RGPD et société numérique : un équilibre complexe

Le 26 janvier, la 15^e Université des DPO organisée par l'AFCDP (Association française des correspondants à la protection des données) s'est tenue, une fois n'est pas coutume et contexte sanitaire oblige, entièrement à distance. 

L'occasion de constater, une fois de plus, que le numérique a su trouver sa place dans notre société depuis début 2020 et l'apparition de l'épidémie mondiale de Covid-19. Cela nous a obligés, tant professionnels que particuliers, à digitaliser nos méthodes de travail et notre quotidien. L'exemple le plus remarquable tient sans doute au déploiement des applications de suivi des contacts, dans un intérêt de santé publique et de gestion de la crise sanitaire, sous le contrôle de la CNIL qui, en tant que garante de la protection des données personnelles et des libertés individuelles, garde toujours un oeil attentif sur ces nouveaux dispositifs. 

Cependant, comme l'a souligné Guillaume Desgens-Pasanau, Magistrat et professeur des universités associé au Conservatoire national des arts et métiers (CNAM), interrogé à l'occasion de cette première journée d'échanges, il convient pour tout nouveau dispositif de se questionner sur sa fiabilité et sur les possibles limitations aux libertés fondamentales que cela implique, telles que celles d'aller et venir, de se réunir ou encore d'entreprendre. "Si le risque s'avère trop important, ne faudrait-il pas tout simplement renoncer ?", a-t-il suggéré. Toute la problématique réside, selon lui, dans l'équilibre que l'on souhaite trouver entre la protection des données personnelles, fruit d'un modèle européen qui se construit depuis quarante ans, et d'autres impératifs de santé publique, de sécurité publique, etc.

Également invité à donner son point de vue sur cette société plus que jamais numérique, Jean-Luc Sauron, Professeur à l'Université de Paris Dauphine, directeur du DU RGPD DPO, estime que ni l'Etat, ni l'exécutif, ni le législateur n'ont encore donné de réponse à la crise, et le principe de minimisation des données n'est, selon lui, pas toujours respecté lors de démarches administratives.

Un constat que fait aussi M. Desgens-Pasanau, qui estime que le principe de minimisation des données n'est "ni plus ni moins que le principe de proportionnalité" et qu'il reste encore bien abstrait dans le contexte de l'open data, puisque cela revient à aller à l'encontre de nombreuses évolutions informatiques. 

Les droits des personnes ont-ils vraiment été renforcés avec l'entrée en application du RGPD ? Rien n'est moins sûr, pour le magistrat, qui considère que le consentement, qui était le "graal" du RGPD, n'est pas si différent de ce qu’il était déjà hier, puisqu'en présence d'autres bases légales, il demeure une exception. Il constate que les grands principes de la protection des données sont les mêmes depuis quarante ans et il déplore que le RGPD ne traite pas de sujets majeurs tels que les moteurs de recherche dont le cadre juridique relève du règlement e-privacy, un texte toujours inabouti à ce jour.

Guillaume Desgens-Pasanau déplore par ailleurs que les professionnels restent dans une situation d’insécurité juridique par manque de référentiels et par manque de formation. Il prend ainsi l'exemple des contrôles de la CNIL dont la majorité a donné lieu à des sanctions pour des failles de sécurité, tandis que les référentiels publiés par les régulateurs français ou européen restent limités en la matière. Cela représente un risque de non-conformité important pour un organisme, qui doit pouvoir se reposer sur les bonnes pratiques, savoir comment réagir en cas de violation de données et orienter son budget en fonction des améliorations à apporter à la sécurité de son environnement informatique. Cela passe aussi par une augmentation des contrôles de la part du régulateur, car "si pas de sanction, pas de régulation".

C'est pour cela que le rôle du DPO s'avère ainsi essentiel puisqu'il participe de la mise en oeuvre de projets informatiques, tout en fixant les limites qui s'imposent. 

"Le risque d’image n’a pas été limité avec la crise sanitaire", prévient M. Desgens-Pasanau. Il rappelle que le droit à la protection de la vie privée et des données personnelles n'est toutefois pas absolu, la Cour de justice de l'UE opérant d'ailleurs systématiquement une mise en balance des intérêts dans les affaires qu'elle examine.

Avec l'épidémie de Covid-19, le risque de stigmatisation de nos données de santé, qui sont des données sensibles, est très fort, prévient-il : "la protection des données de santé touche au coeur de nos libertés fondamentales". Or, il est important de définir "des lignes rouges" pour que ces données soient protégées aussi dans le monde du travail. La bulle de confidentialité doit être préservée, et l'employeur ne peut pas avoir un accès direct aux données de santé. De même, il ne saurait y avoir de réutilisation de ces données de santé par des opérateurs privés, alors qu'elles ont été collectées pour un motif de santé publique.