Le Contrôleur européen de la protection des données (en anglais European Data Protection Supervisor, EDPS) n’est pas une institution nouvelle, mais son action est mise sur le devant de la scène depuis l’entrée en vigueur du RGPD car il en garantit l’application. Ce régulateur dépourvu de pouvoir de sanction est surtout la voix de Bruxelles auprès des régulateurs nationaux. Son directeur adjoint, le Polonais Wojciech Wiewiórowski, se veut rassurant quant aux nouvelles obligations qui pèsent sur les entreprises européennes et rappelle que la grande nouveauté du RGPD est la menace de sanction qui pèse sur ceux qui y contreviennent.
Wojciech Wiewiórowski : « Ce qui change, ce ne sont pas les contraintes mais la menace d’une sanction »
DÉCIDEURS. Pourquoi le RGPD a-t-il été adopté ? Quels facteurs ont-ils révélé la nécessité de protéger encore plus les données des citoyens européens ?
Wojciech Wiewiórowski. Le régime de protection des données européen datait de 1995. Son renouvellement était donc nécessaire pour appréhender les évolutions légales et les technologies apparues ces dernières décennies comme Internet et beaucoup de services électroniques que nous utilisons quotidiennement aujourd’hui. Son évaluation a aussi révélé un important besoin d’harmonisation du droit : au-delà des textes de loi, ce sont les procédures qu’il était nécessaire d’unifier, bien qu’en 1995 des efforts aient été entrepris dans ce sens. Elles étaient en effet restées très nationales. Si par exemple un citoyen français rencontrait un problème avec un commerçant français qui traitait des données et vendait des marchandises en ligne, le litige était géré auprès des autorités françaises, conformément à la procédure française prévue par la loi française.
Par ailleurs, avec le nouveau système, la plainte pourra être déposée dans le pays d’origine du demandeur ou dans tout autre pays lié à l’affaire. C’est ensuite aux autorités nationales concernées que revient la tâche de traiter le dossier. Les autorités françaises gardent le contrôle et prononcent la décision finale, mais il y a une grande coopération entre toutes les administrations nationales des différents pays. Cela rend la procédure bien plus simple pour le plaignant.
Comment les États européens sont-ils parvenus à adopter ce texte commun malgré leurs différences juridiques et administratives ?
D’un point de vue philosophique, les États étaient tous d’accord et ont reconnu la nécessité de parvenir à des solutions harmonisées. Mais, lors des négociations, il s’est avéré que certaines délégations semblaient très attachées aux avancées nationales qu’elles avaient réalisées. Tous les pans du droit n’ont donc pas pu être uniformisés.
Par exemple ?
Par exemple le cas du consentement des parents pour la collecte des données personnelles de leurs enfants mineurs. Certains États considéraient que cette autorisation parentale ne devait plus être requise à partir de 18 ans, d’autres à partir de 16 ans ou de 13 ans. Nous avons été très déçus de ne pas parvenir à un accord à ce sujet. La décision a donc été laissée au sort de chaque pays membre.
La mise en œuvre du RGPD est-elle complexe ? Pensez-vous qu’au moment de son entrée en vigueur, les entreprises étaient prêtes et disposaient de tous les outils nécessaires pour s’y conformer ?
Les entreprises qui respectaient la loi existante avant le RGPD n’ont pas eu de difficultés à respecter le niveau de conformité requis par le texte. En réalité, le règlement n’a fait qu’apporter des ajustements au régime de 1995. Certains commentateurs ont qualifié la réforme de révolution. Je ne pense pas que cela soit vrai. Le RGPD est une étape importante d’un processus d’évolution global, certes, mais ce n’est pas une révolution.
Pourquoi une telle appréhension des organismes devant se conformer ?
Du fait de la couverture médiatique qu’a eue le règlement, certaines entités (sociétés, sous-traitants et autorités) ont pris peur. Mais, quelque temps après son entrée en vigueur, elles se sont rendu compte que la plupart des principes observés sous l’ancienne loi étaient présents dans la nouvelle. Les entreprises qui se conformaient à l’ancien régime n’ont donc pas rencontré de difficultés majeures. Les autres, elles, ont dû fournir un plus gros effort. Les seules différences résidant dans les mécanismes d’application du texte.
Qu’est-ce qui change alors ?
Désormais, il est possible pour les autorités chargées de la protection des données et pour les tribunaux d’engager des actions civiles contre les organismes en violation de la loi. Grâce à cela, le règlement a une portée beaucoup plus concrète et pratique. C’est ce qui pousse les entreprises à le respecter, alors qu’en réalité elles auraient dû y être conformes depuis 1995.
Pourtant, il n’y a eu que très peu de sanctions jusqu’à présent…
Nous sommes au début du processus. Le nombre de sanctions infligées est encore faible comparé aux nombreuses plaintes déposées. Lors de l’entrée en vigueur du texte, nous craignions qu’il y ait des litiges entre les régulateurs nationaux en raison des différences d’approche des États, notamment lors de plaintes transfrontalières. Nous redoutions que certains conflits ne soient portés devant le Comité européen de la protection des données. Mais cela ne s’est pas produit. Dans la plupart des cas, les pays membres sont parvenus à s’accorder, sans s’adresser au Comité. Les premières mesures d’application de la loi sont donc plus paisibles que nous ne l’avions prévu.
Le Portugal, la France et l’Allemagne ont prononcé leurs premières sanctions. Pensez-vous que les autres pays européens soient prêts à faire de même ?
Les autorités nationales en sont globalement au même stade d’application du texte. Certaines ont rendu des décisions et d’autres le feront dans les semaines à venir. Mais il faut du temps pour obtenir des résultats visibles.
Pourquoi ?
Cela s’explique par deux éléments. D’abord, la plupart des dossiers en cours concernent des faits s’étant produits avant le 25 mai 2018, date de la mise en application du RGPD. Ce sont donc les anciens textes qui s’y appliquent. Concernant les nouveaux dossiers, les régulateurs font preuve de prudence. Leurs décisions peuvent faire l’objet d’un examen approfondi par les juridictions nationales. Chaque État membre a en effet le droit de contrôler la régularité des décisions prises par les autorités chargées de la protection des données. Les régulateurs veulent donc éviter que leurs décisions ne soient invalidées pour des erreurs de forme ou de procédure.
Même si une entreprise n’est pas basée dans l’Union européenne, mais y offre des services, elle doit se conformer au RGPD
Ensuite, certains pays imposaient des sanctions financières avant l’entrée en vigueur du règlement. C’était le cas en France. Le RGPD a modifié la procédure mais la Cnil avait déjà ce pouvoir. Dans d’autres pays comme la Finlande ou l’Estonie, le fait qu’un organe administratif puisse prononcer des sanctions financières est tout à fait nouveau. Dans ces pays, les régulateurs doivent s’accoutumer et s’adapter à ces nouveaux pouvoirs qui leur sont octroyés.
Quelle est la portée internationale du RGPD ?
Toutes les entreprises, organisations ou entités qui proposent leurs biens et services en Europe doivent respecter le RGPD. C’est là que réside la véritable portée internationale du RGPD. Je dirais même que le texte a une portée extraterritoriale. Même si une entreprise n’est pas basée dans l’Union européenne, mais y offre des services, elle doit se conformer au RGPD. Mais le texte a aussi une influence internationale plus globale. Un petit groupe d’États, notamment les pays européens qui ne sont pas encore membres de l’Union européenne, ont fait le choix de suivre les dispositions du RGPD même s’ils ne sont pas officiellement liés par le règlement.
D’autres exemples ?
Des pays comme la Suisse ou certains États d’Amérique latine partagent la même approche de la protection des données que nous. D’autres ont un système diamétralement opposé mais prennent tout de même le règlement comme référence. C’est le cas du Japon, du Mexique, de la Thaïlande et du Brésil. Les lois relatives à la protection des données y sont systématiquement comparées au RGPD. En tant qu’Européens, nous en sommes évidemment fiers. Mais nous comprenons aussi qu’il existe d’importantes différences culturelles et juridiques entre ces États et ceux de l’Union européenne. C’est la raison pour laquelle nous ne sommes pas surpris par le fait que des pays aux traditions juridiques différentes des nôtres ne souhaitent pas copier le RGPD. Le texte a été rédigé pour l’Union européenne. Je ne pense pas qu’il doit être perçu comme une panacée, à copier-coller au sein de toutes les juridictions du monde.
Les différences économiques peuvent-elles expliquer ces différences de niveau de protection des données ? C’est ce qui a été avancé aux États-Unis.
Non, je ne pense pas. Lorsqu’une loi est promulguée, les particularités culturelles d’une nation doivent être prises en compte. Cependant, nous vivons aujourd’hui dans une économie mondialisée. Bien que les choix politiques puissent varier, je ne pense pas qu’il y ait beaucoup de différences économiques entre les États-Unis et l’Europe ou l’Asie. Le modèle économique d’un État n’empêche en rien le RGPD d’y être appliqué.
Prenons la certification des données. C’est un concept né aux États-Unis. Pourtant, nous l’avons repris et mis en œuvre en Europe. Le système privacy by design, qui a pour objectif de garantir que la protection de la vie privée sera intégrée dans les nouvelles applications technologiques et commerciales dès leur conception, est aussi une solution inspirée d’outre-Atlantique. Il vient du Canada mais nous l’avons trouvé intéressant et l’avons implanté en Europe. Cela est bien la preuve que les différences existantes entre les modèles économiques européens et américains ne doivent pas empêcher les États-Unis de s’inspirer du RGPD. Toutefois, et je tiens à le répéter ici : nous respectons pleinement les décisions politiques que ce pays prend au niveau étatique ou fédéral.
Propos recueillis par Maeva Kapadonou (@KpadonouMaeva)
