LA TRIBUNE - Lors de son adoption, le 14 avril dernier, le Parlement européen a qualifié ce règlement général sur la protection des données personnelles d' "historique". Est-ce vraiment le cas ?

FABRICE NAFTALSKI - Les négociations ont été longues et difficiles, depuis 2012, car les enjeux sont énormes. La précédente législation était une directive de 1995, à une époque où les réseaux sociaux, les moteurs de recherche, l'informatique en nuage (cloud, ndlr) ou encore le big data, n'existaient pas encore. Aujourd'hui, nous sommes dans une véritable économie de la donnée, ce qui pose des défis inédits en matière de protection de la vie privée et des données personnelles disséminées sur internet. Le cadre légal n'était plus complètement en phase avec les évolutions technologiques et sociologiques de la société actuelle.

Le texte voté le 14 avril est important car il acte des changements majeurs, vers davantage de protection des données personnelles. Bien sûr, il n'est pas parfait. Certaines de ses dispositions sont difficilement applicables par les entreprises, car trop difficiles à mettre en place, et certaines notions restent floues. Mais globalement, il protège mieux les citoyens et réussit à harmoniser les règles existantes dans les 28 Etats membres. Jusqu'à présent, la directive de 1995 laissait aux Etats la liberté d'interpréter les règles avec des différences importantes entre les Etats membres, par exemple sur les règles de sécurité des données ou les formalités déclaratives.

Désormais, la législation sera la même en Pologne qu'en France. C'est très important pour les entreprises et pour les citoyens, qui auront une vision plus claire de la législation.

Concrètement, en quoi les données personnelles des citoyens seront mieux protégées ?

En plus du droit à l'information, du droit d'opposition et de rectification de ses données personnelles, qui existent déjà, le texte crée une série de nouveaux droits qui renforcent la maîtrise des citoyens de leurs données sur internet. Le droit à l'oubli, par exemple, permet à chacun de demander l'effacement de ses données personnelles. Le droit à la portabilité offre la possibilité de transférer facilement ses données personnelles d'un fournisseur de service à un autre (une messagerie électronique, par exemple, ndlr), comme cela se pratique déjà entre les opérateurs téléphoniques.

Enfin, le règlement redonne du pouvoir au citoyen, dans le sens où il améliore son information sur le traitement de ses données par les entreprises (le but étant notamment de mettre fin aux conditions d'utilisation illisibles, ndlr). Il faudra par exemple que les entreprises indiquent aux citoyens la durée de conservation de leurs données et comment ils comptent les utiliser, dans des termes clairs. Elles devront aussi obtenir un consentement explicite dans de nombreuses hypothèses telles que le profilage et devront les informer en cas de faille de sécurité.

Comment le règlement va-t-il impacter les entreprises ?

Le règlement leur impose beaucoup plus de contraintes car elles devront prouver qu'elles respectent le nouveau cadre légal. Avant, lorsqu'une entreprise créait un service nécessitant des données personnelles, elle devait simplement faire une déclaration à la CNIL. Désormais, elle devra faire une étude d'impact, faire en sorte de documenter et de piloter sa conformité avec la réglementation sur tous ses aspects, qu'il s'agisse de sécurité, de conservation des données, d'information des personnes concernées etc. Elle devra aussi expliquer les précautions et les mécanismes qu'elle met en place pour respecter ces règles, qui devront faire l'objet de contrôle au sein de l'entité concernée.

Mais ces contraintes sont compensées par le fait que l'harmonisation de la législation facilitera grandement la tâche des entreprises. Elles ne devront plus s'adapter à 28 législations différentes mais à une seule, ce qui simplifiera leurs process internes et leur fera économiser de l'argent. Elles bénéficieront aussi de boîtes à outils de conformité pour les aider.

L'idée est de leur faire adopter le privacy by design, ou par défaut. C'est-à-dire de pousser les entreprises à prendre en compte les enjeux de protection des données personnelles dès la création de leurs produits ou services, plutôt que de s'y adapter après coup. De ce fait, cela renforce la confiance des consommateurs et permet aux entreprises d'innover, d'adopter des techniques plus respectueuses de la vie privée comme l'anonymisation, le chiffrement ou la pseudonymisation.

Les entreprises étrangères, comme les GAFA américains, seront-elles soumises à ce règlement ?

L'extraterritorialité est l'une des principales améliorations de ce texte. Aujourd'hui, les entreprises qui n'ont ni serveurs, ni infrastructures, ni établissements en Europe, ne sont pas soumises à la directive de 1995. Demain, il suffira de proposer des services ou des biens aux citoyens européens pour devoir respecter le règlement européen. Les GAFA et autres entreprises étrangères seront donc soumis aux mêmes règles que les entreprises européennes, ce qui éliminera une distorsion de concurrence.

Le règlement est entré en vigueur le 4 mai, mais les entreprises ont deux ans pour se mettre en conformité avec la loi. Il sera donc effectif en mai 2018. Les entreprises partent-elles de loin pour s'adapter à ces nouvelles règles plus contraignantes ?

Cela dépend des secteurs. Les grands groupes ont déjà un certain nombre d'obligations concernant la protection des données personnelles. Le secteur pharmaceutique, par exemple, traite des données de santé, donc très sensibles. Ce secteur est donc plutôt bien préparé car il a déjà anticipé et mis en place des bonnes pratiques qui se retrouvent aujourd'hui dans le règlement européen. La transition ne sera donc pas violente.

Les groupes bancaires et dans l'assurance sont un peu moins matures que la pharmacie, mais ils ont tout de même une bonne culture de la conformité. Le "fossé" sera donc plus important, mais ils devraient y arriver sans problème.

En revanche, les secteurs comme la distribution, la production des biens de consommation ou encore les médias ne me semblent pas très bien préparés. Il y aura plus de travail. Certaines entreprise Internet ont négligé ces enjeux car elles estimaient que les règles européennes n'étaient pas adaptées à leur entreprise. Certaines startups, en manque de ressources et focalisées sur le développement de leur modèle économique, ont pu aussi négliger l'aspect protection des données.

Le point positif, c'est que le règlement va créer un nouveau métier, celui de délégué à la protection des données. Il sera chargé de documenter le respect du droit à l'oubli, la sécurité des traitements, les études d'impact...

Depuis quelques années, les CNIL européennes se montrent de plus en plus offensives contre les entreprises qui abusent des données personnelles ou ne les protègent pas assez, comme le montre l'affaire Google Spain, par exemple. Le règlement leur donne-t-il les moyens de leurs ambitions ?

Oui, clairement. Le montant des sanctions qu'elles peuvent infliger à une entreprise passe à 4% du chiffre d'affaires mondial. C'est énorme, même pour les multinationales richissimes. C'est autre chose que les plafonds de 150.000 euros prévus par la loi française, voire même les plafonds de 950.000 euros de la loi espagnole et des 650.000 livres de la loi anglaise. Le fait que la législation s'applique à toutes les entreprises, y compris les non-européennes du moment qu'elles touchent des citoyens européens, facilite la tâche des régulateurs et les légitime dans leur stratégies. Les CNIL européennes sortent considérablement renforcées.

La loi numérique d'Axelle Lemaire, déjà votée en première lecture par l'Assemblée nationale et le Sénat -- mais qui doit encore passer devant une Commission paritaire mixte avant un vote final à l'Assemblée -- sera appliquée avant ce règlement européen. Or, la loi Lemaire anticipe le règlement européen en créant une série de nouveaux droits, comme le droit à l'oubli (et également un droit à l'oubli pour les mineurs), la portabilité, le droit de mort numérique... Cette loi est-elle cohérente avec le règlement européen ?

A partir de mai 2018, le droit européen supplantera le droit français. La France avec le projet de loi sur la République Numérique va probablement anticiper certaines des dispositions en créant des droits que l'on retrouve dans le règlement européen et devra s'y ajuster s'ils ne sont pas compatibles, mais ce n'est pas le cas pour l'essentiel.