RGPD : le vrai ‘faux’ procès, un an après la mise en application

La conférence dont l’objet est le vrai (faux) procès du RGPD, s’est tenue dans un cadre de vraie (fausse) audience publique avec un magistrat, des avocats et témoins et au cours de laquelle le RGPD a été « jugé ».

M. Jean-Jacques GOMEZ (ancien premier vice-président du tribunal de grande instance Paris, et Juge de « l’affaire RGPD » lors de cette audience) rappelle les enjeux et les contrôles attendus par ce règlement. Le RGPD protégerait-il vraiment les données personnelles des personnes physiques ou bien est-il juste une illusion ?
Les intervenants se succèdent à la barre pour témoigner, et plaider en faveur ou contre le règlement européen.

• Guillaume CHAMPEAU : Directeur Éthique et Affaire Juridiques de Qwant
• Dany COHEN : Avocat à la Cour d’Appel de Paris et Professeur à Sciences PO
• Stéphane LIPSKI : Expert judiciaire en comptabilité et informatique agrée par la Cour de Cassation
• Julie RODRIGUE : Avocate de barreau de Paris
• Éric BARBRY : Avocat dans le domaine de l’IP/IT et Data Protection au sein du cabinet RACINE

Témoignage de M. CHAMPEAU, témoin de la Défense

« Les données personnelles sont utilisées à des fins de publicité ciblée et de reTargeting. Avant la mise en application du RGPD, il n’y avait pas d’incitation à protéger les données et la violation des données personnelles s’est vu accroître. Cas d’exemple de la sanction de 150 000€ infligée par la CNIL à Google Inc. pour manquements vis-à-vis de la protection des données personnelles en France. Aucun changement suite à cette amende : Google a de nouveau était sanctionné par la CNIL, écopant d’une amende de 50 000€.

Contrairement à Google, Qwant respecte le RGPD, ne collecte pas les données et ne pratique aucun reTargeting / publicité ciblée.

Il convient de noter que le début de la prise de conscience – des enjeux de la protection des données- concorde avec l’affaire Snowden en 2013. Ce qui a donné lieu à des obligations et sanctions introduites dans le règlement européen (nouveaux principes (ex le Privacy by Design), des amendes en cas de violation jusqu’à 4% du CA des sociétés / institutions sanctionnées…)  »

Témoignage de M. COHEN, témoin de l’Accusation

« Les principes du RGPD ne sont pas révolutionnaires : Le RGPD s’inscrit dans la même ligne que la Directive de 1995 sur la protection des données qui intègre le principe de la libre circulation des données personnelles.

Des pays utilisent et contrôlent les données pour contrôler d’autres pays. Le RGPD en tant que texte unificateur au niveau de l’Europe renforce le droit des citoyens et de l’État. Cependant, pour l’appliquer, il faut une autorité de contrôle (CNIL et son équivalent en Europe) et des sanctions pour protéger les citoyens des violations de données personnelles (jusqu’à 4% du Chiffres d’Affaires le cas échéant).

11 900 plaintes ont été adressées à la CNIL (sur la période de mai 2018 à mai 2019).

La CNIL a adopté plutôt une position souple en 2018, année marquée par la transition des entreprises / organismes/ institutions vers le RGPD. En 2019, la CNIL vérifiera la bonne application et le respect des exigences du règlement.

Des collectivités et des entités du service public sont en retard dans leurs travaux de mise en conformité au RGPD et l’État doit les appuyer.

Le RGPD peut être considéré comme une contrainte pour l’évolution de l’industrie numérique. Dans les années à venir, il est nécessaire d’améliorer les règles du RGPD.  »

Plaidoirie de Me RODRIGUE, avocate de la Défense

« La prise de conscience de la fuite des données a débuté avec des scandales tels que l’affaire Cambridge Analytica, l’affaire Grindr (application de rencontres), l’affaire WhatsApp….etc. Le RGPD est une bonne réponse à ce contexte.

L’efficacité du RGPD est démontrée par une responsabilisation et sensibilisation sur la protection des données : 65% des français sont au courant de l’existence du RGPD et 73% d’entre eux se disent plus sensibilisés sur la protection des données.
Le RGPD marque la fin d’un système déclaratif (par opposition au principe de l’Accountibility). Le règlement introduit/ renforce des principes tels que :

• Responsabilité du responsable de traitement (article 24 du règlement)
• Utilisation des données uniquement aux fins auxquelles elles sont collectées
• Principe de licéité : collecte de données avec le consentement de la personne concernée de façon licite et non via un quiz.
• Mise en œuvre d’une analyse d’impacts
• Obligation de loyauté et transparence d’informations vis-à-vis des droits des personnes concernées renforcées avec le RGPD
• Etc. «

Plaidoirie de Me BARBRY, avocat de l’Accusation

« En réponse aux arguments de la Défense : je n’ai rien contre la protection des données, mais nous ne sommes pas tous WhatsApp, ni Cambridge Analytica, etc. Il existe des petites entreprises pour lesquelles le RGPD pose problème.
Voici une liste d’observations sur le RGPD :

1. Le RGPD ne remplit pas son rôle de règlement, qui doit régler et interdire la transposition, dans le but est d’avoir la même règle pour tous, cependant il existe 57 renvois du traitement de la problématique à la loi nationale.
2. Le RGPD n’est pas harmonisé en Europe (ex dans les boutiques, l’Espagne fournit 2 tickets : 1 ticket de caisse et un ticket RGPD, alors qu’en France certaines boutiques sollicitent des informations clients (nom, prénom et adresse mail pour envoyer une facture dématérialisée)
3. Droit d’accès des salariés : afin de protéger les données d’un salarié, un juge allemand a rendu un jugement de lui communiquer l’ensemble des mails et compte rendus où son nom figure : une pure folie !
4. Le RGPD est adapté en Europe et imposé au reste du monde : il a vocation à sanctionner les entreprises européennes et laisse libre cours à l’imagination des entreprises étrangères : La CNIL n’a pas l’autorité de sanctionner les entreprises étrangères.
5. Le RGPD n’est pas compatible avec notre tissu économique : 99,8% de petites et moyennes entreprises incapables d’appliquer le RGPD, faute de budgets / moyens financiers. Même les entreprises dites conformes au RGPD ne le sont pas, car il n’est pas possible d’empêcher un collaborateur de faire son fichier Excel « dans son coin ».
6. Le RGPD pose plus de questions qu’il n’y répond, exemple :
   a. les mesures appropriées ne sont pas détaillées
   b. la notion d’intérêts légitimes est vague : pour l’entreprise ou la personne concernée ?
   c. une violation susceptible d’engendrer un risque élevé ou pas : et donc exemptée de PIA (Privacy Impact Assessment) ou faudra réaliser une PIA
7. Aucun équilibre dans les chiffres : sanctions pouvant aller de 10 000 € (par exemple) à 20 000 000€
8. Le RGPD : outil au service de l’évolution de la technologie. Minimisation de la donnée vs Big Data ? La Blockchain est incompatible au RGPD, les données ont vocation à être conservées jusqu’à la mort de la personne concernée le cas échéant.
9. Le RGPD est un texte discriminatoire : une obligatoire de désigner un Délégué à la Protection des Données pour les institutions publiques, ce qui n’est pas le cas pour les institutions privées. L’État s’est exempté des sanctions du RGPD (4% du CA, sanctions s’élevant jusqu’à 20 millions d’euros)

En Conclusion : le texte est mal rédigé et contient des obligations impossibles à mettre en place par toutes les sociétés françaises.  »

Réflexion du juge avant la sentence

« Le RGPD est une approche nouvelle qui a montré une efficacité, et qui a le mérite d’avoir réuni autour de la table plusieurs pays. Le RGPD n’est pas encore un idéal, mais il est possible et mettra du temps avant d’atteindre l’idéal. Pour l’utilisateur, le RGPD consacre un certain nombre de garanties :

– le temps de réaction du citoyen au RGPD n’est pas le même que celui des sociétés. Il faudra réfléchir à un accès plus facile (technologiquement parlant) aux garanties telles que le consentement pour lequel il est besoin de développer une réflexion majeure, ainsi que les questions de stockage des données…etc.)
– l’intérêt de personnes physiques et d’entreprises (particulièrement les petites entreprises) à prendre en compte. Ne pas jouer la carte de la facilité !
– l’esprit d’intelligence dans lequel il faudra développer ces données.  »

Après audition de toutes les parties prenantes, le Jury (69 invités à la conférence) a délibéré sur la question : Faut-il condamner ou acquitter le RGPD ?
Il a voté puis rendu son jugement : Acquitter le RGPD.

Yasmine L.