L’affaire Facebook - Cambridge Analytica vient de faire prendre conscience à une large part de l’opinion publique mondiale des risques liés à une exploitation abusive des données personnelles de tout un chacun.
A l’heure de l’omniprésence de l’informatique et de l’Internet dans nos vies quotidiennes, tant professionnelles que privées, la protection des données personnelles prend une acuité particulière. Le cadre juridique y relatif doit nécessairement être modernisé à l’aune des nouvelles technologies et des nouveaux moyens de communication, et de l’exploitation des données personnelles que ces derniers induisent.
Le RGPD : un règlement à visée hégémonique
Le 25 mai prochain, le Règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD ») entrera en vigueur. Ce règlement sera d’application directe dans les Etats-Membres de l’Union Européenne. Bien qu’il s’agisse d’un règlement européen, deux considérations d’ordre général doivent être gardées à l’esprit. La première concerne le fait qu’il s’agit de facto d’une « quasi-directive », une grande latitude étant laissée à la discrétion des législateurs des Etats-Membres afin de prendre des mesures additionnelles dans certains domaines tel que celui de la recherche médicale. La seconde considération concerne la portée extraterritoriale du RGPD dont la visée hégémonique emportera nécessairement un empiètement sur la législation applicable en la matière en Principauté.
Ce sera notamment le cas dans les hypothèses suivantes, non limitativement répertoriées :
- Une entité monégasque possède un établissement au sein d’un Etat-Membre ;
- Une entité monégasque procède au traitement de données personnelles – même sporadiquement – au sein d’un Etat-Membre ;
- Une entité monégasque offre des biens ou services par le truchement d’un site Internet ayant pour cible un marché de l’Union Européenne ;
- Une entité monégasque procède au profilage de personnes physiques se trouvant au sein d’un Etat-Membre avec pour finalité de prendre des décisions les concernant, d’analyser ou de prédire leurs dispositions d’esprit, comportements, et préférences ; et
- L’entité monégasque procède au traitement des données personnelles pour le compte d’un tiers tombant lui-même dans le champ d’application du RGPD.
Une nouvelle conception de la protection des données personnelles
Le RGPD consacre le fait que les données personnelles doivent être considérées d’un point de vue juridique comme un attribut de la personnalité et, en aucun cas, comme un objet potentiel susceptible faire l’objet d’un quelconque droit de propriété. En outre, le RGPD affirme pour tous les acteurs amenés à connaître, traiter ou conserver des données personnelles, le principe d’une auto-détermination informationnelle afin, d’une part, de renforcer les droits fondamentaux des citoyens à l’heure de l’ère numérique et, d’autre part, de tendre vers la mise en place d’un marché numérique unique.
De nouveaux droits
Le RGPD entraîne la revivification de certains droits à l’instar du droit à l’information renforcée, du droit à l’accès aux informations, du droit à l’effacement des données, du droit à l’opposition à la poursuite du traitement, du droit à la rectification des données personnelles et la proportionnalité des traitements. En sus de ces derniers, de nouveaux droits sont consacrés tels que la portabilité des données, la limitation des données, le recours contre l’autorité de contrôle, l’action de groupe et le droit à la « mort » numérique.
Une nouvelle éthique
Mais, également, la philosophie qui émane du RGPD permet de tendre vers un autocontrôle qui se substituera aux formalités préalables. Dans ce cadre, de nouvelles obligations devront dès lors être respectées telles que la mise en place d’une Privacy by design ou d’une Privacy by default, la désignation d’un délégué à la protection des données, la déclaration d’une faille de sécurité le cas échéant ainsi que la coresponsabilité.
L’étendue et la portée des principes directeurs qui jalonnent le RGPD s’analyseront au gré de la pratique au sein de l’Union Européenne et en Principauté.