Le RGPD une norme mondiale ?

https://bleger-rhein-poupon.com/decryptage-du-rgpd/

L’entrée en vigueur du RGPD le 25 mai 2018 oblige les organisations implantées en Europe à revoir la gestion de leur patrimoine informationnel. Si le RGPD est actuellement la norme la plus complète en termes de protection des données au monde, les nombreuses fuites de données qui n’ont eu de cesse de défrayer les chroniques ces derniers mois ont fait apparaître la question de la cybersécurité et de la protection des données à caractère personnel comme un sujet non plus réservé aux Geeks mais comme des questions intéressant l’opinion publique.

Le phénomène de protection des données personnelles est devenu non plus seulement un enjeu éthique mais également économique et marketing. L’Union Européenne souhaite, avec l’adoption du RGPD, protéger l’utilisateur et le consommateur mais également renforcer le marché intérieur numérique en garantissant que la circulation des données est respectueuse des droits et libertés des personnes concernées.

Les récents scandales et l’entrée en vigueur du RGPD qui impacte notamment tous les secteurs de l’économie pousse les Etats comme la Chine, la Corée du Sud, le Japon ou même les Etats-Unis à envisager une législation relative à la protection des données afin de pouvoir continuer à commercer avec l’Europe et d’inspirer confiance à leurs fournisseurs et clients étrangers.

Il existait déjà en 1985, la Convention 108 du Conseil de l’Europe sur la protection des données, ouverte à ratification des Etats tiers, ses dispositions étaient certes avancées pour l’époque mais minimaliste aujourd’hui au vu des avancées technologiques.

Si la Convention 108 n’avait pas développé, chez les Etats tiers l’intérêt qu’ils portent actuellement pour les problématiques de sécurité des SI et des données, cela peut s’expliquer par la moindre importance aux yeux des dirigeants, des questions relatives à la sécurité et à l’intégrité des données.


Le Japon, premier bénéficiaire d’une décision d’adéquation depuis l’adoption du RGPD

Bien que la définition de « données personnelles » retenue par le Japon soit plus restreinte que celle issue du RGPD, la Commission Européenne a adopté, en juillet 2018, une décision d’adéquation entre le système de protection des données Japonais et le système européen. Il en résulte la création du plus grand espace de flux sécurisé de données au monde. Pour les utilisateurs et consommateurs Européens, cette décision d’adéquation leur garantit que le transfert de données personnelles vers le Japon est respectueux des droits et libertés du RGPD.


La Corée du Sud, second bénéficiaire d’une décision d’adéquation ?

Depuis 2011, la Corée du Sud a adopté trois législations relatives à la protection des données dont le contenu est assez similaire au RGPD. Une décision d’adéquation pou la Corée du Sud est en discussion. La décision de la Commission européenne devrait être connue dans les mois à venir.


La protection des données aux Etats-Unis dans tout ça ?

Bien qu’il n’existe pas, au niveau fédéral, de législation relative à la protection des données aux Etats-Unis, les scandales d’Equifax, d’Uber ou encore de Cambridge Analytica ont réveillé les esprits. La législation envisagée serait toutefois plus souple que le RGPD, considéré Outre-Atlantique comme un frein à l’innovation. Serait préféré au RGPD une règlementation sectorielle plutôt que générale.

Bien que ne disposant pas d’une législation protectrice des données personnelles, les Etats-Unis ont obtenu de la Commission Européenne une décision d’adéquation reconnaissant que le transfert de données depuis ou vers les Etats-Unis présentent un niveau de protection adéquat. Le premier mécanisme mis en œuvre permettait le transfert de données vers plus de 4 000 entreprises américaines ayant adhéré au Safe Harbour. Toutefois, la CJUE, le 6 octobre 2015, à la suite des révélations d’Edward Snowden, l’arrêt Schrems, a invalidé la décision d’adéquation considérant que le niveau de protection des données adéquat n’est plus garantie par le Safe Harbor.  Par la suite, un accord politique a été trouvé Le Privacy Shield, entré en vigueur le 1ier août 2016, est le successeur du Safe Harbour. Le bouclier de protection des données passé entre l’Union européenne et les Etats-Unis est un mécanisme d’auto-certification des entreprises dont le siège social se situe aux Etats-Unis qui suscite également des critiques.

Si les Etats-Unis ne sont pas actuellement dotés, au niveau fédéral, d’une législation relative à la protection des données, l’Etat de Californie a adopté, à l’été 2018, une législation destinée à mieux protéger les personnes concernées. Cette législation est toutefois limitée puisqu’elle ne s’applique qu’aux entreprises californiennes en outre, la notion de « consentement » de la personne concernée n’existe pas.


La protection des données au Brésil un clone du RGPD ?

Contrairement à l’Argentine et l’Uruguay voisins, le Brésil ne fait pas (encore) l’objet d’une décision d’adéquation de la part de la Commission européenne bien que des dispositions relatives à la protection des données existent : en 2014 avait été adopté la Marco Civil da Internet mettant en place les grands principes de la protection des données (licéité du traitement, consentement, minimisation des données…) sans pour autant que cette loi soit d’application générale.

Ce n’est que le 14 aout 2018 que le Brésil se dote d’une règlementation générale sur la protection des données, très similaire au RGPD.


La protection des données en Chine, pour bientôt ?   

Depuis l’apparition de l’économie du Big Data et les révélations de Snowden, la China s’est doté d’un arsenal législatif relatif à la cybersécurité et à la protection des données personnelles qui est moins stricte que la législation européenne mais plus protectrice que les règlementations sectorielles envisagées par les Etats-Unis.

La loi sur la cybersécurité adoptée par la Chine en 2016 consacre 11 articles à la protection des données personnelles en lignes. C’est le premier texte contraignant portant sur les données personnelles. Certains principes se rapprochent de ceux du RGPD comme le droit à la portabilité des données. En outre, la définition d’une donnée personnelle adoptée par la loi de 2016 est également très proche de la définition du RGPD puisqu’elle prévoit que « toute information permettant d’identifier directement ou indirectement un individu » constitue une donnée personnelle.

La protection des données personnelles ne porte toutefois pas sur le secteur public. En effet, le gouvernement a besoin de l’accès à ces données afin de pouvoir développer le système de crédit social et de maintenir la Grande Muraille numérique.

Le développement de législations protectrices des données personnelles, bien que parfois au stade d’embryon, ne laissera pas le RGPD dans sa position d’hégémonie indéfiniment. 


Sarah Catalan
M2 Cyberjustice promotion 2018-2019

Laisser un commentaire