Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Ce que nous devons à l’Europe ! Vingt années de construction du marché unique de l’assurance

Depuis plus d’une vingtaine d’année, l’Europe construit progressivement le marché unique de l’assurance. Patiemment, elle institue un corps de règles pour protéger les consommateurs, ouvrir et réguler la concurrence.

La politique de concurrence, sur laquelle l’Europe a une compétence exclusive, a imposé des pratiques vertueuses qui étaient loin d’être partagées. Souvenons-nous que le marché français abritait des disparités énormes. Certains acteurs étaient exemptés des obligations du code des assurances pour la présentation d’opérations d’assurances, d’autres - près de 40% du marché - bénéficiaient d’exonérations fiscales importantes. Bref, la France, état de droit qui porte très haut l’étendard de l’égalité, faisait en sorte que certains étaient moins égaux que d’autres. Une situation que le droit européen assimile à des aides d’Etat.

Progressivement, ces inégalités de traitement ont régressé pour quasiment disparaitre. Non sans mal, parfois. Il a fallu l’action vigoureuse, au milieu des années 90, des organisations professionnelles (FFSA et FNSAGA aujourd’hui Agéa) auprès de la Commission européenne pour faire tomber les dernières résistances. Les gouvernements français successifs échouaient à instaurer ou faire respecter les mêmes règles pour tous. Certains intérêts s’avéraient trop puissants.

C’est donc l’Union européenne, forte d’une compétence exclusive en matière de concurrence et faisant preuve d’une volonté sans faille, qui a imposé une dynamique vertueuse. Les consommateurs en ont tiré un réel bénéfice. La compétition s’est accrue, particulièrement en France. Les professionnels aussi ont vu s’ouvrir de nouveaux espaces pour étendre leurs activités. Depuis le début des années 2000, le nombre d’acteurs a cru surtout dans les activités de distribution. Tels les CGPI ou les courtiers grossistes qui ont pu développer de nouvelles offres, le plus souvent performantes.

La libéralisation des marchés, bien que relative, est donc réelle. Elle s’accompagne de nouvelles règles parce que la régulation est indispensable, d’une part, et parce que la protection des consommateurs est devenue une préoccupation majeure, d’autre part. Ceci correspond à un mouvement de fond qui a été amplifié depuis la crise financière des années 2007 – 2010. Il n’est pas faux de constater que cette régulation est parfois tatillonne voire bureaucratique. D’où la nécessité d’améliorer les procédures et de les alléger. C’est d’ailleurs un des engagements de la commission Junker. Il serait en effet dommage que cette forme de bureaucratie contrarie la dynamique vertueuse impulsée par l’Europe. Car, si les bénéfices sont déjà bien réels, d’autres sont en gestation.

Les activités transfrontalières, aujourd’hui modestes, constituent de nouveaux territoires pour demain. La Commission s’est engagée à les promouvoir. La directive distribution va faciliter les formalités et nous pouvons imaginer sans peine que de nouveaux acteurs résolument européens vont chercher à se développer pour atteindre une taille critique qui leur permettra de se confronter aux concurrents américains qui pointent leur nez. L’économie digitale n’est freinée par aucune frontière, il faut que des champions européens émergent dans un cadre clair pour ne pas dire régulé.

Henri DEBRUYNE