Agir

Réponse à la sollicitation de la Commission Européenne sur le RGPD, 6 ans après

7 février 2024 /

6 ans après l’entrée en application du Règlement Général sur la Protection des Données personnelles (RGPD), la Commission Européenne, conformément à son article 97, doit rendre un rapport sur l’évaluation et le réexamen du règlement. A ce titre, elle a lancé une consultation publique sur son site web, qui se clôture demain.

En tant qu’association visant à développer la protection des données, et à agir dans l’intérêt général, 0D a répondu à cette consultation. Et voici la teneur de notre réponse :

Résumé

Une partie des très grosses entreprises qui ont pour spécialité l’exploitation de la donnée sont entravées dans leurs actions débridées.

Le Gouvernement français, qui a la loi (arrêtés et décrets a minima) pour lui, tel que prévu par le RGPD, contourne aisément l’esprit de la loi, même si là aussi il se trouve tout de même marginalement bridé.

L’exercice des droits des personnes et la fonction de DPO fonctionnent relativement bien.

Les transferts de données internationaux sont une vaste supercherie depuis la jurisprudence Schrems sans que rien ne change, alors même que nombre de services sont illégaux en Europe (Amazon, Meta, Microsoft, Google, Apple…), ce qui est un camouflet terrible et public au législateur européen, révélateur des collusions et de l’inopérabilité de nos grands principes en Europe (même quand ils sont inscrits dans la Charte des Droits Fondamentaux de l’UE).

L’extension du RGPD en droit national est parfois « bancal » et souvent inopérant (ex: sanctions pénales et action des procureurs, droit du travail…)

L’innovation est pensée en contournement de l’esprit qui a conduit au RGPD et la surveillance de masse s’élargit encore de jour en jour, sous couvert parfois de procédures anti-terrorisme, parfois de protection civile ou encore de prévention des calamités (Covid-19)…

Le RGPD portait avec lui un vague d’espoir pour la régulation forte d’un secteur qui envahit nos rues et nos logements. Le résultat, 6 ans après, est intéressant mais décevant. À quand de vrais contrôles et une régulation stricte du pouvoir de surveillance (et de commercialisation de la data) des pouvoirs publics, qui deviennent des acteurs à part entière du marché (cf. Health Data Hub) ?

1. Avis général :

C’est un texte intelligent, bien qu’il permette un laxisme disproportionné envers les traitements dont les états membres sont responsables.

En tant que responsables de traitements, les pouvoirs publics nationaux ont la faculté d’écrire la loi (par décrets/arrêtés, ou a minima d’y contribuer en étant force de proposition au Parlement avec, à date, une convergence d’intérêts forte), de multiples tactiques ont été employées depuis 2018, en France au moins, pour contourner l’esprit du texte (décrets Police de Darmanin en 2020, Health Data Hub, loi de sécurité globale, etc.), ce qui produit une défiance citoyenne et l’expérience pratique d’un « deux poids deux mesures », que ce soit pour les entreprises ou pour les personnes physiques qui ne se sentent pas protégées, en particulier de leur police.

De plus il reste encore de nombreux conflits non résolus entre le RGPD et les lois nationales (le premier exemple qui nous vient, sans gravité majeure pour autant : la formation professionnelle et continue, où les demandes pour les sous-traitants de la formation par le code du travail sont en contradiction avec le RGPD, et le Ministère en charge de ces questions n’a jamais répondu à nos sollicitations).

Enfin, de manière très opérationnelle, la notion de « catégorie particulière de données à caractère personnel » (art.9) est appliquée avec de fortes lacunes dès qu’il s’agit des forces de sécurité intérieures (ex : des agents de police non « soignants » traitent, sur le terrain de manifestation par exemple, des informations médicales personnelles très sensibles avant une éventuelle communication aux équipes soignantes, comme cela a parfois été clairement documenté à Sainte Soline en octobre 2022 et mars 2023).

2. Chapitre III (exercice des droits des personnes)

Les dispositions du texte sont intéressantes et les choses progressent de manière satisfaisante.

3. Application du RGPD dans les ETI :

Les ETI qui ne font pas de la data leur fond de commerce ne se donnent globalement pas vraiment les moyens de faire les choses convenablement (nous avons vu trop de directions préférer investir des millions d’€uros dans des solutions qui ne couvrent pas convenablement les risques), dans des environnement pourtant délicats pour les personnes concernées.

4. Actions de groupe :

Nous avons mené une action au pénal au titre de notre association contre des traitements illicites d’Amazon France, avec les conseils d’avocats spécialisés. Notre plainte a été classée par la Procureure sollicitée, sans qu’aucune explication valable n’ait été produite. De même au sujet d’une plainte contre l’exploitation de données de santé au sujet du Health Data Hub.

A ce sujet nous n’avons donc connu que des échecs, et nous savons que cela n’est pas nécessairement représentatif, et qu’il s’agit là plus du code pénal que du RGPD lui-même.

5. DPA/CNIL :

La CNIL fait un travail préventif intéressant, mais en terme curatif, les délais sont insoutenables (jusqu’à plusieurs années pour une simple plainte), ce qui décrédibilise ses actions, voire le plus souvent, ses classements sans suite.

6. Principe de responsabilité et approche par les risques :

L’approche par les risques est très artisanale dans les ETI et les petites administrations, et donc très peu et souvent mal implémenté, parfois clairement illicite sans que cela ne soulève la moindre question, et ce même si par exemple un rapport d’appréciation des impacts sur le protection des données est produit en externe et fourni à la direction.

7. DPD/DPO :

Les DPO a qui nous avons eu à faire étaient le plus souvent des juristes, qui apportent des réponses de juristes pour surtout en faire le moins possible tout en restant dans la légalité. Pour nous un DPO devrait soutenir les intérêts des personnes concernées, et ceux que nous avons rencontré ont principalement soutenu les intérêts de leur client/employeur. Cependant, leur réactivité et même leurs réponses restent acceptables.

8. Relation clients / fournisseurs

N/C

9. Transferts de données à l’international :

Malgré une jurisprudence de la CJUE concernant les USA, la CNIL publie toujours une carte indiquant que la législation de ce pays est partiellement adéquate en matière de protection des données, comme le Canada. Ce n’est pas normal. Cela ne permet pas de faire avancer les droits et libertés des personnes concernées, et c’est même révélateur d’un conflit profond d’intérêts entre la légalité et les relations internationales. Les procureurs de la république ne sanctionnent pas (en droit pénal) les infractions sur ce point, en méconnaissance réelle du sujet. Les plus grosses sociétés des USA continuent de traiter allègrement des données couvertes par le RGPD. Pour nous tout ceci est inacceptable, et cela démontre malheureusement la vacuité pratique de ce dispositif du RGPD.

10. Législation nationale :

L’intégration directe dans la loi nous semble OK. L’usage de la loi pour contourner l’esprit du RGPD est par contre préoccupant. L’application des dispositions pénales issues du RGPD a été pour l’instant et à notre humble connaissance, inopérante.

Notre point de vue à ce sujet est négatif, et les perspectives inquiétantes.

11. …

N/C

12. Codes de conduite :

N/C

13. Certification :

N/C

14. Innovation :

14.1. Entreprises

Les entreprises de l’innovation dont le fond de commerce n’est pas la data nous semblent globalement améliorer leur protection des données.

14.2. Pouvoirs publics

Une partie des nouvelles technologies déployées par le Gouvernement français en matière de surveillance dépasse voire détourne l’esprit du texte, en utilisant la loi nationale et les espaces que lui laisse le RGPD.

Cela a un effet particulièrement délétère dans la confiance que nous pouvons avoir dans l’action des pouvoirs publics (pour rappel la loi informatique et libertés de 1978 a été créée pour éviter les tentatives d’abus de l’état français).

14.3. Santé

Concernant la santé, l’ensemble des dispositifs envisagés, en particulier ceux issus du Health Data Hub en France, attirent notre plus grande méfiance, en particulier depuis la pandémie de Covid-19. Le Gouvernement français tient des positions particulièrement alarmantes sur ces sujets, nous donnant envie de rejeter en bloc toutes ses propositions en la matière.

14.4. Entreprises spécialisées Data

Enfin, concernant les entreprises spécialisées dans l’exploitation des données, notre expérience singulière nous fait dire que soit elles passent sous les radars, soit elles s’arrangent avec la loi, sans être inquiétées particulièrement (un exemple criant : marmiton.org, nous avons le choix entre accepter tous les cookies ou payer. en matière de consentement, il y a une vraie rupture qu’un simple parallèle avec le consentement à une relation sexuelle fait pâlir : soit on paie pour refuser les avances de quelqu’un, soit on s’y soumet… et ce en toute impunité, et ces dispositifs sont légion).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *