A l’entrée du troisième millénaire, la protection des données des citoyens européens a été érigée au rang des libertés par la Charte des droits fondamentaux de l’Union Européenne et son article 8 : « Toute personne a le droit à la protection des données la concernant ».¹ Dix-huit ans plus tard, ce dernier revêt une portée significative.

En effet, l’adoption du Règlement Général sur la Protection des Données² (ci-après le « RGPD ») démontre la volonté de l’Union Européenne de donner à ses citoyens la possibilité de contrôler les traitements effectués par des tiers de leurs données à caractère personnel. Il convient de souligner que le choix du règlement n’est pas anodin puisque que ce texte est directement applicable au sein des Etats membres, sans nécessité de le transposer en droit interne.

L’Union Européenne a donc envoyé un message fort à ses citoyens et au reste du monde, en promulguant une législation impérative et pratiquement uniforme sur tout son territoire, s’appliquant à tous les traitements de données à caractère personnel effectués au sein de l’Union Européenne ou affectant ses citoyens.

La volonté de légiférer est logiquement liée à des mobiles économiques et politiques. L’Union Européenne affirme sa volonté de donner aux individus le pouvoir de contrôler l’usage qui est fait de leurs données par les entreprises, et indirectement de limiter l’influence des entreprises dont l’activité principale réside justement dans le traitement des données à caractère personnel, et en particulier des géants américains du Web, les GAFA.³

Ce sujet est particulièrement sensible, surtout depuis le scandale « Cambridge Analytica » qui a révélé que 87 millions de profils Facebook avaient été utilisés à l’insu de leurs titulaires à des fins politiques. Les données personnelles de ces utilisateurs ont été collectées puis exploitées sans leur consentement afin d’influencer le vote des grands électeurs lors des dernières élections présidentielles aux Etats-Unis. Les excuses présentées par Mark ZUCKERBERG devant le Sénat américain puis devant le Parlement européen le 22 mai dernier ont été interprétées comme une reconnaissance du caractère déficient des mécanismes législatifs existants dont le but est de protéger les données à caractère personnel. Dès le 25 mai 2018, date d’application du RGPD, plusieurs plaintes collectives ont été déposées par des associations à l’encontre des géants américains.

Par ailleurs, le Parlement européen presse les dirigeants européens d’accélérer les négociations afin d’adopter le Règlement e-privacy , dont il était prévu qu’il commence à s’appliquer concomitamment au RGPD. Le projet de Règlement e-Privacy, adopté par la Commission européenne le 11 janvier 2017, a pour objet de  garantir la confidentialité des communications électroniques. Il s’agit d’un texte de droit spécial, qui a vocation à compléter le RGPD.

Ce texte, également directement applicable dans les Etats membres de l’Union Européenne, vise à encadrer les services de communication électronique et à protéger les informations liées aux équipements terminaux des usagers. Concrètement, les messageries instantanées telles que WhatsApp, Facebook, Messenger et Viber relèveront de son champ d’application matériel.

Tout comme le RGPD, le critère d’extra territorialité est retenu : le texte s’applique dès lors que les utilisateurs finaux sont situés sur le territoire de l’Union Européenne.
En cas de violation de ce nouveau Règlement, les sanctions financières sont similaires à celles du RGPD et peuvent donc atteindre des sommes très importantes : 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Les entreprises du numérique s’opposent fermement à l’adoption de ce projet de Règlement qui prévoit également une réglementation plus stricte et harmonisée des cookies. Rappelons que les cookies sont des fichiers invisibles qui se greffent sur un terminal pour capter des données afin de parvenir à une traçabilité de la navigation des utilisateurs – « tracking ». Or, le « tracking » représente un enjeu majeur pour les entreprises qui adressent des publicités ciblées. Ainsi, leur encadrement juridique représenterait un manque à gagner pour les entreprises du numérique. Pour l’heure, compte tenu de leur lobbying intensif, il est peu probable que ce texte soit adopté avant la fin de l’année 2018.

M&B Avocats


¹ Article 8 de la Charte des droits fondamentaux de l’Union Européenne
²Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
³Acronyme utilisé pour désigner les Géants du Web : Google, Apple, Facebook, Amazon
Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)