Projet de loi "Informatique & Libertés", l'oeuvre de Frankenstein ?

Le gouvernement a publié le 13 décembre 2017 son projet de loi modifiant la loi "Informatique & Libertés". Ce texte est destiné à préparer l'entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD). Sa rédaction s'annonce incompréhensible, elle s'écarte de l'objectif d'harmonisation européenne et fera peser sur les entreprises des sanctions maximales pouvant s'élever à 20 millions d'euros ou 4% du chiffres d'affaires consolidé des entreprises. Pourquoi ?

Je me suis infligé la lecture du projet de loi modifiant la loi "Informatique & Libertés", publié ce 13 décembre 2017. Ce projet, assorti d'un avis du Conseil d'Etat, d'une étude d'impact de plus de 500 pages et d'un exposé des motifs, est destiné à préparer l'entrée en vigueur, le 25 mai 2018, du Règlement Général sur la Protection des Données (RGPD) n° 2016/679.


La hauteur des défis est vertigineuse...

Les enjeux éthiques, sociétaux, politiques, économiques et concurrentiels de cette réforme sont, sans aucune exagération, de portée mondiale et forgeront la régulation de la société numérique de notre siècle. Car le RGPD sera soit une référence continuant d'inspirer d'autres régions du monde, soit l'instrument d'un échec politique et économique de l'Union européenne. Il s'appliquera à toutes les entreprises et administrations au sein de l'Union européenne. Il a également vocation à s'appliquer à toutes les entreprises et aux organismes publics situés hors d'Europe -oui oui, partout dans le monde-, qui surveillent les faits et gestes ou destinent leurs services à des résidents européens : la NSA, Wawei, Alibaba, WeChat, les GAFA, etc. Quel pari, quel défi d'exemplarité, quel enjeu politique, concurrentiel et de souveraineté numérique !

Pourquoi faire simple quand...

On aurait voulu laisser à Frankenstein l’occasion de jouer à créer un monstre, qu’on ne s’y serait pas pris autrement. Depuis hier, on peut craindre que la France n'applique pas le Règlement « RGPD » tel qu'il a été âprement négocié durant 4 ans jusqu'en 2016, suscitant à lui seul plus d'amendements qu'il n'y en a eu durant 25 ans de politique agricole commune. Non, non, les 99 articles et 173 paragraphes d'interprétation du GDPR qui ont été discutés à la virgule près, paraissent à nos légistes nationaux trop simples à digérer pour nos entreprises, notamment les PME.

... faut-il encore préférer les symboles à l'efficacité ?

La France devrait, semble-t-il, incorporer le RGPD dans la loi "Informatique & Libertés" de 1978, parce qu'elle est "symbolique", nous dit l'exposé des motifs du Gouvernement. C'est profondément vrai. Elle est d'ailleurs tellement symbolique, qu'on s'apprête à fouler aux pieds la clarté et la simplicité qui lui ont permis de traverser 40 années d'informatisation mondiale.


La panique et l'insécurité qui risque de résulter de ce projet de loi, elle, ne sera pas symbolique, car le texte prévoit des sanctions pouvant s'élever à 20 millions d’euros d’amendes administratives ou 4% du chiffre d’affaires consolidé.


La méthode de rédaction m’évoque une recette de cuisine de circonstances : la dinde aux marrons. Mais inversée. Une sorte de défi aux lois naturelles, qui consisterait à tenter de faire entrer une dinde dans un marron. Celui qui y arrivera sans dépecer la dinde et sans faire exploser le marron n’est pas au bout de ses peines... Nous ne sommes pas au bout de nos peines, collectivement.


... et le projet de loi sombre dans des abîmes de complexité

Le Conseil d'Etat a consulté et fait de son mieux, mais...

Ce texte risque fort d’être illisible, comme le souligne le Conseil d’Etat dans son avis : « La technique mise en œuvre aboutit cependant à un résultat très insatisfaisant en termes de lisibilité du droit positif ». « Chaque fois que le Gouvernement souhaite utiliser l’une des 56 marges de manœuvre nationales ouvertes par le règlement, il s’efforce de réécrire les dispositions nécessaires, qu’elles soient plus exigeantes ou au contraire plus souples, plutôt que de répéter le principe posé par le règlement. »

Pour remédier à l’illisibilité d'un texte à tiroirs, la solution miracle serait l’hypertexte

« Le Conseil d'Etat propose que la publication numérique à l'initiative des pouvoirs publics de la loi de 1978 soit obligatoirement opérée en étant assortie d'un lien informatique avec le texte pertinent du règlement (UE) 2016/679, chaque fois que la loi mentionne une de ses dispositions. »

 

Il est ainsi prévu de procéder à (1) une modification de la loi dite "CNIL", rendant le texte complet (CNIL+RGPD) illisible, combinée au toilettage -mais au Kärcher" d’autres dispositions de la loi CNIL, par voie d’ordonnance cette fois, sans débat de fond ni concret. Nous pourrons ainsi être bien certains qu’après deux vagues de réécritures successives, on ne puisse plus retrouver dans ce labyrinthe refermé, les dispositions du RGPD telles qu’elles ont été chapitrées, articulées et précisées à la virgule près.

 

Une fois cette boucherie rédactionnelle réalisée, des décrets viendront préciser de nombreux points, sans débat parlementaire, sans vision sociétale ou de compétitivité du droit. J’appréhende déjà les difficultés qu’on aura à faire comprendre à une entreprise (qu'elle soit européenne ou non) nos déviations françaises. J’imagine qu'il a fallu bâillonner, pendant les arbitrages interministériels, le conseiller du cabinet de notre Garde des Sceaux, en charge de l’attractivité et de la compétitivité du droit français.


A quoi mesure-t-on l'efficacité d'un texte ?

Sans craindre de nous faire rire -ou pleurer-, le Conseil d’Etat s’inquiète du coût de mise en œuvre de cette réglementation pour les entreprises et des difficultés pour les PME de disposer d’outils de conformité lisibles et adaptés à leurs moyens, d’ici mai 2018 -dans six mois!.


On touche là le coeur du sujet. Certains légistes peuvent s'enorgueillir d'être les seuls à comprendre ce qu'ils écrivent, mais ils ignorent les conséquences économiques de l'insécurité juridique à laquelle ils contribuent. Certains adeptes d'une société déconnectée -qui n'adviendra pas- peuvent se repaître des rêves d'amendes qu'ils espéreraient voir infligées à des géants supra-étatiques. Mais l'Europe n'est pas à l'avant-veille de faire exécuter en Californie ou en Chine une sanction réllement punitive, a fortiori en désarticulant déjà une réglementation dont la complexité génère ses propres faiblesses.On ne mesure pas la pertinence d'une règle au nombre d'emplois ou aux profits qu'elle détruit ou délocalise, mais à la protection qu'elle instaure. Pour les personnes, celle de leurs données. Pour les entreprises, celle de leur sécurité juridique.


Malgré 21 ans de pratique intensive des règles de protection des données personnelles, j'avoue mon désarroi. Je ne vois pas l'intérêt de réinventer la roue en France -ni de la rendre carrée-, si ce n'est pour la CNIL de revenir à travers ce projet de loi sur des consensus européens qu'elle avait pu contester. Mais le débat a eu lieu et il est désormais temps de tirer profit d'une position commune européenne qui se veut être la plus protectrice au monde et la plus harmonisée parmi les régulateurs nationaux. Il est temps de mettre fin à 22 ans d'une Directive européenne que les Etats avaient transposée quasi à l'identique, mais que leurs autorités nationales ont, chacune, appliquée différemment.

Avec un brin d'ironie, je n'entrevois qu'un aspect positif -insignifiant- à la complexité qui s'annonce en France avec ce projet de loi : les consultants en management, opportunistes de tous poils et autres SSII ou auditeurs qui s’improvisent spécialistes du RGPD pour vendre leurs questionnaires et racoler des entreprises en panique, vont avoir les yeux qui piquent… s’ils se risquent, cette fois -rien qu’une fois-, à lire un texte de loi pareil.

La clarté favorise l'offre de conformité

Le législateur devrait avoir cette dure réalité en tête. Le "marché" de la conformité au RGPD n'est pas suffisamment servi, très loin s'en faut. Plus de 85% des "prestataires de conformité" peinent à poser les bonnes questions aux entreprises et n'ont pas eu le temps de se former à leur donner les bonnes réponses. Ces réponses qui permettent de transformer une contrainte en opportunité, de susciter plus de confiance et d'innover tout en garantissant une protection effective des droits des personnes.


Ce n'est pas en se singularisant qu'on pourra donner aux entreprises établies en France les moyens de se conformer à la réglementation européenne tout en se développant. Qu'on se le dise -et tant pis s'il faudra le répéter-, réussir l'entrée en vigueur en France du RGPD, est un enjeu d'effectivité de la règle et de compétitivité des entreprises françaises. La règle doit être lisible par tous les français et la compétitivité se compte en dizaines de millards d'euros.