Stéphane Grynwajc est un avocat qui conseille ses clients dans leurs problématiques juridiques dans quatre pays différents : les États-Unis, le Canada, la France et l’Angleterre. Inscrit au barreau de chacune de ces juridictions, il a la capacité de comprendre ses clients qui ont une problématique entre deux de ces pays, voire dans ces quatre pays. Il nous parle aujourd’hui du RGPD, ou «Règlement Général sur la Protection des Données», réglementation européenne qui peut aussi concerner les entreprises et les consultants installés sur le territoire américain. Il répond à nos questions.
Le Petit Journal New York : Pouvez-vous nous expliquer ce qu’est le RGPD ?
Stéphane Grynwajc : Le RGPD est une réglementation européenne qui date de 2016, et qui est entrée en vigueur le 25 mai 2018. Elle vient remplacer une autre réglementation européenne, une directive de 1995, qui était jusqu’à la mise en oeuvre du RGPD, le droit européen applicable à la collecte et au traitement des données à caractère personnel de résidents européens.
Quand on parle de donnée personnnelle, qu’entend-on exactement ?
Une donnée personnelle est toute donnée qui permet d’identifier un individu, à partir de données nominatives telles qu’un nom, un prénom, une adresse postale, une adresse email... Cela peut aussi être des données qui ne permettent pas directement d’identifier la personne mais qui, en combinaison avec d’autres données en votre possession, le permettent. Ainsi, si vous avez accès à certaines données qui en tant que telles ne permettent pas d’identifier une personne mais qui, corrélées à d’autres données le permettent, alors il s’agit d’une donnée personnelle.
Quelles entreprises doivent se conformer au RGPD ?
Le RGPD s’applique à toute société ou personne qui va collecter des données de résidents européens dans le cadre d’une offre de produits ou de services qu’elle va proposer à ces individus. Cela peut être dans le cadre d’une offre de produits et/ou de services en tant que telle, mais aussi si les données collectées sont utilisées afin de monitorer et suivre le comportement en ligne de ces personnes via différents outils. Dès lors que l’on est dans un schéma de suivi et de traçage de résidents européens, une entreprise ou un consultant est également concerné par le RGPD. Sun fournisseur de services basé à New York, ou un avocat, inclut des résidents européensces européens sde consulting, de compatbilité, ou des services juridiques leurs offrent, cprofessionnelsqui découlent pour eux, en tant que responsables de traitement, du RGPD.
Pouvez-vous nous expliquer comment se traduit le RGPD en France ou du moins en Europe ?
Ce qu’il faut savoir c’est que la Directive de 1995 établissait un seuil réglementaire commun de base pour les Etats Membres, que ceux-ci devaient ensuite implementer en droit local via une loi interne. De facto, il y avait jusqu’à l’adoption du RGPD en 2016 autant de réglementations sur le droit des données personnelles qu’il y avait d’Etats Membres, et ces réglementations étant pour certaines très différentes, elles représentaient un vrai casse-tête quotidien pour les sociétés dont les activités en Europe les amenaient à collecter et à traiter des données personnelles de résidents partout en Europe. Lorsque nous sommes passés au RGPD en 2018, qui est un réglement, d’application directe dans tous les Etats Membres, et non plus une directive, le droit européen des données personnelles a progressé vers une certaine harmonization au sein de l’Union. Il reste que le RGPD est une réglementation imparfaite, fruit d’un compromis politique entre Etats Membres, mais aussi entre les Etats Membres et les autorités européennes. Ainsi, dans plus de 50 domaines du RGPD, la nouvelle réglementation habilite expressément les Etats Membres à adopter des “dérogations nationales” au texte communautaire. En France ces dérogations ont été intégrées dans la nouvelle Loi Informatique et Libertés 2.
Quelles sont les sanctions pour les entreprises qui ne respectent pas le RGPD ?
Les sanctions dépendent d’un certains nombre de critères, en fonction notamment du degré de violation et de la disposition du texte qui n’a pas été respectée. Elles peuvent représenter, dans certains cas, la plus importante des 2 sommes suivantes : 2 % du chiffre d’affaires mondial annuel de la société ou 10 millions d’euros, et dans d’autres cas la plus importante des 2 sommes suivantes : 4 % du chiffre d’affaires mondial annuel de la société, ou 20 millions d’euros.
Concernant les sociétés américaines, comment s’applique le RGPD ?
La particularité du RGPD, contrairement à la Directive de 1995, est qu’elle est d’application extra-territoriale. Donc, il ne s’agit plus d’avoir un établissement ou une quelconque presence physique en France, ou de collecter et de traiter des données en Europe, comme c’était le cas sous l’ancien régime. À partir du moment où les données de résidents européens sont collectées, nous pouvons nous retrouver dans n’importe quelle partie du monde, nous sommes soumis au RGPD et à l’obligation de se conformer à ses dispositions. C’est une particularité qui peut faire peur à toutes ces sociétés qui, sans aucune présence en France, sans aucun employé ni bureau en Europe, se retrouvent sous couvert du RGPD et des sanctions potentiellement imposées.
Le RGPD concerne ainsi les sociétés américaines qui collectent des données depuis le territoire européen. Contrairement à certaines réglementations américaines, tells que le tout récent CCPA en Californie, il n’y a pas du tout de critère d’éligibilité par rapport au chiffre d’affaires ou au nombre de données que l’on va collecter. À partir du moment où une entreprise ou toute personne physique basée aux Etats-Unis collecte une donnée d’un résident européen dans le cadre d’une offre de produits ou services, elle est sous couvert du RGPD. Donc effectivement, certaines sociétés peuvent réaliser 95 % de leur chiffre d’affaires aux États-Unis et seulement 5 % de leur chiffre d’affaires en Europe, mais ces 5 % suffisent largement pour être sous couvert du RGPD.
Comment une entreprise américaine peut-elle se mettre en conformité avec le RGPD ?
Aux États-Unis, ou même ailleurs, il y a un certain nombre d’obligations très claires du RGPD quant à la conformité. L’une des premières choses est d’avoir une mention d’information à destination des utilisateurs européens qui soit conforme en tous points au RGPD. Il y a un certain nombre de divulgations à mettre par écrit – généralement sous forme d’une politique externe de traitement des données à caractère personnel ou “privacy policy”, de mentions spécifiques s’affichant au moment de la collecte, ou une combinaison des deux – s’agissant de ses traitements : quelles données sont collectées, pour quelle(s) finalité(s), est-ce que l’on va les partager – même passivement (via des applicatifs logiciels de tiers intégrés à son site internet par exemple) avec des tiers et si oui, avec quelles categories de tiers, où ces tiers sont-ils basés, si ces tiers sont basés hors de l’Espace Economique Européen via quel mécanisme validé par la Commission Européenne les données sont-elles rendues accessibles, combien de temps les données sont-elles conservées, y a-t-il une politique interne en matière de sécurisation des données qui répond aux critères de l’Union européenne, y a-t-il une politique de traitement en interne en matière de traitement des failles sécuritaire, est-ce que l’on a expliqué aux utilisateurs quels sont les droits qui dérivent pour eux du RGPD quant à une demande d’accès à leurs données, de correction de leurs données, de suppression de leurs données, est-ce qu’on a signé avec tous ses fournisseurs à qui on a donné accès aux données de résidents européens des contrats comportant les clauses obligatoires du RGPD entre responsables de traitement et sous-traitants, etc. ?
Il y a un certain nombre de nouveaux droits qui dérivent du RGPD pour les personnes concernées. Il y a aussi l’obligation, lorsque l’on effectue un traitement en vertu du RGPD, d’expliquer quelle est la base légale – parmis 6 bases légales possibles - qui s’applique au traitement. Cela peut être soit le consentement de l’utilisateur, l’obligation de se conformer à une obligation légale, la poursuite d’intérêts légitimes, etc...
Donc, il y a cette mention d’information, mais il y a aussi le concept d’imputabilité (“accountability”), soit l’obligation de pouvoir démontrer sa conformité. Il faut donc pouvoir produire de la documentation montrant que l’entreprise est consciente de ses obligations et qu’elle a mis en place un certain nombre de politiques, procédures et autres processus internes afin d’en assurer le respect.
Est-ce qu’il y a une correlation entre RGPD et intelligence artificielle ?
En fait, il y a une corrélation entre le RGPD et toute solution logicielle qui sera mise en place afin de traiter des données. Donc, si par exemple, vous utilisez effectivement l’intelligence artificielle, que vous avez une plateforme SAAS ou que par exemple vous utilisez certains applicatifs logiciels de tiers comme Mailchimp pour votre newsletter, ou Google Analytics pour collecter des données statistiques sur les visites d’internautes sur votre site, il faut garder à l’esprit que les traitements effectués par ces applicatifs tiers sont régis par le RGPD à partir du moment où les données collectées proviennent d’Europe. À partir du moment où vous êtes considéré€ comme un responsable de traitement au sens du RGPD, vous êtes directement impliqué par le RGPD. L’intelligence artificielle est une de ces nombreuses solutions qui permettent effectivement d’optimiser le traitement de ces données-là, ce qui est extrêment innovant sur un plan technologique mais qui crée davantage de risques quant à l’intégrité et à la protection des données à caractère personnel.
L’email est une donnée personnelle, une entreprise n’a donc pas le droit de l’utiliser sans le consentement de la personne à qui il appartient en étant, par exemple, intégré d’office dans une base d’envoi d’une newsletter ?
Oui, c’est exact ! Il y a des tempérances très très limitées quand par exemple, on prend une carte de visite dans un salon et qu’on va ensuite contacter la personne par rapport à des produits qui sont directement liés à l’activité de cette personne-là. C’est très restreint en termes de possibilités. La collecte et le traitement de données, même s’il s’agit d’une adresse email, doivent être indexées sur une base légale. Donc si vous utilisez une adresse email dans le cadre d’une newsletter, qui est une action de marketing, sauf à ce que vous soyez en mesure de pouvoir justifier d’un consentement exprès de la personne concernée, vous n’avez pas la possibilité effectivement d’adresser des newsletters à des personnes qui n’ont rien demandé.
Hors cadre RGPD et champ européen, comment est-ce que la donnée personnelle est protégée aux États-Unis ?
Alors c’est très différent du système européen. Les Américains ont une réglementation relative aux données personnelles qui est réactive, et qui est sectorielle. Par exemple, quand on voit le RGPD qui s’applique à tous types de données personnelles quel que soit le secteur, quelle que soit la donnée qui permette d’identifier la personne, aux État-Unis, il a été décidé depuis très longtemps de ne réglementer au niveau fédéral que les domaines où l’on pense qu’il y a un vrai risque d’atteinte aux droits des individus. C’est notamment le cas des traitement de données par les établissements financiers, des données de santé, ou encore des données relatives aux mineurs de moins de13 ans. Pour le reste, c’est essentiellement une réglementation au niveau étatique. Tous les États des États-Unis ont une réglementation en la matière, pas forcément une législation comme en Californie ou le Massachusetts sur le traitement des données personnelles en tant que telle, mais à tout du moins s’agissant de la notification des failles sécuritaires, comme à New York. Pour déterminer qu’il y a eu une faille sécuritaire s’agissant de données personnelles, il faut définir ce qu’on entend par donnée personnelle, et selon les Etats aux Etats-Unis, la définition n’est pas la même. Donc, si l’on veut se mettre en conformité avec le droit américain, on doit effectivement regarder dans tous les Etats où l’on fait du business pour se dire « si demain, une faille sécuritaire affecte mes systems ou ceux de mes sous-traitants tells que AWS ou OVH, qu’est-ce que la loi locale m’impose comme obligations ? ».
Dans la cas de l’État de New York, a-t-on le droit d’utiliser un email à des fins marketing ?
Si ça concerne un personne américaine et qu’il y a effectivement la possibilité de se désabonner par exemple à une newsletter ou autre forme de marketing, vous êtes effectivement en mesure d’utiliser la donnée qui vous a été fournie.
Pour en savoir plus sur Stéphane Grynwajc
Pour en savoir plus sur le cabinet S. Grynwajc