Disclaimer:
Le texte qui va suivre n’est PAS une analyse juridique et ne doit
certainement pas être considéré comme un conseil juridique. Je ne suis PAS
juriste mais uniquement un citoyen éclairé qui (essaie de) faire respecter ses
droits au quotidien.
Ce texte fait volontairement des raccourcis et omet des points de détails pour
rester concis mais ces raccourcis ne changent pas la teneur du texte pour le cas
général standard de 99.99% des lecteurs ici.
Dans tous les cas, analysez votre situation. Ne le prenez pas pour argent
comptant et n’hésitez pas à vous faire votre propre avis sur le sujet.
Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. C’est trop long dit comme ça donc on l’appellera par son petit nom: Règlement Général sur la Protection des Données, ou RGPD.
Ce texte est manifestement très mal compris par la plupart des personnes qui le manipule, trop souvent de manière volontaire d’ailleurs, et cela conduit à des dérives assez sérieuses sur les droits des personnes concernées, aussi je vais dans ce texte tenter de faire une synthèse de ce qu’il faut en retenir et des points principaux qui devraient vous permettre d’atteindre une bonne conformité.
De l’histoire
Une première incompréhension notable vient des fondements même de ce texte et du processus législatif qui l’entoure qui a commencé en… 1948 ! Voire en 1789 en France, avec la Déclaration des Droits de l’Homme et du Citoyen (DDHC).
Estelle de Marco, avec qui je hobbyise régulièrement sur le sujet, vous le rappelera assez rapidement : le RGPD ne sort pas d’outre-tombe mais est dans la ligne directe de la Convention Européenne des droits de l’Homme (CEDH), directement applicable dans 46 États. La CEDH, adoptée en 1950 par le Conseil de l’Europe (qui est une organisation disctincte de l’Union européenne), peut être considérée comme la mère du RGPD. Inspirée de la DUDH et de la DDHC, elle prévoit en plus certains mécanismes qui permettent de rendre la protection des libertés effective.
Ce texte fondateur des démocraties européennes consacre les droits fondamentaux des citoyens et définit strictement les conditions à respecter pour les limiter. En clair, elle explique qu’il n’est pas possible d’aller à l’encontre de leurs libertés tout aussi fondamentales sans mettre des moyens de protection en face pour éviter les dérives.
Forcément, le contexte général de 1950 n’était plus le même en 1978 avec les débuts de l’informatique. Mais les exigences de 1950, posées pour prévenir le retour du totalitarisme, restaient pleinement applicables. Il faut en outre préciser que les États parties à la CEDH ont non seulement l’obligation de ne pas limiter les libertés des citoyens sans respecter les exigences de ce texte, mais ont également l’obligation d’adopter des lois pour que nous tous, nous respections ces exigences entre nous. Lorsque la France a adopté la loi « Informatique et Liberté » dont vous trouverez une des premières versions ici, cette loi était donc une transposition des principes inscrits dans la CEDH. Ce lien entre la CEDH de 1950 et la LIL de 1978 dès l’article 1, toujours en vigueur en 2022 :
L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Le Parlement Européen a aussi décidé de légiférer un peu plus explicitement que la CEDH sur le sujet du traitement des données personnelles au vu du contexte moderne et a donc adopté le RGPD le 27 avril 2016. On voit toujours le rapport avec la CEDH dès son article 1(2):
Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
Il est à noter que la LIL de 1978 de la France contenait déjà l’essentiel des principes qui se trouvent dans le RGPD de 2016. Par ailleurs, les exigences de la CEDH n’ayant jamais cessés d’être en vigueur, la lecture de la LIL à leur lumière permettait d’appliquer la loi de 1978 de manière conforme au RGPD (hors quelques détails restant accessoires). Dit autrement : au moins en France, la conformité RGPD aurait dû être atteinte… en 1978 !
Le RGPD étant un règlement, il ne nécessitait pas de transposition dans le droit national des États Membres et était d’application directe partout en Europe à partir de son entrée en vigueur au 25 mai 2018, à l’inverse d’une directive qui aurait nécessité une transposition.
De la lettre et de l’esprit de la loi
Pourquoi ce petit rappel historique ? Parce que trop souvent les gens (malveillants, mais pas que) l’occultent complètement !
La loi peut (et doit) s’envisager de deux manières :
- la lettre de la loi : les dispositions écrites de la loi. La lecture de la jurisprudence permet de connaître l’interprétation qu’en donnent des juges. Même si celle-ci peut fluctuer, une jurisprudence stable ou très clairement conforme à la CEDH permet à toute personne dont la démarche est intellectuellement honnête de savoir que dans un même contexte, une décision similaire devrait être rendue.
- l’esprit de la loi : le législateur a voulu transmettre un message au travers du texte qu’il a rédigé et il faut en tenir compte pour envisager la légalité d’une situation avant une condamnation. Tout ce que contient la CEDH et qui n’est pas dans le RGPD participe de l’esprit du RGPD.
Cette distinction est complètement bafouée dans le cadre du RGPD, en particulier
par les personnes malveillantes, afin de gagner du temps pour ne pas avoir à se
mettre en conformité.
Ces personnes refusent de reconnaître l’esprit de la loi, qui leur donne
clairement tort, pour attendre la jurisprudence strictement concordante à leur
situation personnelle. Bien souvent leur propre condamnation donc…
Le moindre détail ou variation par rapport à une jurisprudence établie suffit à
ces personnes pour se dédouaner intégralement du texte.
Effet de bord de cette situation : les personnes malveillantes épuisent souvent pendant des années tous les chemins législatifs existants pour sauver leur business, avant de se faire sévèrement tancer par la CJUE ou la CEDH… Les libertés individuelles en auront souffert durant 10 ou 15 ans alors que l’esprit de la loi leur donnait clairement tort dès le départ…
Ce problème est très notable dans le cas du RGPD parce que l’esprit de la loi
est extrêmement violent pour la plupart des entreprises en 2016.
Comme vu auparavant, elles ont accumulé au moins 44 ans de dette juridique en
France, et 74 en Europe, en refusant dès le départ de considérer la CEDH et en
bâtissant leurs fondations sur des sables mouvants…
Absolument tout le monde, à quelques trop rares exceptions près, fait un déni
complet sur le sujet et cherche par tous les moyens possibles et imaginables à
ne pas avoir à appliquer ce texte, qui nécessite de profonds changements
sociétaux et une remise en question de presque 80 ans de mauvaises pratiques.
Dans le prochain épisode, nous verrons qui est concerné par le RGPD.
Comments !