Un an après l’entrée en vigueur du RGPD, il nous faut constater que sa mise en œuvre pratique est loin d’avoir simplifié le cadre réglementaire du droit de la protection des données personnelles, et qu’elle a conduit à un mouvement sans doute irréversible de judiciarisation auquel les acteurs doivent activement se préparer.
Alors que ce règlement européen d’application directe, qui se substituait à la directive, se voulait être une réglementation d’harmonisation, sans différence d’interprétation entre les Etats membres, nous nous trouvons dans une situation bien différente : les dispositions locales peuvent varier d’un Etat à l’autre sur des questions aussi significatives que les données de santé ou la validité du consentement.
Contrairement à d’autres domaines règlementaires régis à l’échelle européenne qui instituent une autorité de supervision européenne à laquelle est conféré un réel rôle d’impulsion, le champ règlementaire du RGPD ne prévoit pas une telle autorité, de sorte que l’harmonisation repose sur une démarche participative des autorités.
Un autre facteur d’insécurité se pose pour les acteurs: la détermination de l’autorité compétente, dite autorité chef de file. Nous avons vu à travers sa récente décision1, que l’approche de la CNIL pour déterminer l’établissement principal, c’est-à-dire la localisation du centre de décision du traitement, peut diverger des anticipations et des choix des acteurs. Or, il est crucial pour les acteurs d’orienter leur trajectoire de conformité sur les lignes directrices pertinentes des autorités dont ils relèvent.
A notre sens, la cause première de cette incertitude porte sur les critères institutionnels de désignation d’un établissement principal retenus, qui sont déconnectés de l’approche organisationnelle de plus en plus matricielle des sociétés.
Ensuite, il faut noter que la nature de la relation des acteurs avec l’autorité de régulation a radicalement changé. Les autorités sont puissantes et le montant des sanctions pécuniaires prononcées peut atteindre 4 % du chiffre d’affaires mondial d’une société.
Et ce renforcement du pouvoir disciplinaire de la CNIL, conjoint à la sortie du régime de déclaration contrôlée, a conduit l’autorité à se distancier d’une approche préventive au cas par cas.
Désormais, pour toute difficulté d’interprétation pratique du texte, les acteurs semblent renvoyés à une approche de la notion d’accountability qui privilégie une responsabilité classique plutôt qu’une collaboration des différents acteurs : il leur faut désormais s’assurer de pouvoir justifier qu’ils ont eu les bons réflexes, sans avoir a priori obtenu de réponse de l’autorité.
Depuis un an, la recrudescence des contrôles diligentés par la CNIL et de ses sanctions vient définir les contours d’un nouveau contentieux.
La CNIL a confirmé sa volonté d’exercer effectivement son pouvoir de sanction en infligeant des amendes se disant «pédagogiques», qui ont vocation à impacter par effet «boule de neige» des secteurs entiers.
Les entreprises du digital ne sont pas les cibles privilégiées, comme en témoigne la dernière sanction publiée2 dont le montant infligé a atteint le plus haut pourcentage de sanction prononcé par l’autorité. Plusieurs questions se posent quant à l’appréhension de ce nouveau contentieux RGPD.
Premièrement, à la question de savoir si les acteurs peuvent légitimement s’attendre à une mise en demeure et un échange préalable avec la CNIL avant le prononcé d’une sanction, la réponse n’est plus affirmative par principe dans la mesure où un manquement avéré de longue date peut entraîner des sanctions immédiates3. Et si la CNIL ne visait jusqu’à présent que les manquements à des obligations antérieures au RGPD, la période de tolérance ayant officiellement pris fin, la pratique d’une démarche de conciliation devrait s’amoindrir. Par conséquent, les premiers contacts avec l’autorité seront déterminants pour la suite.
Ensuite, plusieurs arguments procéduraux devraient jouer un rôle croissant à l’avenir. D’abord, la question du contrôle des pouvoirs d’investigation de la CNIL, qui devraient d’ici peu être encadrés par un guide de bonne pratiques de l’autorité, lequel sera passé au peigne fin par les praticiens pour assurer aux acteurs le respect de leurs droits. Un autre débat procédural semble avoir de beaux jours devant lui: celui de la compétence de l’autorité de régulation, qui soulève les incertitudes juridiques mentionnées ci-dessus.
S’agissant des arguments de fond, à défaut d’une harmonisation des pratiques, les choix faits par les organismes transfrontaliers en terme de conformité s’opposeront au corpus réglementaire développés par l‘autorité chef de file.
A cet égard, la confrontation des lignes directrices au contrôle jurisprudentiel exercé par une instance judiciaire, va prendre toute son importance. Rappelons que nous sommes dans un contexte où l’autorité de contrôle exerce simultanément un pouvoir normatif par le biais de ses lignes directrices et un pouvoir de sanction.
Il résulte des premiers arrêts rendus que le Conseil d’Etat entend quant à lui faire usage de son pouvoir de contrôle de la légalité de la sanction, en tenant compte de l’attitude coopérative des acteurs mis en cause pour modérer le montant des amendes prononcées.
La stratégie contentieuse des acteurs devra donc commencer très en amont pour couvrir une amplitude pouvant conduire jusqu’à une décision du Conseil d’Etat. Il faut s’y préparer.
1. Délibération 2019-001 du 21 janvier 2019 Google LLC.
2. Délibération 2019-005 du 28 avril 2019 SERGIC.
3. CE 17 avril 2019 n° 422575 Optical Center.