AVIS D’EXPERT JURIDIQUE – Le 25 mai 2023, le RGPD fêtera ses cinq ans, l’occasion de prendre du recul et de livrer une première analyse sur l’application de ce règlement au sein de notre système de droit. Par Maître Alexandra Iteanu, Avocat à la Cour (Numérique, Cybersécurité et Data).
On ne le présente plus, le règlement UE n°2016/679, ou « Règlement Général sur la Protection des Données » dit « RGPD », encadre la protection des données à caractère personnel des résidents de l’Union européenne depuis son entrée en application, le 25 mai 2018.
Le 25 mai 2023, le RGPD fêtera ses cinq ans, l’occasion de prendre du recul et de livrer une première analyse sur l’application de ce règlement au sein de notre système de droit.
99 articles, 173 considérants, on pourrait croire qu’avec un texte aussi fourni, le RGPD se suffit à lui-même. Pourtant, ce texte ne peut être apprécié et appliqué sans appréhender le reste du droit (1). Ce règlement intègre par ailleurs la cybersécurité comme prérequis à la protection des données personnelles, et en fait par la même occasion profiter tout le système (2).
Le RGPD : du droit des données personnelles… mais pas que !
Rappelons tout d’abord que l’entrée en application du RGPD n’est pas une révolution dans le monde des données personnelles : il existait déjà, au niveau du droit de l’Union européenne, deux directives de 1995[1] et 2002[2] qui encadraient la protection des données personnelles.
En France, notre droit national intègre depuis 1978 une des plus anciennes lois sur la protection des données personnelles d’Europe : la loi dite « Informatique et Libertés », du 6 janvier 1978[3].
Certes, le RGPD a apporté son lot de nouveautés : la fin du système déclaratif auprès de la CNIL, des sanctions aux montants plus élevés, un champ d’application plus large qui force les sociétés étrangères à s’y conformer lorsqu’elles souhaitent viser un public européen, des obligations renforcées pour le data controller et le data processor, etc.
Il reste cependant que ce texte, comme tous les autres règlements, s’inscrit dans notre système de droit national, et doit donc être apprécié en prenant en compte les spécificités de chacune de ces branches (droit des contrats, droit de la consommation, etc.).
En d’autres mots, le RGPD est un socle important et nécessaire pour la protection des données personnelles, mais il n’évolue pas seul, c’est ce que le règlement rappelle lui-même : « Le présent règlement dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit » (Considérant 8).
Pour exemple, dans le domaine de la santé, un grand nombre des dispositions du Code de la santé publique déroge au RGPD en prévoyant des régimes spécifiques et plus restrictifs. L’obligation d’un hébergement certifié « HDS » pour les données de santé, qui ne figure pas dans le RGPD, en est une illustration. Il va sans dire que de manière plus générale, le droit civil et le droit des contrats sont des branches indispensables pour la bonne mise en application de nombres de règles posées par le RGPD.
Cette perspective nous a permis, pendant ces cinq premières années d’application, de trouver souvent des solutions au sein du droit général, quand des précisions ou notions au sein du RGPD venaient à manquer. Il faut en effet, encore plus à ses débuts mais toujours aujourd’hui, faire preuve d’interprétation, osons dire même d’imagination, pour mettre en pratique ses dispositions souvent très théoriques. Le parallèle avec d’autres branches du droit, et l’expérience du contentieux ont été des alliés précieux en ce sens.
Le RGPD, un apport majeur pour la cybersécurité des systèmes
La mise en conformité d’un organisme au regard du RGPD passe immanquablement par la coopération entre le juridique, l’organisationnel et la technique.
Le règlement européen a ainsi intégré la cybersécurité comme un prérequis à la protection des données personnelles.
En effet, un grand nombre de ses dispositions sont axées sur l’analyse des risques en amont, et sur la mise en place de « mesures techniques et organisationnelles adaptées » en matière de sécurité[4]. Si le RGPD n’impose pas de politique de cybersécurité précise, il l’encourage cependant en donnant des exemples concrets : mise en place du chiffrement, de la pseudonymisation, ou encore test de la robustesse d’un système.
La Commission Nationale de l’Informatique et des Libertés (« CNIL »), autorité de contrôle compétente en France en matière de protection des données personnelles va dans le même sens. Récemment, la CNIL a publié une nouvelle version de son Guide de la sécurité des données personnelles[5], et publie régulièrement des recommandations sur ces sujets, à l’instar de sa politique sur les mots de passe[6]. De même lors des contrôles de la CNIL, l’autorité administrative porte une attention toute particulière à la sécurité des systèmes, près d’un tiers des sanctions étant fondées sur des manquements liés à la sécurité.
Avec le RGPD, et l’intégration de la cybersécurité comme prérequis, c’est tous les systèmes d’information qui en profite, et non pas seulement les données personnelles.
Depuis son entrée en application il y a cinq ans, il est certain que les mesures et réflexes que le RGPD impose aux organismes en matière de cybersécurité profitent non seulement aux données personnelles, mais plus largement aux données, informations, et éléments présents dans les systèmes d’information.
Une première étape importante
En conclusion, le RGPD est un texte perfectible certes, mais c’est un texte qui marque une première étape importante dans la création d’un droit comptable de la donnée personnelle au sein de l’Union européenne, et probablement dans le monde.
La meilleure preuve ? Les grandes entreprises américaines ont été les premières à communiquer à tout-va sur leur bonne conformité à ce règlement, même quand cela n’était pas encore possible. Ce sont ces mêmes entreprises qui aujourd’hui le critiquent en le considérant « anti-business ». Car oui, le RGPD est un texte d’ordre public, qui affirme et défend les valeurs européennes, et la souveraineté de ses états membres.
On se dit rendez-vous dans 10 ans, même jour même heure, même règlement, pour faire le point ?
Maître Alexandra Iteanu
[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (
[3] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[4] Article 32 du RGPD : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie… le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. »
[5] https://www.cnil.fr/fr/la-cnil-publie-une-nouvelle-version-de-son-guide-de-la-securite-des-donnees-personnelles
[6] https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite
