Le 43ème anniversaire de la Cnil me donne l’occasion de revenir brièvement sur l’histoire de la protection des données personnelles et du RGPD.
#REWIND
1974 – SAFARI ou la chasse aux français
La genèse de la règlementation de la protection des données remonte à 1974 avec le scandale du projet “SAFARI” (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), initié par l’INSEE, l’année précédente. Le gouvernement souhaitait créer un identifiant unique visant à interconnecter les grands fichiers des différentes administrations. Ce projet qui est né moins de trente ans après la fin de la seconde guerre mondiale a fait émerger cette crainte que le système de fichage serve d’abord et avant tout à la surveillance des citoyens.
• Article du monde de l’époque “SAFARI ou La Chasse aux français”.
1978 – Loi informatiques et libertés et création de la Cnil
C’est donc pour dissuader l’Etat de la tentation (toujours aussi présente) de créer un identifiant unique pour identifier chaque citoyen que la loi dite “informatique et libertés” a été adoptée le 6 janvier 1978.
« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Article 1 de la loi du 6 janvier 1978
Ainsi, la loi « informatique et libertés » place l’individu au cœur de la réflexion sur les traitements de données personnelles et contrebalance les logiques sécuritaires, de contrôle et de fichage par la consécration de droits fondamentaux intrinsèquement liés à ces traitements.
La Cnil (Commission nationale de l’informatique et des libertés) est alors créée sous l’étiquette singulière d’autorité administrative indépendante avec la lourde mission de veiller au respect de la loi informatique et liberté notamment via un pouvoir règlementaire (Article 6 de la loi du 6 janvier 1978)
1995 – Directive européenne
Dans les années 90’, Le développement des technologies informatiques, impliquant la systématisation et la massification des traitements de données a accentué la prise de conscience et les actions internationales en faveur de la protection des données personnelles.
Une directive européenne est adoptée le 24 octobre 1995. La règlementation européenne s’inspire largement de la législation française. Toutefois, la marge de manœuvre laissée aux Etats Membres par l’adoption d’une directive qui n’est pas d’application directe et qui nécessite l’adoption de lois de transposition nationales, résulte en une disparité de régimes juridiques à travers l’Union Européenne.
En France, le chemin continue à avancer vers une meilleure protection des données personnelles. Avec la transposition de la directive de 1995 par la loi du 6 août 2004, la notion de “données à caractère personnelle” vient remplacer celle d”informations nominatives”. L’idée est d’élargir le champ d’application de la loi, une donnée à caractère personnel n’étant pas nécessairement nominative.
Ainsi, « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une photographie, mais aussi un numéro de sécurité sociale, une adresse, un numéro de téléphone, une adresse IP, une donnée de géolocalisation, etc.
2016 – RGPD
Le 25 janvier 2012, la Commission européenne propose le RGPD pour mettre au diapason l’ensemble des pratiques des Etats membres de l’Union Européenne. (Ndlr. Contrairement aux directives, les règlements s’appliquent directement et de façon quasi uniforme au sein de chaque Etat membre, sans procédure complémentaire)
Il aura fallu passer par des négociations mouvementées au sein du parlement et du conseil, une forte pression des lobbies et le levier de l’affaire Snowden pour que le RGPD soit finalement adopté en 2016.
En effet, les révélations Snowden mettaient sur le devant de la scène les stratagèmes utilisés par les agences de renseignement britanniques et américaines pour avoir accès aux données collectées par les grandes entreprises du numérique. Depuis 1978 le paradigme a fondamentalement changé.
- A ce sujet je vous recommande de regarder le film Democracy réalisé par David Bernet
Si à l’origine, la législation française avait pour objet de protéger le citoyen contre les pouvoir de surveillance et de contrôle de l’administration, les entreprises deviennent désormais des acteurs incontournables. A l’époque, seul l’Etat était en mesure de collecter, utiliser et stocker d’importants volumes de données. Aujourd’hui, le monopole de la donnée a changé de mains et les entreprises disposent bien souvent de données bien plus massives et qualitatives que les Etats.
Le RGPD a t’il révolutionné la protection des données personnelles?
En conséquence, le RGPD ne crée pas, à proprement parler, une nouvelle règlementation de la protection des données personnelles mais renverse la logique de la règlementation existante et la renforce pour aboutir à une responsabilisation croissante d’acteurs de plus en plus puissants.
En effet, la directive de 1995 aurait pu se heurter à une obsolescence rapide du faire de la rapidité de l’évolution technologique – arrivée du big data, de l’intelligence artificielle, des objets connectées – cependant, ce n’est pas ce qui a motivé l’adoption du règlement. La plupart des principes posés par la directive de 1995 sont d’ailleurs conservés au sein du RGPD.
Les principales préoccupations ont été d’assurer l’efficacité de la règlementation face à des géants américains, pourtant déjà très familiers de la gestion des risques juridiques et de sanctions pécuniaires sans communes mesures avec les pratiques européennes.
Pour cela, le RGPD a mis en place de nouvelles obligations, telles que le déploiement de registres de traitement internes aux sociétés et la réalisation d’analyses d’impact, pour remplacer l’ancien système déclaratif.
Aussi, il a investi la Cnil de pouvoirs plus larges, fixant des montants de sanctions dissuasives.
Les premières sanctions prises par la Cnil en application du RGPD ont logiquement visé les GAFA. En revanche et bien que le RGPD trouve certainement ses prémices dans les pratiques des géants du numérique, il serait illusoires de penser que les autres entités ne sont pas concernées. En démontrent trois décisions plus récentes qui ont concernées deux médecins qui exerçaient à titre individuel (la première est disponible ici et la deuxième ici ) et une petite entreprise du domaine de la Foodtech.