Repenser le cadre juridique de la protection des données sous un angle global
La mise en application du règlement général sur la protection des données en mai 2018 avait constitué une première rupture normative et organisationnelle pour les acteurs publics et privés, les laissant souvent démunis. De nombreux Etats s'en sont inspirés depuis et créent leur propre réglementation, notamment la Chine. Que laisse présager cette vague législative?
Si l’émergence de réglementations protectrices des données personnelles des individus s’est accentuée lors de la dernière décennie, il ne s’agit pas d’une préoccupation nouvelle. En effet, avec le développement des moyens de communication modernes et des nouvelles technologies au long de la deuxième moitié du siècle dernier, les Pouvoirs Publics ont tenté durant les cinquante dernières années d’assurer avec plus ou moins de succès un cadre réglementaire pour sécuriser les transmissions de données personnelles. Pour prendre le seul exemple français, l’on peut remonter en 1978 avec à la loi informatique et libertés, ainsi qu’à son corollaire, la fondation de la CNIL.
Ainsi, la problématique de la protection des données personnelles est ancienne, même si récemment elle s’est complexifiée jusqu’à porter des enjeux qui en font dorénavant une préoccupation de premier plan pour les divers Etats (et, par conséquent, pour les entreprises). Ces derniers ont décidé d’aborder le problème individuellement (ou du moins par une approche régionale) et non collectivement. Le California Consumer Privacy Act (CCPA) et le RGPD sont les avatars très médiatiques de ce nouveau phénomène mais ils ne sont pas des initiatives uniques. Le nombre de réglementations sur le sujet s’accentue[1], notamment avec l’adoption en novembre 2021 d’une nouvelle loi de protection des données par la Chine (la loi sur la protection des informations personnelles ou PIPL[2]).
Le respect de ces diverses normes se révèle problématique en pratique. Cela pour diverses raisons.
Tout d’abord car cette émergence de normes juridiques locales soulève des questions juridiques « pures ».
Ces diverses réglementations sont souvent similaires au RGPD pour ce qui est de leur champ d’application (autrement dit, extraterritorial).
Pour prendre l’exemple du RGPD, son article 3[3] relatif à son champ d’application le fait s’appliquer d’une part, à toutes les manipulations de données à caractère personnel effectuées « dans le cadre de l’exercice effectif d'un établissement d’un responsable (…) ou d’un sous-traitant sur le territoire de l'Union », cela indépendamment du lieu effectif du traitement desdites données. Le RGPD s'applique d’autre part aux transferts et traitements concernant des personnes se trouvant en Union Européenne quand bien même le responsable (ou un sous-traitant) n'est pas établi dans l'Union, autrement dit tous traitements dès lors qu’ils ciblent des personnes physiques se trouvant dans l’Union. Le RGPD a donc vocation à s’appliquer à l’échelle mondiale, dès lors qu’il impacte une entité ou une personne européenne.
Le CCPA et la PIPL pour ne citer que ces normes, instaurent un champ d’application similaire. Cela amène à une confusion quant à la réglementation applicable à une même situation quand elle a des critères de rattachement à plusieurs de ces textes relatifs à la protection des données, d’autant que le champ d’application de ces diverses normes est souvent très large. Ainsi, quid en pratique de la norme applicable dans le cas d’un résident chinois ayant à traiter des données relatives à des individus situés en Europe et aux USA pour le compte d’une structure internationale basée en Chine mais ayant des filiales en Europe et aux USA ?
Le risque de cumul de normes, et donc d’incertitude juridique est donc évident, avec tout ce que cela implique de faire défaut à une réglementation ou de ne pouvoir satisfaire à toutes les régulations en raison d’incohérences entre elles. D’autant plus que ces normes, même si elles présentent un grand nombre de similitudes, divergent sur bien des aspects. L’objectif de cet article n’est pas de faire un comparatif des divers textes en vigueur, d’autres se sont déjà acquitté de la tâche avec brio, mais force est de constater que ces règles se construisent sur des fondements philosophiques différents et que cela a pour effet de rendre difficile, si ce n’est impossible, de les concilier[4].
Le cadre mis en place par la PIPL est une bonne illustration de ce phénomène et porte en lui des incohérences difficilement conciliables avec le RGPD. Ainsi, si cette norme a de nombreuses similitudes avec le RGPD (définition similaire des données personnelles, principe du recueil du consentement préalable, droit à l’information, principe de minimisation…), elle porte en elle deux différences majeures et philosophiquement inconciliables avec le RGPD :
-(1) l’Etat chinois n’est pas soumis aux dispositions de la PIPL et il peut donc collecter des données personnelles hors cadre du respect de ces règles;
-(2) Par ailleurs, la Chine a conçu ce texte de loi comme une arme politique contre les puissances étrangères.
Ainsi les entités étrangères enfreignant les droits des citoyens chinois ou mettant en péril la sécurité nationale ou les intérêts publics de la Chine seront placées sur une liste noire et tout transfert de données personnelles de citoyens chinois vers ces entités sera restreint, voire interdit[5]. Le texte énonce également que la Chine se retournera contre les pays ou régions qui prennent « des mesures discriminatoires, prohibitives ou restrictives à l’encontre de la Chine en matière de protection des informations personnelles »[6].
Au regard de ces éléments, il parait difficile d’imaginer comment concilier RGPD et PIPL, la protection des données des individus vis-à-vis du pouvoir étatique étant clairement un point de friction.
Par ailleurs, alors que les individus, produits et services sont soumis à une multiplicité de normes de protection des données, il s’avère qu’elles sont très complexes tant dans leur interprétation que dans leur mise en pratique.
Ceci est en partie dû au fait que ces réglementations sont récentes et que leur application nécessite des analyses au cas par cas extrêmement pointues (la notion de privacy by design contenue dans le RGPD a notamment amené les entreprises à redéfinir de nombreux projets en cours de conception). Les diverses administrations et associations professionnelles peinent encore, d’un côté, à répondre à toutes les questions qui leur sont posées par les acteurs privés quant à l’application pratique de ces normes, de l’autre à appréhender dans leur réponse tous les aspects pratiques de la protection des données[7].
De plus, ces réglementations nécessitent la mise en place d’importants moyens techniques et organisationnels afin de les implémenter.
Les grandes entreprises semblent plus armées pour se prémunir de ces risques ; mais quid des petites et moyennes entreprises (surtout de celles s’adressant à un marché international) ? Des grands groupes ont les moyens de mener des analyses sur des marchés locaux et régionaux et de s’adapter aux normes locales de compliance ; leur taille justifie de mettre en place au niveau local des équipes traitant de ces problématiques. Mais qu’en est-il des start-ups et PME ? Peuvent-elles gérer ce flux récent de normes de compliance et ce qu’elles impliquent en termes de moyens pratiques ?
En effet, le constat le plus fréquent est que la conformité à ces normes se fait au prix du développement d’équipes et de moyens locaux afin de garder le stockage et le traitement des données personnelles sur chaque territoire appliquant une norme spécifique de protection des données.
Dès lors, la question se pose de savoir si ce processus n’amène pas à un retour en arrière et à une régionalisation du monde ? un effet indirect de cette situation risque d’être la régionalisation de certains corps de métier et donc une régression de la liberté de travail. En effet, tant que ce corpus de normes sera morcelé la tentation sera grande de cloisonner les unités de travail, cela au détriment des individus et de leur liberté de travailler dans un marché globalisé.
De plus, paradoxalement, cette situation peut potentiellement avoir un impact négatif en termes de critères Environnementaux, Sociaux et de Gouvernance (ESG).
La mise en place de bonnes pratiques de protection des données fait partie de l’un des trois piliers de l’ESG (en l’occurrence de son critère social). Et l’on ne peut que s’en féliciter. Néanmoins le constat fait plus haut, à savoir que le moyen le plus simple de mettre en place des moyens techniques permettant de respecter la protection des données est de démultiplier les moyens matériels à l’échelle locale, laisse à penser que cette redondance risque d’avoir un impact écologique et énergétique.
L’exemple de l’implémentation systématique de datacenters et de points de présence à l’échelle locale en lieu et place de datacenters uniques illustre bien cette aporie : cette multiplication des moyens de stockage aura forcément un impact négatif en termes d’émissions de gaz à effet de serre.
Ceci nous amène à penser que l’état actuel de la législation relative à la protection des données est un frein à la mise en place du pilier environnemental des ESG. Il en résulte qu’une recherche d’efficience globale en termes de critères Environnementaux, Sociaux et de Gouvernance doit amener à un changement du paradigme juridique de la protection des données à terme.
Quelles solutions et perspectives ?
L’effort entrepris par les divers Etats pour se doter de normes protectrices des données des personnes doit être salué et représente une énorme avancée dans le domaine. Ainsi Gartner estime que les résultats concrets de ces efforts vont amener à ce que les données personnelles de 65 % de la population mondiale soient protégées par des réglementations protectrices des données personnelles alors, qu’à titre de comparaison, seules 10% de ces données l’étaient en 2020[8].
Mais cette frénésie législative fragilise les fondements de cette même protection en imposant aux entreprises et aux individus un cadre complexe et qui risque de devenir illisible pour la plupart de ses acteurs à terme. Il est des solutions assez traditionnelles d’un point de vue juridique et qui vont dans le sens de l’histoire : la création d’une norme mondiale unifiée sur les données personnelles au moyen de traités internationaux, ce qui permettra d’appréhender ce sujet avec une philosophie et des référentiels globaux. A terme il faudra que la question soit envisagée sous un angle mondial et non régional.
[1] https://linc.cnil.fr/1970-2021-la-protection-des-donnees-essaime-le-monde . A fin 2020 106 pays possédaient des règlements nationaux de protection des données personnelles s’appliquant à l’ensemble des secteurs d’activités.
[2] La Chine à l'ère de la réglementation sur les données personnelles (journaldunet.com)
[3] Article 3 ???? RGPD. Champ d'application territorial | GDPR-Text.com
[4] La nouvelle loi de protection des données en Chine est un "anti-RGPD" - Actu-Juridique
[5] PIPL, article 42.
[6] PIPL, article 43.
[7] https://www.lesechos.fr/idees-debats/cercle/opinion-rgpd-faut-il-crier-victoire-un-an-apres-son-implementation-1017445
[8] https://www.directioninformatique.com/les-predictions-de-gartner-en-2020-quant-a-lavenir-de-la-protection-de-la-vie-privee/83605