Protection des données personnelles : l’intrusion peut-elle être limitée ?

Vous venez de publier un guide juridique sur le traitement des données personnelles, d’où est parti ce projet ?
Les RSSI et les chefs de projets informatiques mettent en œuvre de façon croissante des systèmes stockant les données personnelles de leurs clients, de leurs partenaires, de leurs fournisseurs ou de leurs salariés. Or cette activité est très fortement réglementée et la portée de cet encadrement réglementaire est souvent mal connue des porteurs de projet.
De la même façon, les juristes ont une connaissance restreinte du fonctionnement et des possibilités des nouvelles technologies, ce qui est normal, compte tenu de la complexité et de la vitesse d’évolution de ce secteur.
Le décalage entre ces deux mondes et ces deux visions peut générer des difficultés, soit parce que le traitement et le stockage de données personnelles outrepasse les frontières de la protection de la vie privée, soit au contraire parce que le développement de projets est trop bridé par le poids du droit.
Mon objectif, à travers cet ouvrage, est donc de faciliter la communication entre le droit et la technique et plus largement, de sensibiliser à la culture juridique des données personnelles tous ceux qui sont confrontés à la problématique de la gestion de données.

En quoi la protection des données personnelles est-elle devenue un enjeu majeur ?
Les échanges de données à caractère personnel se sont multipliés de façon exponentielle ces dernières années. Cela n’est pas sans conséquence sur le droit de la vie privée, et le grand public est de plus en plus sensible à ces questions.
Des exemples récents montrent que les utilisateurs exigent de connaître l’exploitation qui peut être faite de leurs données personnelles. Ainsi Facebook a plusieurs fois été contraint de reculer sur les modifications de ses Conditions Générales d’Utilisation face à la pression des internautes.
Rappelons-nous également du cas Acadomia en 2010 qui avait révélé que les fichiers des élèves et des professeurs contenaient des commentaires excessifs, injurieux voire relevant de données sensibles comme la santé ou les condamnations. Cette affaire a eu un gros impact dans les médias et sur la réputation de l’entreprise, même si les sanctions ont été limitées.

Justement, quelles sont aujourd’hui les conséquences juridiques et pénales d’un manquement aux obligations de respect des données personnelles ?
Elles restent faibles et peu dissuasives, pour plusieurs raisons.
D’une part, les pouvoirs de sanction de la CNIL sont limités : le montant de l’amende qu’elle peut prononcer est plafonné à 150 000 euros, ce qui est ridicule pour des géants de l’internet comme Google. Des peines de prison figurent également dans le Code pénal, mais ne sont jamais appliquées.
D’autre part, la CNIL ne peut intervenir que si les données personnelles sont traitées sur le territoire français ou par une entreprise établie en France. On voit ainsi que dans le cas d’une entreprise, disons au hasard californienne, dont les serveurs informatiques sont implantés en Californie, les pratiques échappent à tout contrôle.
De fait aujourd’hui, les enjeux se situent plus sur le terrain de l’image de marque. On a même pu assister, il y a 5-6 ans, à une « course à la vertu » des moteurs de recherche, chacun revendiquant le plus petit délai de conservation des requêtes effectuées par les internautes et des cookies. L’idée d’un « label CNIL », qui garantirait la conformité de la protection des données personnelles, fait également son chemin.
De son côté, l’Union Européenne s’est attaquée de front au problème et un projet de règlement est en cours d’examen au Parlement Européen. Ce règlement viserait, entre autres, à instituer des sanctions pécuniaires plus sévères, qui pourraient aller jusqu’à 2% du chiffre d’affaires mondial de l’entreprise incriminée. On parle également d’un projet de réforme des moyens d’action et des pouvoirs des CNIL au niveau européen avec la création d’un guichet unique CNIL couvrant l’ensemble du territoire européen.
Mais la pression des lobbies du numérique est forte et nul ne sait quand ces évolutions verront réellement le jour.