[#4 Chronique mensuelle dédiée à la protection des données à caractère personnel]
Apprivoisez et dédramatisez le RGPD !
[Le saviez-vous ?]
L’année 2023 est une année particulièrement riche en matière de protection des données à caractère personnel.
👉Deux anniversaires : les 45 ans de la création de la CNIL et les 5 ans d’application du RGPD.
👉L’application de textes importants issus du « paquet numérique » pensé par l’Union européenne pour réguler son espace numérique qui pourront avoir, dans une mesure distincte pour chacun d’eux, des impacts sur les traitements de données à caractère personnel :
*Le règlement DMA (Digital Markets Act) du 14/09/2022 qui a pour objectif de lutter contre les pratiques anticoncurrentielles des géants d’internet et corriger les déséquilibres de leur domination sur le marché numérique européen[1]. Il est applicable, sauf exception, à compter du 02/05/2023.
Le DMA s’applique aux entreprises fournissant des services de plateforme essentiels, appelés les contrôleurs d’accès. Les services de plateforme essentiels concernés sont les suivants : services d’intermédiation en ligne, moteurs de recherche en ligne, services de réseaux sociaux en ligne, services de plateformes de partage de vidéos, services de communications interpersonnelles non fondés sur la numérotation, systèmes d’exploitation, navigateurs internet, assistants virtuels, services d’informatique en nuage, services de publicité en ligne. Les contrôleurs d’accès devraient être désignés par la Commission européenne d’ici au 06/09/2023.
*Le règlement DSA (Digital Services Act) du 19/10/2022 qui tend à responsabiliser les plateformes numériques et lutter contre la diffusion de contenus illicites/préjudiciables ainsi que celle de produits illégaux[2]. Il est applicable à compter du 17/02/2024 sauf certaines dispositions relatives aux très grandes plateformes en ligne et aux très grands moteurs de recherche pour lesquels il est applicable à compter du 25/08/2023.
Les premières très grandes plateformes en ligne et les premiers très grands moteurs de recherche en ligne concernés ont été désignés par la Commission européenne le 25/04/2023 (ceux qui comptent plus de 45 millions d’utilisateurs par mois dans l’Union européenne, soit 10 % de la population de l’Union européenne).
Pour les plateformes : Alibaba, AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipédia, Youtube, Zalando
Pour les moteurs de recherche : Bing et Google Search
* Le règlement DGA (Data Governance Act) du 30/05/2022 qui tend à promouvoir le partage des données (à caractère personnel ou non) via des services d’intermédiation de la donnée[3]. Il est applicable à compter du 24/09/2023.
👉A venir également, le Data Act[4], un règlement sur l’IA, le règlement e-privacy et une décision d’adéquation de la Commission européenne relative au transfert de données à caractère personnel vers les Etats-Unis ?
Ces textes devront être appliqués en cohérence avec le RGPD, dont les contours interrogent toujours. Exemples ? L’affaire Lusha[5] ou le cas de Chat GPT.
A l’heure où la réglementation sur le numérique, et corrélativement sur les données à caractère personnel, ne cesse de s’enrichir, force est de constater que les entreprises ne se sont pas saisies, encore à ce jour, de toutes les potentialités que leur offre le RGPD.
Elles semblent y voir davantage, pour nombre d’entre elles[6], des contraintes. Le nombre de contrôles de la CNIL, faible s’il est rapporté au nombre d’entités potentiellement concernées parait leur faire relativiser de beaucoup le risque de sanction effective.
Ce raisonnement est-il exact ?
Cela serait sans compter la porosité entre le RGPD et d’autres pans du droit, notamment le droit des affaires (nullité d’un contrat de création de site internet, concurrence déloyale, cession illicite du fichier client, invalidation de l’accès du public au registre des bénéficiaires effectifs, défaut de conformité du contenu ou service numérique…)
Et que dire de la réputation d’une entreprise vis-à-vis de ses clients de plus en plus interpellés quant au sort réservé à leurs données à caractère personnel.
En somme, l’application du RGPD au sein des entreprises ne doit pas être guidée par le taux de probabilité d’une sanction en cas de violation de la réglementation mais plutôt par :
- l’intérêt économique et concurrentiel que peut représenter son application,
- la cybersécurité,
- une démarche RSE
- et le concept de marque employeur, qui militent également pour une mise en conformité des traitements réalisés par les entreprises.
Alors, entreprises, apprivoisez et dédramatisez le RGPD !
Mon Cabinet d’avocat en droit des affaires situé à Laval, en Mayenne, est à votre disposition pour répondre à toutes vos questions !
Voir aussi :
AFCDP (RGPD)
RGPD et Syndicat : consultation de la CNIL
Open data des décisions de justice
[1] Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques)
[2] Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques)
[3] Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données)
[4] vraisemblablement dans le courant de l’année 2023, qui vise une meilleure répartition de la valeur issue de l’utilisation des données (à caractère personnel ou non) issus notamment de l’IoT entre les acteurs de cette économie.
[5] CNIL, Délibération SAN-2022-024 du 20 décembre 2022
[6] Hors entreprises travaillant dans le secteur de la data notamment