Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Devoir et responsabilité de conseil. La jurisprudence impose des exigences, le législateur les transcrit.

La réglementation européenne harmonise les obligations du devoir de conseil. Dans la réalité, une jurisprudence abondante a édicté un corps de règles, particulièrement en France.

La loi entérine l’évolution sociétale constatée par les tribunaux. Cette observation, souvent relevée par les juristes, se trouve vérifiée à travers les exigences qui pèsent sur le devoir de conseil des intermédiaires et la responsabilité qui en découle. Avec des degrés divers et des exigences variables suivant les pays, fruits de leur histoire et de leur culture. Mais partout en Europe, la jurisprudence ne cesse de renforcer les obligations qui pèsent sur les professionnels. C’est le constat fait par CGPA Europe lors d’un colloque organisé sur ce thème le 16 mars dernier (www.cgpa-europe.com).

Graph NL84En fait, les clients et leurs avocats ont pris l’habitude de rechercher de manière systématique la responsabilité de l’intermédiaire. C’est notable en France où la CGPA observe que près de 60% des dossiers de sinistres déclarés en 2014 sont liés à un défaut de conseil. Cela est en soi révélateur. La France est à l’avant-garde, comme en témoigne la place croissante qu’occupe le devoir de conseil dans le contentieux de la Cour de cassation. Manifestement, les autres grands pays européens suivent le même chemin.

Le législateur ne fait pas novation. Il clarifie les obligations. La directive de 2002 (DIA1) a fixé un corps de règles que la nouvelle directive (DDA) renforce, formalise et étend à l’ensemble des distributeurs d’assurances. En effet, elle veut que le devoir de conseil ait une réalité. Il doit se traduire par une recommandation personnalisée, ce qui implique une justification des besoins et une formalisation claire des préconisations. Déjà la directive de 2002 avait préconisé la remise d’un document reprenant l’essentiel des besoins et les raisons qui motivent le conseil. La DDA franchit une étape supplémentaire qui consacre l’autonomie du conseil par rapport à l’acte de vente dont désormais il se distingue.

La jurisprudence ne dit pas autre chose et c’est ce que l’ACPR**a déjà cherché à faire en précisant les bonnes pratiques et notamment les modalités de recueil des informations sur les clients : leur profil et leur aversion au risque ainsi qu’à la traçabilité de leurs données. Cette formalisation marque une révision profonde des pratiques commerciales. La Directive distribution inscrit tout ceci dans un cadre plus clair et plus formel. Ce qui appelle deux observations.

La première est que cette préconisation personnalisée est l’essence même du métier d’intermédiaire qui, en professionnel averti, doit s’engager auprès de son client. Le législateur rejoint le juge en reconnaissant que le conseil est une absolue nécessité pour chaque consommateur. La seconde observation est que cela conduit à une approche plus globale de chaque client à la fois sur sa situation du moment, mais aussi sur la nécessité de l’accompagner tout au long de la durée de vie de ses contrats.

La formalisation imposée apporte un bénéfice en termes de qualité de l’information, de dimension du conseil et de respect des obligations contractuelles. Cela devrait permettre de mieux résister aux prétentions des clients qui considèrent, parfois abusivement, n’avoir pas été bien informés ou qui pourraient contester la pertinence de la recommandation délivrée. Les Tribunaux ont souvent relevé que les professionnels étaient dans l’impossibilité de prouver qu’ils avaient agi scrupuleusement et dans le meilleur intérêt de leur client. Dans la majorité des cas, faute d’avoir écrit, précisé et conservé la trace de leurs diligences.

* CGPA est le leader de l’assurance de responsabilité civile des professionnels de l’assurance en France,
www.cgpa.com
**ACPR : Autorité de Contrôle Prudentiel et de Révision C2013-R-01 du 8 janvier 2013. Recommandation 2013-R-01 du 8 janvier 2013

 

Henri DEBRUYNE