Vers Une Harmonisation du RGPD à L’Echelle Planétaire ?

 

Le règlement européen mis en place en mai 2018 a pour but de renforcer la protection des données des individus. Européen à la base, ce règlement est fort susceptible de se développer au-delà de sa zone d’influence, et ce, dans un contexte actuel de digitalisation tous azimuts. Va-t-on alors vers une harmonisation du RGPD à l’échelle planétaire ? Telle est la question que l’on peut aujourd’hui se poser.

Deux éléments d’appréciation méritent d’être retenus ici :

  • Le RGPD pose un droit fondamental à tout être humain : protéger les données de personnes physiques. En ce sens, le RGPD pose un questionnement pour toute la planète.
  • De plus, dans son principe, ce règlement a pour objectif de protéger les données personnelles des Européens, quel que soit l’origine géographique des professionnels (entreprises, associations, etc.)

Alors comment avoir le contrôle sur ses données personnelles ? Le RGPD offre une solution, quoique complexe et difficilement intelligible. En effet, loin d’être intuitive en prime abord, le RGPD, pourtant, part d’une bonne intention. En fait, ce règlement pourrait devenir une référence, voire une norme pour tous.

C’est la raison pour laquelle l’harmonisation du RGPD est un sujet de réflexion et de mise à jour des principes et lois existantes de par le monde.

Comment s’effectue l’harmonisation du RGPD au sein de la zone euro ?

En effet, le RGPD se sachant complexe à la base s’accompagne de la création d’un mécanisme d’application au niveau européen. Concrètement, cela s’est traduit par :

  • La création du comité européen de protection des données (CEPD)
  • La création d’un guichet unique (“One Stop Shop” en anglais)

Voyons comment s’applique le règlement européen dans le cas où deux ou plusieurs pays de la zone euro sont impactés par le respect de cette réglementation.

Création du comité européen de protection des données (CEPD) RGPD, vers une normalisation mondiale ?

Pourquoi la création de ce comité ? Eh bien, le RGPD a juste jeté les principes à respecter au niveau européen. Cependant, chaque Etat membre est en droit d’appliquer ce règlement en fonction de leurs propres critères. A ce titre, l’Union européenne a permis d’effectuer un certain nombre de dérogations.

Or, des problèmes peuvent surgir notamment dans les cas suivants :

  • Des conflits d’interprétation impliquant plusieurs Etats membres
  • Des interprétations différentes en fonction des juridictions

C’est pourquoi a été mis en place le CEPD. Son objectif est alors d’assurer l’application du RGPD de façon cohérente dans chaque Etat de l’UE. Son rôle est à la fois consultatif mais aussi d’arbitre en cas de litiges. Alors, les Etats concernés devront alors se concerter avec cet organisme pour résoudre leurs différends.

Remarque : Imaginez-vous alors une entreprise hors UE qui doit respecter le RGPD, ce règlement variant d’un Etat à l’autre en fonction de l’interprétation retenue !!!

Création d’un guichet unique

Mais alors, concrètement, comment fonctionne l’organisme CEPD ? Il a besoin de savoir qui est responsable de quoi lors de problématiques transfrontalières. C’est pourquoi pour bien définir les responsabilités de départ, le RGPD a créé le guichet unique (ou le “one stop shop”).

Deux cas de figure se présentent dans le traitement transfrontalier :

  • Soit, le cas d’entreprises situées dans plusieurs Etats membres. La question qui se pose est celle de savoir qui est responsable de la protection des données : le siège social dans un Etat X ? ou la filiale dans un Etat Y ?
  • On peut également avoir le cas d’une entreprise basée dans un Etat, ok, mais dont les transactions affectent plusieurs Etats membres.

Ainsi, le système de guichet unique instaure la notion d’un interlocuteur unique pour traiter de la protection des données. On parle d’autorité de chef de file. Donc, c’est l’Etat de l’UE qui héberge ce chef de file dont on fera référence en cas de conflit avec le CEPD.

Notons que ce guichet unique s’applique uniquement que pour les entreprises de l’Union européenne (et donc, non aux entreprises étrangères qui font des échanges dans la zone UE).

Pour en savoir plus : voir le site de l’EDPB

Vers une harmonisation du RGPD au niveau régional ?

De plus, compte tenu de l’intérêt croissant porté à la protection des données personnelles, le RGPD n’est que le bout de l’iceberg. En effet, chaque continent s’inspire plus ou moins de l’Europe pour établir des principes visant cette problématique.

L’Europe : la CONVENTION 108

En fait, la convention 108 élaborée en … septembre 1981 par le Conseil de l’Europe a pour but de gérer le traitement automatisé des données. Cette convention présente deux caractéristiques :

  • Ce texte s’applique au niveau international. De ce fait, il supplante le RGPD, de niveau européen.
  • De plus, tout adhérent à ce texte peut être un pays hors des membres du Conseil de l’Europe (47 membres y compris la Russie) stricto sensu. A ce titre, on peut citer la Tunisie ou l’Uruguay.

Aussi, il faudra s’attendre à une sorte d’harmonisation entre cette convention 108 et le RGPD dans les années à venir.

L’Asie : l’APEC, le Japon

L’APEC est un acronyme pour Asia Pacific Economic Cooperation. Cette organisation comprend 21 membres y compris la Chine, le Japon et les Etats-Unis.

Or, à partir de l’année 2004, de nouveaux principes en matière de protection de données ont été élaborés. En particulier, on retiendra les règles dites “Cross Border Privacy Rules” (CBPR). Celles-ci ont pour objectif d’établir des règles en matière de transferts de données personnelles entre pays.

Pour en savoir plus, lire ce tableau comparatif GDPR versus CBPR.

Notons également que La Commission européenne a adopté en janvier dernier une décision d’adéquation au profit du Japon : « Les parties sont convenues de reconnaître comme adéquats leurs systèmes respectifs de protection des données ».
Pour en savoir plus, lire le communiqué de presse

Les Etats-Unis : le cas de la Californie

Aux Etats-Unis, il n’existe pas à proprement parler de loi de protection de données personnelles comme en Europe.
Toutefois, un Etat, la Californie, a élaboré le ” California Consumer Privacy Act (CCPA) prévue pour le 01 janvier 2020.

Ce règlement ne s’applique que pour :

  • Les entreprises ayant un chiffre d’affaires supérieur à 25 millions de dollars
  • Les sociétés spécialisées dans la revente de données personnelles à des annonceurs ou à des prestataires marketing : les data brokers

De plus, les sanctions ne s’appliquent qu’en cas de constatation de violation du règlement : le maximum du montant de l’amende est de 7500 dollars pour une infraction.

En fait, ce règlement CCPA renforce le droit des consommateurs en matière de données personnelles. Néanmoins, le corps réglementaire, plus léger, est sans commune mesure avec le RGPD européen. Là, directement, le consommateur peut poursuivre l’entreprise en faute.

Qui sait, à l’avenir, d’autres Etats pourraient suivre le cas californien.

Protection des données : vers une harmonisation du RGPD à grande échelle ?RGPD, vers une normalisation mondiale

En fait, le règlement européen de protection des données a déclenché un mouvement au niveau international. Compte tenu de la globalisation des échanges et la dématérialisation des données, le RGPD a des implications qui dépassent son seul champ d’action : juridique, au niveau européen.

En effet, ce règlement est dans tous les esprits au niveau des instances mondiales, en l’occurrence, l’OCDE et l’OMC

L’OCDE

L’OCDE est une organisation qui comprend 36 membres. Outre l’Union Européenne, ont également adhérer les Etats-Unis, le Canada, le Chili, le Japon et Israël entre autres.

L’OCDE a également des principes fondateurs en matière de protection de données. Mais, les membres de l’OCDE ne sont pas obligés d’y adhérer.

L’OMC

Dans la même optique, l’Organisation mondiale du commerce (WTO), fort de ses 164 membres, discute de la possibilité d’établir un accord sur la réglementation de l’e-commerce. Entre autres, il est question de la protection des données personnelles.

Or, qui dit e-commerce, dit transactions électroniques, dit transferts des données, ou encore dit cybersécurité.

Le texte européen est discuté cette semaine entre le 13 et le 15 mai à Genève. La proposition européenne d’avril dernier insiste bien au point 2.8 sur un standard élevé à appliquer en matière de protection de données personnelles. Il est ainsi question du caractère transfrontalier des données. Déjà, lors du dernier forum économique à Davos en janvier dernier, 77 membres de l’OMC ont accepté l’idée de faire évoluer le cadre réglementaire.

Pour en savoir plus, lire la proposition européenne du 26 avril dernier concernant la réglementation de l’e-commerce.

Conclusion

Ainsi, face à la dématérialisation des données, le RGPD est clair : c’est la personne physique qui doit disposer de droits afin de protéger ses données personnelles.

De plus, il existe une certaine convergence concernant la protection des données personnelles de par le monde. L’Europe avec le RGPD détient la version la plus lourde et la plus contraignante pour tout organisme, y compris les entreprises.

Or, étant donné l’intérêt grandissant de cette problématique, il en résulte alors la nécessité de coopération à un niveau international, à l’instar de l’EDPS.

Mais in fine, c’est plus une mutation du capitalisme et des échanges mondiaux qui sont en jeu. En effet, avec l’intégration de la problématique de la protection des données personnelles dans le développement actuel de l’e-commerce (cf. OMC), c’est un changement de perspective qui s’annonce.

A suivre …

Je m'abonne !
Françoise R.

Françoise R.

Passionnée de finance d'entreprise et de management, je partage avec vous des nouvelles et des contenus thématiques autour du management financier. Si vous avez envie de partager votre avis après avoir lu ce post, n'hésitez pas à laisser un commentaire.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *