 2 TUE et par l’article 8 de la Charte des droits fondamentaux de l’UE.
La base juridique du règlement est l’article 16 TFUE (repris du Traité sur la Communauté européenne) qui permet au Parlement et au Conseil (à la majorité qualifiée) de légiférer en la matière.
En substance, le règlement vise à renforcer les droits individuels sur les données personnelles : information, transparence, libre accès, effacement, récupération, transmission, violations, etc …
Mais il aura aussi un effet bénéfique “collatéral” dans le domaine économique en créant :
un cadre juridique harmonisé au profit du marché unique numérique de l’UE,
des conditions de concurrence équitables pour toutes les entreprises - y compris étrangères - sur ce marché.
Une application subsidiarisée
La gestion et le contrôle de l’application du règlement obéit au principe de subsidiarité : ils sont confiés à des “contrôleurs nationaux" de la protection des données (3) - sous la surveillance d’un comité européen qui regroupe ces instances nationales sous l’autorité d’un “Contrôleur européen”.
Le règlement prévoit que les autorités nationales de protection pourront infliger aux contrevenants ou à leurs sous-traitants des "sanctions effectives et dissuasives sous forme d’amendes administratives pouvant s’élever à 20 millions d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires annuel mondial” (4).
Un leadership mondial ?
La Commission estime que ce règlement favorisera également la convergence des différents ordres juridiques au niveau mondial tout en les alignant sur les normes les plus strictes qui soient à l’heure actuelle.
Ce serait ainsi l’occasion pour l’UE de devenir un acteur international de premier plan dans un domaine en pleine évolution et largement dominé par des opérateurs non européens.
Et chacun de retenir son souffle ...
Ceci dit, au lendemain de l’entrée en application de ce règlement historique, chacun retient son souffle !
De multiples obstacles devront être surmontés :
dans quelle mesure les États membres seront-ils capables de - ou même disposés à - assurer les conditions de mise en oeuvre du règlement et le contrôle effectif de leur application (5) ? Des problèmes techniques - et même politiques - sont certainement à prévoir,
les opérateurs européens sont ils suffisamment préparés ( même vingt ans après la première directive et après deux années de délai …) à se plier aux nouvelles normes ? Un certain vent de panique semble souffler chez la plupart d’entre eux (notamment les PME),
comment réagiront les grandes "puissances numériques” étatiques comme les États Unis ou la Chine devant cet interventionnisme européen ?
surtout, quelle sera l’attitude - voire la riposte - des grands opérateurs multinationaux (notamment les GAFA) dont les pratiques se trouveront bouleversées par les règles européennes et leur application … extra-territoriale ?
Au crédit de l'UE
Quoiqu’il en soit, le RGPD constitue un "grand oeuvre” à mettre au crédit de l’UE ou plutôt de ses Institutions :
de la Commission qui l’a conçu et négocié en toute transparence,
du Parlement qui a exercé tout son poids politique pour permettre son adoption,
du Conseil, même, qui a consenti à l’approuver (à la majorité : l’unanimité l’aurait bloqué).
Il faut espérer que les citoyens-internautes s’en souviendront au moment des élections de 2019. Quelle meilleure démonstration d’une "Europe qui protège” ?
Jean-Guy Giraud 28 - 05 - 2018
________________________________________
(1) en anglais “GDPR" : il est dommage qu’un acronyme plus accrocheur ( “UE-PRODO”/ "EU-DATPRO” ?) n’ait pas été trouvé.
(2) Pour cette raison, le nouveau régime de protection a pour base juridique un règlement "directement applicable indépendamment de toute disposition de droit national, invocable directement par les citoyens ou entreprises, ne pouvant pas être modifiés ni complétés par les législateurs nationaux et ne pouvant être interprété que par les juridictions nationales sous le contrôle de la CJE”.
(3) le règlement précise que les contrôleurs nationaux doivent être indépendants et "disposer des ressources financières et humaines nécessaires”
(4) il s’agit notamment de sanctionner ou dissuader les sociétés multinationales (GAFA) opérant sur le marché
(5) à cet égard, l’appui des associations spécialisées dans le contrôle du respect des droits de l’homme (ou, plus prosaïquement, des consommateurs) sera particulièrement précieux