La petite histoire du RGPD, du minitel à Edward Snowden

A l’origine, le bon vieux couple franco-allemand…

Sans aucun doute, le RGPD compte parmi ses ancêtres la loi française du 6 janvier 1978, dite « informatique et libertés », qui visait à protéger les individus du risque de fichage à partir de leur numéro de sécurité sociale.

« Mais c’est le développement des technologies informatiques qui va déclencher une action internationale », explique Maître Sybille Bose-Tarsia, avocate à Berlin et spécialiste des questions relatives à la protection des données personnelles. Entre le Minitel et les premiers ordinateurs, les données commencent à circuler d’un pays à l’autre et une coopération inter-états devient indispensable. Des lignes directrices sont alors adoptées par l’OCDE en 1980, puis une directive européenne en 1995, toutes largement inspirées de la loi française.

L’Allemagne aussi est pionnière sur le sujet, à travers « une tradition libérale très forte, qui sacralise le respect de la vie privée ». La première loi fédérale en matière de protection des données – le Bundesdatenschutzgesetz (oui, oui) – naîtra en 1977 et sera précisée par un jugement de la Cour constitutionnelle qui établit le droit à « l’autodétermination informationnelle » de l’individu. Rappelons que l’Allemagne est le premier pays à avoir fait plier Google Street View pour le floutage des immeubles !

Les Etats-Unis, partenaire et ennemi

En publiant en mai 2016 le RGPD, l’Europe adopte une nouvelle approche, cette fois par les risques. « Jusque-là, les entreprises devaient simplement fournir un certain nombre d’informations », décrit Maître Boese-Tarsia. Désormais, on s’oriente vers la prévention et la détection des infractions, et de manière beaucoup plus sévère. Certes, en France et en Allemagne notamment, l’absence de consentement préalable des utilisateurs au traitement de leurs données personnelles était déjà illégale, mais la mesure était peu suivie et les amendes n’excédaient pas 300 000 euros : pas de quoi faire trembler Google ! Désormais, elles peuvent atteindre jusqu’à 10 ou 20 millions d’euros, ou encore 2 à 4% du chiffre d’affaires annuel ( selon l’importance de l’infraction).

Ce changement reflète, entre autres, une relation particulière avec les Etats-Unis : précurseurs dans la prise de conscience des impacts sur la sphère privée, alliés dans la circulation et le traitement des données, mais aussi ennemis potentiels, comme l’a montré la surveillance de masse orchestrée par la NSA…

Les 9 principes du RGPD

• Transparence et loyauté : Toute collecte des données personnelles est interdite, sauf si consentie par le concerné ou la loi. L’utilisateur doit être informé et donner son consentement au préalable.
• Minimisation : seules les données nécessaires doivent être collectées.
• Proportionnalité : c’est le rapport entre données recueillies et finalité. « Chaque information est collectée pour une finalité unique, pertinente et bien précise », insiste Maître Bose-Tarsia.
• Sécurité : Les mesures techniques doivent être en place. Les données doivent rester confidentielles.
• Réactivité : les données doivent être précises, et régulièrement mises à jour pour rester exactes.
• Information : les personnes concernées disposent d’un droit de rectification, de portabilité, et de suppression de leurs données.
• Conservation limitée : une durée de conservation adéquate doit être définie pour chaque type de donnée, qui dépend parfois de la législation spécifique (fiscalité, droit du travail, etc.).
• Territorialité : le RGPD s’applique à toutes les organisations, quelle que soit leur nationalité, du moment qu’elles traitent des données de ressortissants de l’Union européenne
• Co-responsabilité : le responsable du traitement des données est co-responsable avec ses fournisseurs devant les lois.

Mais le RGPD ne se limite pas à une liste de principes !
Pour tout savoir, téléchargez notre ebook ci-dessous.

A propos de Sybille Boese-Tarsia

Avocate inscrite au barreau de Berlin, Sybille Boese-Tarsia commence par exercer en libéral à Berlin et Bruxelles, puis au sein de cabinets d’avocats belges, anglais et italiens. Pendant une vingtaine d’années, elle travaille ensuite dans des directions juridiques d’entreprises aussi bien américaines qu’européennes ou asiatiques.

En parallèle, Sybille Boese-Tarsia publie de très nombreux articles dans la presse spécialisée, participe régulièrement à des conférences d’envergure internationale et organise des formations juridiques sur le droit antitrust et la protection des données personnelles. Elle est certifiée pour exercer en qualité de correspondant informatique et libertés (CIL) ou Data Privacy Officer (DPO) au sein de l’Union européenne.

Visiter le site web.