Cette infographie est issue du groupe de travail « Quelle synergie et quel partenariat entre RSSI et DPO? » du CLUSIF. Elle résume le Règlement Général sur la Protection des Données. Elle ne peut pas être exhaustive mais elle offre une grille de lecture graphique et synthétique pour découvrir la portée de la règlementation, puis s’y référer ultérieurement.
Une infographie publiée par le CLUSIF.
Une infographie publiée par SHEO TECHNOLOGY.
Le renforcement des règles relatives à la protection des données à compter de mai 2018 se traduira par un renforcement du contrôle par les citoyens de leurs données ainsi que par l’accroissement des avantages que pourront tirer les entreprises de conditions de concurrence équitables. Un seul ensemble de règles pour toutes les entreprises exerçant des activités dans l’UE, indépendamment du lieu où elles sont établies. Découvrez quelles sont les incidences pour votre PME.
Le développement de la récolte des données par les marchés numériques et la multiplication des objets connectés ont permis l’émergence de nouveaux acteurs qui réalisent d’importants chiffres d’affaires avec des modèles économiques impliquant la collecte et l’exploitation commerciale des données.
Ces évolutions technologiques ont donc conduit le droit à les prendre en compte, mais ce n’est que récemment que le droit de la concurrence à commencer à s’interroger sur la récolte et la gestion des données personnelles par les entreprises.
Deux branches du droit originairement séparées
Historiquement et à plusieurs reprises, la Cour de Justice des Communautés Européennes comme la Commission Européenne ont été amenées à rappeler la séparation entre ces deux droits.
Ainsi, dans l’analyse de l’acquisition de WhatsApp par Facebook en 2014, la Commission Européenne choisit de ne pas retenir la dimension “données personnelles” dans son analyse, et ce malgré la proposition des avocats de Facebook[1]. À cette occasion, la commission rappelle que les préoccupations concernant la protection de la vie privée n’entraient pas dans le périmètre du droit européen de la concurrence, mais relève de la réglementation de protection des données personnelles[2].
Un nouveau contexte de prise en compte accrue en 2016
L’année 2016 marque une accélération de la collecte de données et un renforcement des positions dominantes sur ce secteur ce qui amène à une prise en compte accrue de ces problématiques, notamment par l’Autorité de la Concurrence française et le Bundeskartellamt allemand.
Cette même année, l’Autorité française le 23 mai 2016 s’autosaisie pour rendre un avis afin d’analyser les conditions d’exploitation des données dans le secteur de la publicité en ligne[3]. Le 2 mars 2016 le Bundeskartellamt ouvre une procédure contre Facebook visant à déterminer si la validation des conditions générales de Facebook par laquelle l’utilisateur consent à l’utilisation des données personnelles les concernant peut être associée à un abus de position dominante du célèbre réseau social[4].
Rapport conjoint de l’Autorité de la Concurrence et le Bundeskartellamt : “Droit de la Concurrence et données”
Toujours en 2016, l’autorité de la concurrence française et le Bundeskartellamnt allemand ont publié une étude[5] sur les enjeux liés à la protection des données à l’ère des Big Data. Le rapport met en lumière le nécessaire rapprochement entre le droit de la concurrence et le droit au respect de la vie privée, et invite les autorités nationales de la concurrence des États Membres à tenir compte de la protection des données personnelles pour l’avenir.
Le rapport alerte notamment sur le fait que plusieurs pratiques liées à la collecte et à l’usage des données d’une entreprise comme des particuliers peuvent soulever des préoccupations au niveau la concurrence. Le rapport fait notamment le lien entre données, pouvoir de marché et préoccupation en matière de violation de la vie privée, notamment en cas de contrôle des concentrations et d’appréciation d’abus de position dominante.
Situation en Europe suite à la réforme de mai 2018
Publiée en 2016 et entré en application dans les états membres le 25 mai 2018[6] le RGPD est l’initiale de Règlement Général pour la Protection des Données et désigne la dernière directive européenne concernant les données personnelles[7].
Le RGDP comprend notamment de nouvelles obligations relatives à la portabilité des données personnelles et à la responsabilisation des dépositaires de ces données qui impactent fortement les usages marketing qui se rapportent à ce type de données. Il instaure de nouvelles obligations à la charge des responsables de traitement, notamment l’obligation de protéger la vie privée dès la conception du produit ou du service, communément désignée par l’expression « Privacy by Design »[8].
L’objectif de la réglementation est d’anticiper tous les risques liés à au traitement de données à caractère personnel via l’adoption de mesures proactives destinées à améliorer la confiance des utilisateurs et à apporter un avantage compétitif avec en contrepartie un allègement des formalités préalables[9]. Le système mis en place par le RGPD est largement inspiré de ce qui se fait en droit de la concurrence[10].
Paradoxe du RGPD
À l’origine le RGPD, loin d’être une contrainte de plus, est perçu comme un moyen pour l’Europe de mieux s’affirmer face aux pouvoirs des GAFA (Google, Apple, Facebook et Amazon) et aux citoyens européens de mieux maîtriser leur vie numérique. Pourtant, ce règlement peut renforcer le duopole de data de Google et Facebook en le protégeant encore mieux de ses concurrents actuels et futurs[11]. En effet, se mettre en conformité avec le RGPD est particulièrement complexe, coûte beaucoup d’argent et de temps, dans un environnement d’incertitude juridique les consommateurs cherchent la sécurité et la sécurité se trouve chez les gros acteurs enfin, les sites de service tels que Facebook ou Google auront beaucoup moins de mal à obtenir ces consentements que d’autre notamment ceux qui ont des produits à vendre pour qui la collecte de données est secondaire[12].
Une étude réalisée par Louis Janicot, Arthur Belmer, Arnaud Gaillard, Ulysse Olivier, Patrick Péladeau, Thomas Rigaudiere.
[1] http://www.protection-des-donnees.fr/wp-admin/post-new.php
[2] Cependant la même année 2014, GDF Suez, est épinglée par l’autorité de la concurrence française pour abus de position dominante. Dans cette affaire, l’utilisation d’un fichier client, et donc de données personnelles, devient pour la première fois un motif de condamnation pour abus de position dominante. Son successeur Engie sera condamné pour le même motif en 2017.
[3] http://www.autoritedelaconcurrence.fr/user/standard.php?id_rub=629&id_article=2777
[4] https://www.lemonde.fr/pixels/article/2016/03/02/l-autorite-de-la-concurrence-allemande-ouvre-une-enquete-contre-facebook_4875050_4408996.html
[5] http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf
[6] https://www.usine-digitale.fr/article/quelles-incidences-de-la-protection-des-donnees-personnelles-sur-le-droit-de-l-entreprise.N545763
[7] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
[8] https://www.usine-digitale.fr/article/quelles-incidences-de-la-protection-des-donnees-personnelles-sur-le-droit-de-l-entreprise.N545763
[9] https://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/
[10] https://www.grall-legal.fr/fr/rgpd-reglement-general-relatif-a-la-protection-des-donnees-personnelles/#.W186BLh9iUk
[11] https://www.forbes.fr/technologie/rgpd-lespace-de-liberte-est-superieur-a-la-protection-des-donnees/
[12] http://www.strategies.fr/blogs-opinions/idees-tribunes/4007568W/google-et-facebook-peuvent-dire-merci-au-rgpd.html
-harmoniser la réglementation dans tous les pays ★ européens, même si 50 points restent adaptables nationalement.
Toute organisation détentrice de données personnelles a la responsabilité de sécuriser leur traitement de façon à garantir le respect de la vie privée des personnes concernées. Elle doit être en mesure de prouver sa capacité à le faire et doit notifier toute faille ou fuite de données.
Pour collecter des données personnelles, il faut demander le consentement libre et éclairé de la personne en lui précisant l’usage visé des données, leur durée de rétention et leur éventuelle communication à des tiers.
La protection de la vie privée passe par une limitation par défaut du risque. En intégrant cette démarche dès la conception d ’ une solution, en limitant au minimum les informations collectées et leur durée de rétention, en pseudonymisant les données dès que possible…
Les organismes doivent transmettre sur demande d’un individu l’ensemble des données personnelles le concernant sous une forme exploitable. Extension du droit d’accès, ce droit à la portabilité doit favoriser la concurrence en permettant de changer de fournisseur sans perdre ses données.
4% du chiffre d’affaires annuel mondial le plafond des amendes qui peuvent frapper les entreprises en infraction
