Protection des données: cela risque de chauffer!

“La Commission européenne plaide pour le ‘droit d’être oublié'”, titrait récemment Data News. En effet, l’Europe a lancé mercredi dernier une proposition importante en vue de rendre (encore) plus strictes les règles européennes en matière de respect de la vie privée. La façon dont les entreprises collectent et utilisent les données personnelles, a changé radicalement en raison de l’évolution technologique et de la globalisation, selon l’Europe.

“La Commission européenne plaide pour le ‘droit d’être oublié'”, titrait récemment Data News. En effet, l’Europe a lancé mercredi dernier une proposition importante en vue de rendre (encore) plus strictes les règles européennes en matière de respect de la vie privée. La façon dont les entreprises collectent et utilisent les données personnelles, a changé radicalement en raison de l’évolution technologique et de la globalisation, selon l’Europe.

La nouvelle proposition que l’Europe présente, doit entre autres veiller à appliquer un ensemble unique de règles de confidentialité dans l’ensemble de l’Union européenne, mais aussi à ce que les individus exercent un contrôle plus poussé sur ce qui est fait avec leurs données personnelle sur internet, et à simplifier en outre les formalités administratives pour les entreprises qui utilisent les données personnelles. Si l’on ne peut à tout le moins pas douter des bonnes intentions de l’Europe, je souhaiterais en ce qui me concerne vous soumettre quelques observations à propos des règles proposées.

L’Europe entend introduire un ‘droit à l’oubli’: les Google et Facebook de ce bas monde devront donc à l’avenir effacer définitivement toutes les données personnelles des utilisateurs (européens) sur simple demande de leur part. Le fait que l’Europe veuille prendre des mesures pour mieux protéger les individus, surtout les mineurs, sur internet, mérite évidemment des éloges. Je me pose cependant la question de savoir si ce droit à l’oubli est bien réaliste dans un monde, où l’information peut être copiée à la vitesse de lumière, puis déplacée d’un bout à l’autre de la Terre. Supposons que vous ayez supprimé une photo quelque peu gênante de votre compte Facebook, mais que cette photo continue d’être bien présente dans les résultats de recherche d’un moteur chinois. Vous aurez alors besoin de pas mal de moyens et de persévérance pour tenter d’imposer votre droit à l’oubli à ce moteur de recherche. Et même dans ce cas, je doute que la photo disparaisse réellement d’internet. Je crains que le droit à l’oubli ne donne à beaucoup un faux sentiment de sécurité et ne fasse en sorte qu’on se montre moins prudent avec les données personnelles sur internet.

Les entreprises seront contraintes “d’avouer” les incidents en matière de sécurité des données aux contrôleurs du respect de la vie privée et dans certains cas aussi aux individus, dont la vie privée a été menacée par tel ou tel incident. Si cette position semble défendable à première vue, les règles présentées sont formulées de manière si ample et vague qu’elles semblent s’appliquer non seulement aux incidents qui constituent réellement un risque pour la vie privée des personnes, mais aussi à ceux où le risque est inexistant ou tout au plus théorique. Supposons qu’un collaborateur du département comptable d’un fournisseur d’énergie ait par mégarde brièvement accès à la liste des clients résidentiels dans la banque de données CRM, alors qu’il ne dispose en fait pas des droits d’accès à cette dernière. Cette entreprise devra en principe alors déclarer l’incident dans les 24 heures (!) au contrôleur du respect de la vie privée en indiquant le nombre de clients qui ont été “victimes” de l’incident, qui assume la responsabilité du respect de la vie privée dans l’entreprise, quelles sont les conséquences de l’incident et quelles mesures l’entreprise a prises. Si le contrôleur estime que la banque de données CRM n’était pas suffisamment sécurisée, l’entreprise devra en outre communiquer l’incident aux clients concernés. Il me semble que la fin ne justifie ici pas les moyens.

Les règles proposées en matière de respect de la vie privée n’introduisent pas un assouplissement des obligations extrêmement strictes que l’Europe impose actuellement aux entreprises qui veulent partager les données personnelles avec des entreprises en dehors de l’UE. Prenons l’exemple de la multinationale ABC qui entend migrer toutes les données de son personnel de ses propres systèmes RH locaux vers le nuage et souhaite dans ce but faire appel au fournisseur indien de services SuperHR.com. Comme l’Europe estime que la législation indienne n’offre pas une protection suffisante des données personnelles, les filiales européennes d’ABC ne seront autorisées à migrer leurs données vers SuperHR.com en Inde qu’après avoir conclu un ‘data transfer agreement’ (DTA) avec SuperHR.com. Si ce DTA ne contient littéralement pas les clauses standards élaborées par l’Europe, il devra en outre d’abord être approuvé par le contrôleur compétent en matière de respect de la vie privée. Or en Belgique, ce genre d’approbation peut prendre des mois. Dans la pratique, j’observe que le budget et le timing de beaucoup de projets IT ne tiennent pas compte (ou insuffisamment) de cette problématique. Avec toutes les conséquences que cela implique.

Certaines entreprises ne sont pas conscientes des règles en matière de respect de la vie privée. D’autres – surtout les multinationales – constatent que le respect intégral de ces règles semble impossible en pratique ou exige des efforts exorbitants. En outre, la pratique démontre que la probabilité d’être pris est souvent limitée et que les sanctions sont en général relativement minimes. Il ne faut dès lors pas s’étonner que beaucoup d’entreprises ne respectent pas ou seulement en partie ces règles. L’Europe entend changer la donne en introduisant des sanctions très importantes pour les entreprises qui ne suivent pas les règles proposées. Un exemple: si une entreprise en Europe partage des données personnelles avec une entreprise non européenne sans prendre les mesures de confidentialité requises, elle risque à l’avenir une amende de pas moins de deux – vous lisez bien deux – pour cent de son chiffre d’affaires annuel.

Cela risque donc de chauffer.

Tom De Cordier Tom De Cordier est avocat chez Allen & Overy. Il est spécialisé en droit ICT, externalisation (outsourcing), droit de confidentialité (privacy), droit des télécommunications et droit de propriété intellectuelle. Tom conseille régulièrement les entreprises en matière de ‘privacy compliance’. Il possède aussi une grande expérience dans le domaine de la négociation de contrats IT et d’externalisation, tant du côté des fournisseurs que de celui des leurs clients. Tom De Cordier est membre de l’European Advisory Board de l’International Association of Privacy Professionals (IAPP).

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire