Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Le devoir de conseil en question ?

Tout en promouvant le conseil la directive distribution de l’assurance ouvre la faculté de vendre des produits d’assurance sans conseil. Le choix qui en incombe aux Etats, soulève de multiples questions.

La directive n’exige pas la fourniture d’une recommandation personnalisée. Toutefois, elle impose une évaluation des exigences et des besoins des clients. Cette disposition limite fortement les ambitions initiales du texte, telles qu’elles avaient été présentées par le commissaire Barnier*. La recommandation personnalisée, ainsi formulée par la directive, est l’une des orientations fortes de ces nouvelles règles. Les Pouvoirs publics affichent ainsi l’ardente nécessité de proposer aux consommateurs des produits adaptés à leurs besoins et respectueux de leurs intérêts.

Cette orientation louable était confortée par les Pouvoirs publics français. Christian Noyer, Gouverneur de la banque de France affirmait le 4 novembre 2014** que l’ACPR, favorable au maintien du conseil intégré à la vente, veille à maintenir un socle d’exigences non détachables du produit lui-même afin d’éviter la généralisation de ventes non conseillées. Position claire et sans ambiguïté.

Au moment où s’amorce la transposition de la directive en droit français, il semble que les ambitions soient réduites. A tout le moins, qu’une version minimalisée du conseil soit possible ou favorisée, comme l’Allemagne semble en avoir fait le choix. Alors, conseil pas conseil ?

A l’évidence, l’obligation de conseil se marie difficilement avec certaines formes de vente, qu’elles soient accrochées à des objectifs forts de développement ou qu’elles s’appuient sur des moyens qui ne favorisent pas le temps nécessaire et incontournable pour délivrer un conseil digne de ce nom. Faut-il pour autant satisfaire à ces méthodes, par ailleurs décriées et que l’esprit de la directive envisage de contraindre ? C’est la question qui est posée aux Pouvoirs publics en même temps qu’aux professionnels du secteur ainsi qu’aux organisations de consommateurs.

Quoi qu’il en soit, trois questions se posent. Si des formes différentes de vente doivent cohabiter, comment le consommateur en sera-t-il informé ? Les distributeurs qui pratiqueront la forme « limitée » auront-ils l’obligation d’indiquer qu’ils ne délivrent pas de conseil et que la vente du produit est seulement assortie d’une information ou d’une règle d’adéquation ? Pour éviter une réelle distorsion de concurrence, assortie d’un manquement évident au devoir de clarté, cela serait la moindre des choses. Convenons qu’il ne sera pas facile de dire nous vous vendons un produit, mais nous le faisons sans vous donner de conseil ! Enfin, un distributeur pourra-t-il alternativement vendre avec ou sans conseil en fonction du moment ou des opportunités. Ou le choix de pratiquer l’une ou l’autre sera t’il formalisé, encadré et d’une certaine manière irrévocable ? La transparence l’imposera, sinon la confusion des consommateurs sera encore plus grande.

L’autre question est liée au différentiel économique. Une vente sans conseil devrait être logiquement moins onéreuse. Cette « économie » sera-t-elle obligatoirement affichée et répercutée vers le client ? Aujourd’hui, dans la situation actuelle du marché de l’assurance en France, rien ne permet d’affirmer que les systèmes de vente à distance ou dont les pratiques sont fondées sur des méthodes très rationnalisées sont moins consommatrices de frais généraux que les systèmes traditionnels.

Un débat qui ne fait que commencer, mais qui est vraiment important !

Henri DEBRUYNE

*Bruxelles Le 3 juillet 2012 ;
**ouverture du colloque de l’ACPR le 4 novembre 2014