La mainmise de l’Union Européenne s’étend:avec le RGPD (Règlement Général sur la Protection des Données personnelles des citoyens) applicable en mai 2018
Le General Data Protection Regulation (GDPR), en français, Règlement Général sur la Protection des Données (à caractère personnel) est une directive votée par l’Union Européenne et qui entrera en vigueur le 28 mai 2018.
Il s’agit d’instituer des obligations, pour les sociétés et organisations, sur la protection des données personnelles des citoyens des 28 états membres en unifiant ainsi les règles locales.
En France, ce sont les Lois Informatiques et Libertés qui deviendraient, en grande partie, caduques en étant remplacées par celles imposées par la RGPD. Les obligations vis-à-vis de la CNIL se transformeront, cet organisme se verra ainsi transformé en simple agence locale, une “autorité de contrôle” du Comité Européen de Protection des Données, organe exécutif de la commission sur ces sujets.
Le parti Debout La France identifie ces deux points comme une nouvelle atteinte à notre libre arbitre national.
Le Contrôleur Européen de la Protection des Données aura, en effet, des pouvoirs étendus pour rendre un avis “contraignant” transnational en cas de différents entre les “CNIL” locales (règlement UE du 27 avril 2016).
D’éventuelles spécificités nationales concernant des domaines sensibles comme la biométrie, la santé, l’appartenance politique et religieuse seraient potentiellement gardées et aménagées par les états.
Ces directives s’étendent, aussi, aux sociétés extra Union Européenne qui manipulent ou “ciblent” les citoyens de l’UE.
Pour nous, individu, il s’agit d’avoir une plus grande maîtrise de nos données personnelles qui sont, au gré de nos démarches et inscriptions, collectées par des tiers, revendues à des annuaires et autres agrégateurs de données, parfois même dérobées.
Ces données représentent les informations de stockage de son identité, de ses habitudes, de ses achats, de ses litiges, de ses échanges et de son “profilage” en général. La directive prévoit un droit à l’effacement ainsi qu’un droit de portabilité.
Des obligations d’information de fuite ou de vol de données, au plus tôt, sont rendues obligatoires (on pensera, par-là, à la révélation du vol des coordonnées de 57 millions de clients mondiaux d’UBER … en 2016 … seulement officialisé et révélé le 21 novembre 2017 …).
Ces règlements imposent une prise en compte immédiate dans la conception des futurs systèmes d’hébergement et de traitement des données mais aussi la transformation des systèmes existants …
Debout La France y voit six points particuliers d’attention :
- – La nécessité d’offrir une très haute visibilité et traçabilité de traitements de la donnée personnelle dans les processus manuels ou automatisés ce qui est, dans l’absolu, une bonne chose pour la personne physique, sa protection et sa “quiétude” numérique mais qui demande, entre autres, à des PME marchandes un gros effort de méthode et d’outils. En conséquence, la donnée doit être idéalement “déprofilée”, “anonymisée” voire cryptée. Ceci induit des coûts et des charges pour les structures sur des marchés mondiaux déjà, bien entendu, tendus.
- – Le risque d’amendes infligées aux sociétés et organisations de toutes tailles… Le régulateur peut imposer une pénalisation allant jusqu’à 4% du C.A. mondial annuel d’une société ou même jusqu’à 20 millions d’euros pour les plus gros acteurs pénalisés.
- – Le risque de vol sur la plateforme d’un prestataire (les données d’UBER ont apparemment été volées sur la plateforme Cloud d’AMAZON …) ce qui rend vulnérable n’importe quelle entité qui, de son côté, serait vertueuse sur la RGPD …
- – La création d’une nouvelle instance de régulation, au sein de l’UE, dédiée à cette mesure communautaire …
- – Le risque de non application avec le même niveau d’exigences d’acteurs étrangers (les plateformes commerciales “US” avec, entre autres, les GAFA (Google Apple Facebook Amazon) ou les acteurs asiatiques avec des sociétés comme Alibaba.
- – Une fois le modèle rôdé, le constat d’une efficacité qui n’est pas au rendez-vous avec, pour conséquence, l’éventuelle volonté de l’UE de forcer à un format de données individuelles unique et imposé et, surtout, d’astreindre son hébergement chez un tiers unique, enfin, de confier, l’autorité de contrôle à une unique agence pour tous les pays membres. Ce serait le côté “Big Brother” ultime de ces mesures et un scénario périlleux pour les pays membres …
Pour Debout La France, ce dernier point serait, alors, le plus préoccupant quant à la centralisation et la gouvernance, par l’UE, des informations des citoyens, en extra-territorialité de tous les pays membres …
La France doit garder sa Souveraineté Numérique et la CNIL ne doit pas devenir la succursale d’une nième instance de l’Union Européenne en charge, suivant ses critères, de potentiellement pénaliser lourdement nos sociétés et organisations le cas échéant.
Le RGPD est de la même veine que les modèles centralisés associés aux accords économiques et commerciaux que sont le CETA et serait le TAFTA.
Demain, ce sont des domaines régaliens comme la justice, l’éducation ou la défense qui seront exposés aux mêmes risques de transfert de compétence vers l’Union Européenne que le contrôle du commerce et, ici, nouvellement, celui de la donnée des citoyens français. Restons vigilants.
Lionel Mazurié
Délégué national à la Révolution et Souveraineté Numérique
