droitdu.net

Un site utilisant Plateforme OpenUM.ca

Et le web transforma les données à caractère personnel en or !

Présenté par
Juriste NTIC
21 mai 2015
Commentaires
Permalien

Vous connaissez certainement la légende de Nicolas Flamel, cet alchimiste parisien du XIVème siècle qui, était parvenu à mettre au point la pierre philosophale permettant de transformer le métal en or. Au XXIème siècle la légende est devenue réalité. Et l’alchimie n’a rien à voir là-dedans…

Bienvenue dans le monde merveilleux du Big Data.

L’Inspection Générale des Finances a mis au point avec l’INSEE une étude parue en 2012 (n° 2001-M-060-02 janvier 2012 disponible sur http://www.igf.finances.gouv.fr) établissant que plus de 80% de l’économie française est concernée par l’économie numérique.

Les secteurs transformés par la numérisation de l’économie tels que la musique, l’édition, la production audiovisuelle ou la finance et les assurances représentent 12% du PIB ; plus frappant encore, les secteurs qui ont dégagé des gains de productivité grâce à l’intégration des TIC dans leur fonctionnement, en proposant de nouveaux services web liés à leurs activités, représentent 60% du PIB.

C’est colossal et la tendance, fin 2014, est à la hausse. Deux raisons simples expliquent cette évolution :

  • la productivité est augmentée avec le digital car la capacité de traitement est plus rapide et peut être automatisée,
  • les données recueillies lors de ce traitement offrent une valeur ajoutée sans précédent aux entreprises qui les traitent.

Pour percevoir sans trop de difficulté la réalité actuelle du  marché  des données personnelles, il suffit de se pencher sur le rapport Collin et Colin de 2013 qui établit le manque à gagner fiscal pour l’Etat français dans le traitement des données personnelles.

(http://droitdu.net/2013/07/donnees-personnelles-la-valeur-ajoutee-dinternet-passe-entre-les-mailles-du-filet-fiscal-francais/)

Les prévisions sont excellentes puisqu’en 2020 la valeur des données personnelles des consommateurs européens pourrait atteindre 1.000 milliards d’euros, dont 0.9% de part de marché pour la France, soit 9 milliards d’euros. (Selon le Boston Consulting Group http://www.bcg.fr)

Devant le développement extrêmement rapide des nouvelles technologies et l’intérêt financier que représentent ces données, notamment pour les entreprises du web, il est important d’évoluer au sein d’un cadre législatif clair et précis qui doit répondre à deux impératifs : d’une part protéger les citoyens contre les dérives liées à l’utilisation de leurs données, et d’autre part faciliter la circulation des données pour soutenir l’économie numérique.

La Commission européenne souhaite, à juste titre, que le droit ne prenne pas de retard sur la technique. Elle considère qu’il est capital de préserver un climat de confiance dans l’environnement numérique, nécessaire à son développement économique. En effet, dans ce domaine, seule la confiance permet aux consommateurs de se diriger vers de nouveaux services. C’est la raison pour laquelle, dès le 25 janvier 2012, est publiée une proposition de règlement « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Proposition qui devait aboutir à un texte définitif en 2014 et entrer en vigueur pour les Etats membres en 2016.

Le processus législatif a pris du retard mais une première lecture devant le Parlement européen a eu lieu le 12 mars 2014 et de nombreux articles ont été amendés.

Il est donc temps de se pencher sur les changements à venir initiés par ce règlement, et sur l’impact qu’ils pourront avoir dans l’univers numérique, actuel et futur.

Une approche sommaire pourrait sembler défavorable à la valorisation du traitement des données personnelles, notamment en raison des obligations renforcées pesant sur le responsable de traitement et les sous-traitants. Mais en réalité, une lecture approfondie de ce projet laisse présager une libre circulation accrue des données et, de ce fait, une importante création de richesses. En effet, la Commission a réussi à concilier les deux objectifs essentiels à la bonne santé de l’économie numérique : d’une part un renforcement de la protection des citoyens européens face à l’utilisation de leurs données à caractère personnel, d’autre part un allègement des contraintes auxquelles sont soumises les entreprises dans le traitement des données.

Sans être totalement exhaustif, puisque la proposition comporte quatre-vingt-onze articles et que la première lecture a donné lieu à plus de deux-cents amendements, il est important de retenir les quelques points innovants de ce projet.

S’agissant des droits de la « personne concernée », celle qui donne gratuitement ses données personnelles, le règlement met l’accent sur la transparence.

En effet, l’article 11 introduit pour le responsable du traitement l’obligation de fournir facilement des informations intelligibles quant à l’utilisation des données. L’article 12 impose au responsable de traitement d’établir des procédures d’informations et d’accès aux données des utilisateurs. Il crée notamment l’obligation d’information sur la durée de conservation et les transferts internationaux, le droit d’introduire des réclamations et de connaître la source des données.

L’article 17 consacre le « droit à l’oubli et à l’effacement », permettant à tout un chacun de sortir d’une base de donnée. L’effacement des données à caractère personnel incombe au responsable du traitement qui aura l’obligation de faire cesser la diffusion de ces données. Le « droit à l’oubli » va obliger les responsables de traitement à créer des produits incluant la traçabilité des données recueillies. Il s’agit du concept de « privacy by design » qui repose sur la conception de produits qui incorporent des processus de protection dès leur création, tels que décrits à l’article 23.

Le responsable de traitement va quant à lui bénéficier d’une liberté de traitement plus large, pourvu qu’il mette l’accent sur la sécurité des données.

Les charges pesant sur les entreprises qui traitent des données personnelles seront allégées. Le projet supprime en effet l’obligation systématique de déclaration préalable à la mise en œuvre d’un traitement automatisé de données personnelles. Seuls les traitements susceptibles de présenter des risques particuliers pour les droits et les libertés seraient donc soumis à une obligation de notification. L’article 33 prévoit à ce titre la mise en place d’une analyse d’impact pour déterminer si le traitement représente un risque en fonction « de la nature, de la porté et de la finalité » des données traitées. Par ailleurs, un guichet unique est prévu à l’article 51 pour simplifier les procédures de déclaration préalable, lorsqu’elles seront nécessaires.

En contrepartie de ces facilités de traitement, le responsable de traitement devra accroître la sécurité relative aux données. L’article 35 prévoit ainsi la présence de « délégués à la protection des données » dans toutes les entreprises de plus 250 salariés et dans les organismes publics. Les articles 31 et 32 rendent obligatoire la notification d’éventuelles failles de sécurité à l’autorité de contrôle et aux personnes concernées.

Enfin, s’agissant des recours, de la responsabilité et des sanctions prévus au chapitre VIII, les articles 77 et suivants sont à considérer avec la plus grande attention pour toutes les entreprises du secteur numérique qui traitent ou auront à traiter des données à caractère personnel dans les années à venir. Non seulement le responsable du traitement ainsi que les sous-traitants sont solidairement responsables du montant du dommage, mais encore les sanctions pécuniaires risquent d’atteindre des records : il pourrait s’agir soit d’un pourcentage du chiffre d’affaires de l’entreprise qui reste à déterminer, soit d’une amende d’au moins neuf chiffres. C’est la peine la plus lourde qui serait systématiquement appliquée. Le responsable de traitement pourra néanmoins se dégager de sa responsabilité en prouvant que « le fait qui a provoqué le dommage ne lui est pas imputable ». Formulation vague qui laisse aisément la possibilité de se prémunir de tout risque, si les processus de traitement sont correctement mis en place en amont.

Ainsi, l’ensemble du projet de règlement fait peser sur le responsable de traitement des obligations nouvelles en matière de sécurité des données qui devront faire l’objet, au sein des entreprises, d’une modification des processus actuels de traitement des données. Mais cette sécurité accrue est au service de l’économie numérique puisqu’elle va renforcer la confiance des clients et faciliter la circulation des données. Les entreprises doivent désormais s’entourer au mieux pour préparer l’arrivée de ce nouveau texte et réfléchir à la meilleure valorisation possible des données dans ce nouveau contexte juridique.

Sur le même sujet

Derniers tweets