Nombre d’entreprises voient d’un mauvais œil les nouvelles obligations qui leur sont imposées, celles-ci constituant (selon elles) un frein - sinon la mort - de leur modèle économique. Elles voient en ce « texte élaboré par des bureaucrates européens » une tentative désespérée de brider l’utilisation de la matière la plus précieuse de notre ère : LA donnée.
Le postulat consiste à se demander si à l’aube du tout connecté, de l’« Internet-of-All-Things » (l’Internet de tous les objets), le sens de l’histoire consiste à entraver la libre utilisation des données, quand bien même celles-ci seraient personnelles.
Une nouvelle forme de « religion », le dataïsme, place la donnée et son traitement comme la clé de compréhension de notre monde, voire de l’Univers (pour un approfondissement sur cette notion, lire : « Homo deus – Une brève histoire de l’avenir » du Professeur Yuval Noah Harari).
Toute norme visant à contrôler - voire interdire - la possibilité de traiter des données, en particulier des données personnelles, irait donc à contre-courant de l’histoire et de l’avenir.
Imaginez un instant qu’un algorithme soit en mesure de diagnostiquer votre état de santé en temps réel, 24h sur 24, 7 jours sur 7 et de vous prescrire les meilleurs soins adaptés à vous et à personne d’autre.
Il ne s’agit pas de fiction mais de l’avenir que les mathématiciens et les biologistes sont en train de mettre en place.
Or, pour beaucoup d’entreprises, le RGPD est synonyme d’obligations, d’interdiction, de contrôle et de sanctions.
Dire que cela est faux, sans nuance, serait un mensonge. Mais dire que cela est vrai, sans plus de nuance, serait une aberration et une incompréhension de ce texte.
Comme bien souvent, il existe un juste milieu dans les analyses quelles qu’elles soient quand on les confronte avec rigueur à la réalité.
Il suffit pour cela de relever, à titre d’exemple, que l’intitulé exact et complet du RGPD est le suivant : « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ».
« Libre circulation de ces données »… vous avez bien lu.
Le RGPD vise bel et bien la libre circulation des données à caractère personnel.
Dès lors à l’affirmation : « le RGPD interdit », nous pouvons répondre par la négative teintée d’une forme de nuance: « le RGPD n’interdit pas…il encadre ! ».
Prenons par exemple le cas du traitement des données sensibles, sujet très sensible, comme son nom le laisse supposer.
L’article 9 du RGPD intitulé « Traitement portant sur des catégories particulières de données à caractère personnel » dispose en son premier alinéa :
« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits ».
Force est de constater que le RGPD interdit… alors lisons le second alinéa de ce même article :
« Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie :
[…] ». S’ensuit une énumération de 10 conditions alternatives (et non cumulatives) dont la première est : « la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ».
Dès lors, si interdiction absolue il y a, elle ne sera pas le fait du RGPD mais celui de la personne concernée ou d’une autre norme légale.
Autre exemple souvent évoqué pour laisser entendre que le RGPD empêche :
« il est interdit de transférer des données à caractère personnel en dehors du territoire de l’Union européenne ».
Là encore, lisons ce que dit le RGPD en son article 44 intitulé : « Principe général applicable aux transferts » :
« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis ».
Les articles suivants expliquent comment transférer licitement des données à caractère personnel hors du territoire de l’Union européenne.
Vous l’aurez compris, le RGPD n’interdit pas, il encadre.
Généralement, l’obtention de l’autorisation éclairée des personnes concernées par le traitement de données suffit à le rendre licite.
Comme bien souvent en droit, les principes énoncés avec fermeté sont accompagnés d’une série d’exceptions applicables sous la condition sine qua non que certains critères soient remplis.
Le RGPD n’échappe ni plus ni moins pas à la règle.
Le RGPD ne cesse de nous rappeler que, si on ne peut pas aller contre la libre circulation et le traitement des données, il faut absolument s’assurer de l’avoir fait avec éthique.
Ne l’oublions pas, celui qui traite des données personnelles d’un individu, traite l’individu lui-même. A grande échelle, il traite l’humanité.
L’accompagnement de mise en conformité au RGPD n’a et n’aura donc pas pour but de vous empêcher d’effectuer des traitements de données personnelles ou de brider vos initiatives économiques mais, au contraire, de les réaliser en les encadrant conformément à ce que la loi attend de vous…
Ajouter un commentaire