31/01/2023
Légende image : Journée de la protection des données – SMEX
JOURNÉE MONDIALE DE LA PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL
Quel est le bilan relatif à la protection des données ?
Le 28 janvier marque la journée mondiale de la protection des données à caractère personnel, une aubaine pour faire le bilan des faits majeurs ayant abouti à des décisions importantes en la matière.
Née d’une idée commune du Comité des Ministres du Conseil de l'Europe , la journée de la protection des données ou « Privacy day » voit le jour le 26 avril 2006 d’abord en Europe à l’occasion de la signature de la convention 108, puis sera adoptée en dehors du continent pour en faire un évènement d’envergure mondiale célébré chaque 28 du premier mois de l’année.
Loin d’être une simple journée de commémoration, l’objectif de la « privacy day » est d’abord de sensibiliser le public sur les enjeux liés à la protection de la vie privée sur internet, particulièrement pour les profanes du droit de la protection des données.
Ensuite, pour les entreprises c’est l’occasion pour elle d’entreprendre les démarches pour une mise en conformité aboutie conformément à la réglementation en vigueur ou renforcer la sécurité de leurs systèmes d’information (SI) en vue de garantir aux consommateurs une protection adéquat de leurs données.
Enfin, nous pouvons évoquer les autorités de protection qui ont l’obligation d’assurer un contrôle minutieux des activités et pratiques aussi bien des entreprises que des particuliers sur les questions de traitement de données à caractère personnel. Nous avons essayé de nous intéresser justement aux sanctions prononcées par lesdites autorités qui ont renforcé le droit de la protection des données durant l’année écoulée.
Les principaux enjeux : les sanctions pécuniaires et administratives
Il faut déjà rappeler que le droit à la protection des données à caractère personnel est un droit fondamental dont le respect constitue un objectif important pour l’Union européenne. Il est consacré par la charte des droits fondamentaux de l’Union européenne qui dispose, en son article 8, que :
« Toute personne a droit à la protection des données à caractère personnel la concernant »
Ainsi, d’un côté le Contrôleur Européen de la Protection des Données a établi dans le cadre de ses missions le top 3 des plaintes reçues et traitées en 2022. Elles portent essentiellement sur :
Le droit d’accès des personnes ;
Le droit à l’effacement des données ;
Le principe de la proportionnalité des données collectées
Le droit d’accès signifie que les personnes concernées par les traitements peuvent demander par exemple « quelles données les administrations, les organismes publics ou privés et les sociétés commerciales détiennent dans leurs fichiers » sur elles.
Quant au droit à l’effacement , il implique le retrait du consentement de la personne concernée c’est-à-dire sa volonté de ne plus voir ses données être traités et se traduit par la suppression de celles-ci.
Enfin, la règle véhiculée par le principe de proportionnalité est que seules les données à caractères personnel indispensables au traitement envisagé peuvent faire l’objet de collecte.
D’un autre côté, il ressort de plusieurs arrêts rendus par la Cour européenne de justice et des décisions de la Commission Nationale de l'Informatique et des Libertés (CNIL) que tant les grandes entreprises à l’instar des GAFAM que les PME, tombent régulièrement sous le coup de lourdes sanctions pécuniaires. En effet, le Règlement Général sur la Protection des Données (RGPD) a prévu des sanctions dissuasives (4% du chiffre d’affaires global pour les grandes entreprises ou 20 millions pour les TPE/PME) et depuis son entrée en vigueur effective ce n’est pas moins de 99 sanctions durant ces dernières années.
Concernant la Cour européenne de justice, ses sanctions ont porté entre autres sur les questions liées à la sécurité des données des consommateurs , au droit d’accès des personnes et au principe de la proportionnalité des données etc.
La CNIL, pour sa part dans le cadre de ses missions de contrôle, a prononcé à l’encontre des GAFAM de très lourdes sanctions pour non-respect de la législation en matière de gestion des « cookies ». Elle a sanctionné notamment GOOGLE à hauteur de 150 millions d’euros, FACEBOOK et MICROSOFT à 60 millions d’euros et contre AMAZON, 35 millions d’euros, soit une valeur totale de 305 millions d’euros d’amende.
Les cookies sont une technologie originellement utilisée pour assurer une connexion confortable à l’utilisateur. Cependant, avec l’évolution des pratiques commerciales, ils sont devenus rapidement un outil efficace pour faire de la publicité intempestive sans tenir compte de la volonté de l’internaute. La collecte importante des données des utilisateurs et les risques qui y sont liés ont poussé les législateurs de plusieurs pays à adopter des mesures contraignantes à l’instar de CNIL pour les entreprises afin d’éviter de graves atteintes aux droits des personnes.
En outre, les sanctions peuvent aller jusqu’au retrait de l’autorisation de traitement des données à caractère personnel sans préjudice des poursuites pénales.
Ainsi, nous avons pu faire un tour d’horizon sur la question de la protection des données là où tout a commencé, en Europe. De nombreuses leçons de dégagent des sanctions prononcées contre la violation des règles établies en la matière et tous les acteurs engagés sur cette thématique de la protection des données doivent continuer de la promouvoir afin de sauvegarder les intérêts en jeu.
