Le 25 mai 2018 – il y a un an déjà, mais pourtant, il n’y a qu’un an seulement. Les deux années de préparation à l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD ») ont donné lieu à une abondance de communications sur les sanctions substantielles d’un manque de conformité, et pourtant…Force est de constater que cette préparation fut plutôt timorée. Sans doute les réminiscences d’un bug de l’an 2000 et de son « pschitt » retentissant, mais surtout l’absence de cadre réglementaire complet, ont-elles suscité une approche attentiste au regard des investissements, humains, opérationnels et financiers, conséquents d’une mise en conformité potentiellement temporaire.

Le temps de l’attente a très rapidement fait place à celui de l’action.

Action interprétative, tout d’abord, avec les publications successives de lignes directrices didactiques par le régulateur européen, les consultations ouvertes aux acteurs de la donnée à caractère personnel, et surtout, les autorités de supervisions nationales. Les premières sanctions nationales continuent de tomber dans chaque État-Membre et soulignent les disparités persistantes malgré l’ambition harmonisatrice du RGPD.

Action opérationnelle, également, avec la prise de conscience globale des responsables de traitements et, surtout des sous-traitants, à travers le monde. Si ces derniers semblent avoir opportunément saisi l’excuse du RGPD pour renégocier à leur avantage les termes de leurs contrats de services, invoquant la nécessaire mise en conformité réglementaire, face à des clients parfois peu au fait des tenants et aboutissant de ce texte, le marché dans son ensemble a rapidement gagné en maturité.

Action préventive, aussi, et parfois à l’extrême, avec la fermeture par des acteurs non-Européens des accès à des services fournis aux utilisateurs européens.

Action internationale, enfin, avec les prémices d’un effet collatéral attendu d’une réglementation européenne au périmètre extraterritorial. Le Japon a pu obtenir la première décision d’adéquation d’une législation étrangère au RGPD. La République de Corée, le Brésil, le Maroc, le Qatar, le Panama et d’autres s’activent à mettre à jour leur droit interne en raison du RGPD et de ce sésame européen qui libéraliserait les transferts de données dans une économie intrinsèquement numérique et irrémédiablement globale.

Dans le même temps, les questions continuent de s’accumuler : la portée extraterritoriale du RGPD a-t-elle une quelconque matérialité sans point d’attache pour exécuter une éventuelle sanction ? Quel partage de responsabilité entre les différents acteurs d’une même chaîne de valeur ? Les principes généraux du RGPD peuvent-ils réellement trouver à s’appliquer à des cas de marges ?

La « saga » du RGPD ne fait que commencer. Nous avons conçu ce dossier à la manière d’un feuilleton. À défaut d’être en mesure de proposer toutes les vérités absolues, nous nous sommes penchés sur les questions immuables qu’il convient de se poser.

Les Shadoks préféraient pomper d’arrache-pied, même s’il ne se passe rien, que de risquer qu’il ne se passe quelque chose de pire en ne pompant pas. Cette philosophie n’est pas sans rappeler parfois les données à caractère personnel. Pompier… bon œil ?

Première publication : Revue Lamy Droit de l’Immatériel n°160 – Juin 2019

Cité par :

• Le Lamy droit du numérique – 416 – Objectifs principaux (Partie 2 Numérique et libertés – Division 1 Le traitement des données à caractère personnel – Chapitre 1 Historique du dispositif de protection des données personnelles – Section 4 Les travaux de l’Union européenne – § 4. Les règlements européens