Par Ambroise Carton - RTBF
Temps de lecture :
8 min
Publié le
Mis à jour le
Le 25 mai prochain, un nouveau règlement européen entre en vigueur. Son but : mieux protéger les données des citoyens européens. Parmi les buts affichés du RGPD : généraliser le droit d'accès aux données personnelles.
"Grâce à ce règlement, vous allez pouvoir reprendre en main vos données, déclare Mounir Majhoubi, secrétaire d'État français en charge du Numérique. Vos données qui sont aujourd'hui stockées chez des fournisseurs en ligne, des sites en ligne (…). Toutes ces données vous allez pouvoir leur demander de vous les envoyer."
Mounir Majhoubi a raison. Le droit d'accès figure à l'article 15 du Règlement Général sur la protection des données personnelles (RGPD, dont le texte complet est à retrouver à la fin de cet article). Cela n'est pas nouveau pour autant. En Belgique et en France par exemple, le droit d'accès existe depuis plusieurs années. Mais, pendant que Facebook ou Google permettent déjà de télécharger une archive, d'autres entreprises ont encore beaucoup de chemin à faire en la matière.
Qu'entend-on par "donnée personnelle" ? En résumé, il s'agit de toutes les informations liées à une personne physique. Nom, adresse, numéro de téléphone, adresse e-mail…
Mais à quoi ça sert de télécharger ses données personnelles ? D'abord pour être conscient de ce qu'on partage sur les réseaux sociaux par exemple. Le scandale Cambridge Analytica a eu l'effet d'un électrochoc. Pour ceux qui en douteraient encore, Facebook conserve tout : photos, vidéos, statuts, positions géographiques, numéros de téléphone, conversations… Le RGPD n'y changera pas grand-chose : les géants du net continueront à utiliser vos données à des fins marketing tant que vous accepterez leurs conditions d'utilisation. Dans le cas de Facebook, le site Mashable note d'ailleurs que le réseau "fait le service minimum sur la protection des données".
L'autre avantage, c'est la portabilité des données. Selon Mounir Majhoubi, "avec le RGPD vous pourrez demander à ces plateformes de vous donner vos données que vous pourrez télécharger. Et elles seront interopérables. Ça veut dire qu'elles seront dans un format qui pourrait être réutilisé par une autre entreprise". Là aussi, le secrétaire d'État dit vrai. Cette mesure, dont la mise en œuvre reste encore floue, figure à l'article 20 du règlement.
Quant à la protection des données en elle-même, là aussi le RGPD n'apporte rien de fondamentalement neuf. Il s'agit plutôt d'une "piqûre de rappel", comme l'explique Élise Degrave, spécialiste du droit des nouvelles technologies et chargée de cours à l’Université de Namur. Interrogée en avril dernier sur La Première, elle ajoute qu'en Belgique, "on a une loi qui encadre la protection des données depuis 1992. On avait même commencé plus tôt à l'occasion de la création du registre national en 1983".
Au niveau européen aussi, une directive de 1995 fixait certaines lignes de conduite. Mais les GAFA (acronyme désignant Google, Amazon, Facebook et Apple) ont depuis imposé un pouvoir presque sans limite. D'où cette nécessité, affirme Élise Degrave, de "créer une culture de la protection des données".
Et pour convaincre les entreprises, rien de tel que l'argument du portefeuille. Le RGPD prévoit, dans son article 83, des amendes pour ceux qui ne respectent pas les règles. "Le non-respect d'une injonction émise par l'autorité de contrôle (…) fait l'objet (…) d'amendes administratives pouvant s’élever jusqu'à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu'à 4% du chiffre d’affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu."
Quelle forme prendra cette autorité de contrôle évoquée dans l'article 83 du RGPD ? En Belgique, il y avait déjà une Commission de Protection de la vie privée. Mais son rôle était limité, ce qui en faisait une sorte de "chien de garde qui n'avait pas de dents", selon les termes d'Elise Degrave. Une loi a été votée fin décembre 2017 pour créer cette nouvelle Autorité. Mais il y a peu de chances qu'elle soit sur pied le 25 mai pour effectuer pleinement ses missions de surveillance et de sanction.
L'idée d'avoir accès à ses données personnelles détenues par une entreprise peut faire rêver. Pourra-t-on tout obtenir ? C'est en tout cas ce qu'affirme le Guardian dans un article publié en avril 2018. "grâce à la nouvelle loi européenne, il sera facile de savoir ce que votre patron a dit de vous", titre le quotidien britannique. Et d'ajouter : "Si un employé (en fait la demande), son employeur aura 30 jours pour récolter une archive de toutes les informations conservées sur cette personne. En ce compris tous les e-mails où il est question du travailleur."
L'idée peut surprendre. Ce droit d'accès ne rentrerait-il pas en conflit avec d'autres droits ? "Si (ces e-mails) ont un lien avec vos performances au travail, ils devraient être inclus (dans une archive)", maintient la journaliste du Guardian que nous avons contactée.
"Si l'e-mail est 'à propos' de l'employé, alors oui, il entre dans le faisceau du SAR ('Subject Access Request', le nom donné à la demande d'accès aux données personnelles en anglais, NDLR)", ajoute sur Twitter l'une des expertes interrogées par le journal. Celle-ci note cependant que "des exceptions peuvent s'appliquer".
L'ICO (l'organisme britannique qui informe les citoyens sur la protection des données) évoque brièvement ce droit d'accès aux e-mails dans un document de 2017 (voir capture d'écran).
Le droit d'accès n'est pas illimité
Interrogés à ce sujet, des spécialistes du droit restent sceptiques sur l'affirmation faite par le Guardian. "C'est une interprétation du seul RGPD de façon très large, tempère Jean-Marc Van Gyseghem, directeur de recherche au Centre de Recherches Information, Droit et Société (CRIDS) à l’Université de Namur. Ils oublient toute la loi sur ce qu'on appelle la e-privacy, tout ce qui est la protection dans les communications électroniques où il y a des règles bien précises." En d'autres termes : "Le RGPD doit toujours être analysé au regard de lois particulières. (…) Il faudra aussi voir la loi cadre belge – qu'on n'a pas encore – qui mettra probablement aussi d’autres exceptions."
La Commission de la protection de la vie privée est du même avis (CPVP). "Il est important de souligner que le droit d'accès n'est pas illimité. Lors de l'exercice du droit d’accès, il devra également être tenu compte d’autres obligations telles que : la confidentialité des communications passées par la voie des télécommunications, la sécurité nationale et publique…", nous détaille la CPVP. Sans oublier que le RGPD prévoit des limitations au droit d'accès dans son article 23.
Selon la CPVP, le cas ne s'est pas encore présenté en Belgique. Aucun employé n'a jusqu'ici exigé de copies des e-mails rédigés par un employeur ou un collègue à son sujet au nom de l'accès aux données personnelles. "Nous supposons que, lorsque le cas se présentera, et si cela passe devant un juge (…), le juge donnera sa propre interprétation et peut-être plus de clarifications à ce sujet", conclut la Commission.
C'est bien le but du RGPD : fixer des limites au stockage et au traitement des données personnelles. Un objectif louable mais titanesque dans un monde où accepter des conditions d'utilisation se fait en un clic de souris. Mais la date butoir du 25 mai ne signifie pas que tout va changer du jour au lendemain. Il faudra du temps pour que les entreprises, y compris les plus petites, s'adaptent à la législation.
Une enquête menée fin février par Digital Wallonia a ainsi montré qu'une entreprise wallonne sur deux n'était pas au courant de l'arrivée imminente du RGPD. "57% (des entreprises wallonnes) affirment qu’elles ne traitent pas de données à caractère personnel, expliquait récemment Hélène Raimond, experte chez Digital Wallonia, sur les ondes de La Première. C’est interpellant parce que, de cette ignorance, pourrait naître une idée fausse comme quoi elles ne sont pas concernées par le RGPD."
Par contre, le Guardian va un peu trop loin en disant qu'un employé pourra lire l'intégralité des e-mails où son nom est cité. Car le RGPD conforte des droits... qui risquent d'entrer en conflit avec d'autres droits. Parmi ceux-ci : le secret de la correspondance ou la confidentialité des communications.
Politique
Le Premier ministre a annoncé plusieurs mesures relatives à l’école, la famille et les réseaux sociaux dans le cadre d’un discours où il a demandé un « sursaut d’autorité ». Si le diagnostic sur la violence des jeunes est partagé par les sénateurs de tous bords, ils veulent maintenant savoir comment cela se traduira concrètement.
Le
Politique
Violence des mineurs : le détail des propositions de Gabriel Attal pour un « sursaut d’autorité »
En visite officielle à Viry-Châtillon ce jeudi 18 avril, le Premier ministre a énuméré plusieurs annonces pour « renouer avec les adolescents et juguler la violence ». Le chef du gouvernement a ainsi ouvert 8 semaines de « travail collectif » sur ces questions afin de réfléchir à des sanctions pour les parents, l’excuse de minorité ou l’addiction aux écrans.
Le
Politique
Les actionnaires de Stellantis ont validé mardi 16 avril une rémunération annuelle à hauteur de 36,5 millions d’euros pour le directeur général de l’entreprise Carlos Tavares. Si les sénateurs de tous bords s’émeuvent d’un montant démesuré, la gauche souhaite légiférer pour limiter les écarts de salaires dans l’entreprise.
Le
Politique
Elections européennes : tout comprendre en 5 questions
Le 9 juin, les citoyens français seront appelés aux urnes à l’occasion des élections européennes. Public Sénat fait le point sur un scrutin capital pour l’avenir de l’UE.
Le
100% Sénat