RGPD et autres législations : comment gérer les conflits
Comment gérer les conflits de législations nationales sur la protection des données à caractère personnel ? A l'heure des deux ans du RGPD (Règlement général européen sur la protection des données personnelles), l'avocat Olivier de Courcel (cabinet Feral-Schuhl / Sainte-Marie) fait le point.
PublicitéAvec une majorité de pays (132 en 2018) disposant d'une législation sur la protection des données à caractère personnel, les entreprises internationales se trouvent de plus en plus confrontées à la difficulté de concilier les textes.
Contrairement à d'autres secteurs dont la réglementation est née dans les accords multilatéraux, comme les télécommunications, le Droit du numérique s'est en effet développé d'abord à l'échelon national. La Convention 108 du Conseil de l'Europe « pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel » (1981) représente le texte le plus international, et il ne couvre qu'une cinquantaine de pays.
Pour l'entreprise qui souhaite investir dans son système d'information de manière pérenne et extensible, le pire serait de devoir dupliquer des infrastructures ou redévelopper des applications faute d'avoir pris garde aux conflits entre législations. Par conséquent, la gestion des conflits potentiels nécessite d'identifier les critères d'application de chaque législation et de les suivre aussi bien dans l'espace que dans la durée. Cette confrontation des textes permet ensuite d'identifier les points communs sur le plan des systèmes informatiques, à savoir la granularité appropriée pour gérer les données sur le plan juridique. Pour le reste, les conflits de législation se matérialisent essentiellement dans les exigences de stockage local des données, ce qui impose de préserver la flexibilité de l'architecture des systèmes.
1. Le premier point de contrôle porte donc sur le champ d'application des lois et réglementations susceptibles de régir les données de l'entreprise.
Sur le plan géographique, le RGPD (2016) a clarifié le régime précédent (directive UE de 1995) en précisant qu'il s'applique à la réalisation d'un traitement par ou pour tout établissement situé au sein de l'Union européenne, ceci incluant un traitement réalisé à l'extérieur de cette dernière.
Surtout, le règlement européen légalise le critère de la population ciblée, qui le rend applicable à toute offre de biens ou de services et à toute activité de suivi ou de profilage menée depuis un établissement extérieur à l'Union et dirigée vers les personnes situées à l'intérieur. En s'attachant aux personnes concernées et non plus aux seuls auteurs du traitement, ce second critère aligne la réglementation des données sur le Droit de la consommation et restaure les conditions de concurrence pour les prestataires établis au sein de l'Union. Sur ce plan et quoiqu'on en dise, le RGPD n'est pas plus extra-territorial que le droit fiscal ou le droit pénal.
Néanmoins si chaque pays adoptait une loi équivalente au règlement européen, les deux critères alternatifs aboutiraient à l'application cumulée des deux textes. Ainsi, une société française réalisant au sein ou en-dehors de l'Union un traitement concernant des personnes habitant un pays extérieur devrait respecter la législation de ce pays en même temps que le RGPD. Inversement, une société étrangère visant des résidents français serait soumise au RGPD aussi bien qu'à la législation de son pays.
PublicitéDe tels recouvrements ne peuvent pas être gérés comme les conflits de lois classiques, que les parties à un contrat évitent en désignant la seule loi applicable et la juridiction compétente. En effet les législations relatives à la protection des données sont pour la plupart susceptibles de sanctions par une autorité administrative ou un tribunal. Comme pour les lois pénales, leur application est impérative sur le territoire national. Le recouvrement des législations ne peut donc être évité.
Deuxièmement, le champ d'application des législations peut varier selon les entreprises concernées. La surprise vient ici de la Californie, dont la loi (CCPA, 2018) ne s'applique qu'aux entreprises exerçant leur activité dans l'Etat et dont le chiffre d'affaires dépasse les 20 millions de dollars ou est à plus de 50% tiré de la commercialisation de données personnelles, ou qui traitent les données de plus de 50.000 consommateurs, ménages ou appareils (IoT).
Enfin la plus grande attention doit être portée à l'empilement fréquent de différentes législations sectorielles au sein-même de chaque pays. A côté des lois générales sur la protection des données à caractère personnel (data privacy), en effet, la plupart des pays adoptent aussi des dispositions spécifiques aux secteurs habituellement réglementés tels que la santé, la finance, les impôts ou encore les assurances. Les risques de recouvrement de législations, voire de compétences des autorités de contrôle (par exemple la FTC et le DoJ aux Etats-Unis), existent également au sein de chaque pays. Pour autant, un recouvrement de lois n'implique pas nécessairement des contradictions.
2. L'évolution des lois dans le temps peut poser des défis plus importants que les conflits de lois dans l'espace : les systèmes d'information doivent se montrer réellement « agiles » pour pouvoir faire face aux conflits entre lois successives.
C'est ce qu'ont appris les 4.000 entreprises américaines (environ) qui s'étaient inscrites dans le régime du Safe Harbour pour pouvoir traiter les données de résidents européens, lorsque la décision Schrems de la Cour de Justice européenne suspendit du jour au lendemain (6 octobre 2015) la validité de ce mécanisme permettant le transfert de données transatlantique. La situation d'incertitude sur le sort des traitements concernés dura 9 mois, le temps que les Etats-Unis et l'Union européenne s'entendent sur un régime de remplacement, celui du Privacy Shield (12 juillet 2016).
Des évolutions législatives peuvent aussi remettre en cause des traitements existants. Par exemple, l'introduction en 2011 dans la législation indienne de règles exigeant le consentement par écrit avant de collecter et utiliser les données personnelles des clients a affecté les entreprises américaines qui sous-traitaient à des entreprises indiennes.
L'entrée en vigueur du RGPD a elle-même fait suite à une période transitoire de deux ans pour permettre aux entreprises de s'adapter aux nombreux changements apportés à la législation préexistante.
En somme, face à la variété des législations applicables et à leur évolutivité, assurer la conformité légale des traitements de données ressemble à une cible mouvante. Mieux vaut voir la mise en conformité comme un processus permanent (compliance). Ceci étant, la granularité des données et une architecture flexible des systèmes d'information peuvent aider l'entreprise à gérer ces difficultés.
3. Structurer et gérer les données au degré le plus fin de granulométrie « légale » apporte une première réponse aux inévitables recouvrements de législations.
A un certain échelon les données peuvent être vues comme des briques indéfiniment combinables, de sorte que seules les bases de données auraient besoin d'être ré-agencées pour conformer les traitements aux différentes législations. Dans cette perspective, on peut noter que le RGPD définit probablement les critères les plus fins : caractère identifiant de la donnée si elle peut être recoupée avec d'autres ; finalité pour laquelle il y a besoin de la traiter ; durée de conservation proportionnée à cette finalité ; base légale du traitement ; etc.
En termes de fonctionnalités, le règlement européen définit là aussi l'éventail sans doute le plus fin de droits individuels susceptibles d'être mis en oeuvre dans les systèmes d'information : les données à caractère personnel doivent pouvoir être corrigées, effacées (droit à l'oubli), transférées vers un autre gestionnaire (droit à la portabilité) ; leur transfert vers tel ou tel tiers ou tel ou tel pays doit pouvoir être interrompu ; le responsable de leur traitement doit pouvoir informer les personnes à tout moment sur les données qu'il détient, sur ce qu'il en fait, et il doit le documenter afin de permettre les contrôles de conformité. On peut y ajouter le droit à l'anonymisation (Brésil), mais la panoplie des droits s'arrête sans doute là.
4. Dans une telle perspective, le principe de neutralité technologique de la législation paraît fondamental, même s'il n'est pas toujours aisé à mettre en oeuvre.
Par exemple, à propos de l'accès à un journal en ligne, les autorités de contrôle britannique et autrichienne (2018) ont pris des positions différentes sur la possibilité de conditionner le refus de consentir à des cookies à une limitation des pages accessibles ou au paiement d'un abonnement. La guerre menée par les autorités de contrôle européennes contre les cookies (y compris la CNIL avec ses lignes directrices de juillet 2019) a par ailleurs conduit Google à annoncer en début d'année qu'elle renoncerait aux cookies de tiers à partir de 2022. Son navigateur Chrome utilisera d'autres technologies pour pister les internautes à des fins publicitaires.
5. D'un point de vue plus macroscopique, préserver la flexibilité dans l'architecture des systèmes d'information est indispensable pour répondre aux législations qui imposent une localisation des données dans le pays.
A ce jour, plus d'une vingtaine de pays ont adopté des législations exigeant la conservation des données à caractère personnel à l'intérieur de leurs frontières. A côté de ces textes la Russie, la Chine, l'Indonésie et d'autres pays ont adopté des exigences explicites de localisation applicables à certains secteurs d'industrie qui imposent, de fait ou en droit, que les données soient stockées sur des serveurs dans le pays.
Ainsi, à côté des motifs de protection de la vie privée des individus se manifestent des préoccupations de souveraineté. Le désir de souveraineté nationale joue aussi dans les efforts des gouvernements pour pouvoir censurer les communications au public non souhaitées et pour intercepter les communications privées suspectes ou, au contraire, utiles à l'intelligence économique. Ces aspects sont débattus, par exemple, à propos du projet de loi déposé au parlement indien en décembre 2019, selon lequel certaines données personnelles notifiées comme critiques par le gouvernement ne pourront être traitées qu'en Inde.
De nombreux pays comme l'Australie, la Corée du Sud ou l'Allemagne ont promulgué des lois sectorielles exigeant que certaines informations financières, sanitaires ou médicales collectées auprès de leurs citoyens soient stockées sur des serveurs locaux. Les États-Unis ajoutent à cette liste les données relatives à certaines transactions gouvernementales ou présentant des enjeux de sécurité nationale.
L'encadrement des transferts internationaux de données par le RGPD est critiqué comme ayant un effet équivalent à ce type de législation. Que seule une dizaine de pays soit reconnue par l'Union européenne comme présentant un niveau de protection suffisant pour apporter aux résidents européens les mêmes garanties que si leurs données étaient traitées au sein de l'Union pourrait confirmer cette vision, si d'autres mécanismes (clauses types, règles d'entreprise....) n'étaient pas prévus pour permettre l'exportation de ces données. Quoiqu'il en soit, nombre de pays ont adopté des exigences comparables : il n'est pas utile en effet de protéger les données sur le marché domestique si un transfert à l'étranger suffit pour en faire ce que l'on veut.
Dans ces conditions, gérer les conflits de législations concernant les données à caractère personnel relève d'une gouvernance de tous les instants et d'une veille réglementaire attentive. Compte tenu de l'évolutivité des positions et des textes, néanmoins, il paraît plus que jamais nécessaire de préserver autant que possible la réversibilité des investissements dans le SI.
Article rédigé par
Olivier de Courcel, Avocat associé du cabinet Féral-Schuhl / Sainte-Marie
Olivier de Courcel est avocat aux Barreaux de Paris et de New York. Il travaille dans le domaine des technologies depuis plus de quinze ans et possède une expérience en entreprise et internationale. Il intervient régulièrement sur des transactions impliquant les technologies de l'information et faisant appel au droit des affaires et à la propriété intellectuelle, pour une clientèle tant étrangère que française.
Il est avocat associé du cabinet Féral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire