twitter facebook chevron-right

Check Point : grâce au RGPD, pourrez-vous lire tous les emails où votre patron parle de vous ?

Le 25 mai prochain, un nouveau règlement européen entre en vigueur pour mieux protéger les données des citoyens européens. Parmi les buts affichés du Règlement Général pour la Protection des Données (RGPD) : généraliser le droit d'accès aux données personnelles.

"Grâce à ce règlement, vous allez pouvoir reprendre en main vos données, déclare Mounir Majhoubi, secrétaire d'État français en charge du Numérique. Vos données qui sont aujourd'hui stockées chez des fournisseurs en ligne, des sites en ligne (…). Toutes ces données vous allez pouvoir leur demander de vous les envoyer."

Mounir Majhoubi a raison. Le droit d'accès figure à l'article 15 du Règlement Général sur la protection des données personnelles (RGPD, dont le texte complet est à retrouver à la fin de cet article). Cela n'est pas nouveau pour autant. En Belgique et en France par exemple, le droit d'accès existe depuis plusieurs années. Mais, pendant que Facebook ou Google permettent déjà de télécharger une archive, d'autres entreprises ont encore beaucoup de chemin à faire en la matière.

Mounir Majhoubi, secrétaire d'État en charge du Numérique, présente sa vision du RGPD

Qu'entend-on par "donnée personnelle" ? En résumé, il s'agit de toutes les informations liées à une personne physique. Nom, adresse, numéro de téléphone, adresse email…

Mais à quoi ça sert de télécharger ses données personnelles ? D'abord pour être conscient de ce qu'on partage sur les réseaux sociaux par exemple. Le scandale Cambridge Analytica a eu l'effet d'un électrochoc. Pour ceux qui en douteraient encore, Facebook conserve tout : photos, vidéos, statuts, positions géographiques, numéros de téléphone, conversations… Le RGPD n'y changera pas grand-chose : les géants du Net continueront à utiliser vos données à des fins marketing tant que vous accepterez leurs conditions d'utilisation. Dans le cas de Facebook, le site Mashable note d'ailleurs que le réseau "fait le service minimum sur la protection des données".

L'autre avantage, c'est la portabilité des données. Selon Mounir Majhoubi, "avec le RGPD vous pourrez demander à ces plateformes de vous donner vos données que vous pourrez télécharger. Et elles seront interopérables. Ça veut dire qu'elles seront dans un format qui pourrait être réutilisé par une autre entreprise". Là aussi, le secrétaire d'État dit vrai. Cette mesure, dont la mise en œuvre reste encore floue, figure à l'article 20 du règlement.

La nouveauté : la menace d'une amende conséquente

Quant à la protection des données en elle-même, là aussi le RGPD n'apporte rien de fondamentalement neuf. Il s'agit plutôt d'une "piqûre de rappel", comme l'explique Elise Degrave, spécialiste du droit des nouvelles technologies et chargée de cours à l’Université de Namur. Interrogée en avril dernier sur La Première, elle ajoute qu'en Belgique, "on a une loi qui encadre la protection des données depuis 1992. On avait même commencé plus tôt à l'occasion de la création du registre national en 1983".

Au niveau européen aussi, une directive de 1995 fixait certaines lignes de conduite. Mais les GAFA (acronyme désignant Google, Amazon, Facebook et Apple) ont depuis imposé un pouvoir presque sans limites. D'où cette nécessité, affirme Élise Degrave, de "créer une culture de la protection des données".

Et pour convaincre les entreprises, rien de tel que l'argument du portefeuille. Le RGPD prévoit, dans son article 83, des amendes pour ceux qui ne respectent pas les règles. "Le non-respect d'une injonction émise par l'autorité de contrôle (…) fait l'objet (…) d'amendes administratives pouvant s’élever jusqu'à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu'à 4% du chiffre d’affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu."

Quelle forme prendra cette autorité de contrôle évoquée dans l'article 83 du RGPD ? En Belgique, il y avait déjà une Commission de Protection de la vie privée. Mais son rôle était limité, ce qui en faisait une sorte de "chien de garde qui n'avait pas de dents", selon les termes d'Elise Degrave. Une loi a été votée fin décembre 2017 pour créer cette nouvelle Autorité. Mais il y a peu de chances qu'elle soit sur pied le 25 mai pour effectuer pleinement ses missions de surveillance et de sanction.

Avoir accès aux mails écrits par son chef ?

L'idée d'avoir accès à ses données personnelles détenues par une entreprise peut faire rêver. Pourra-t-on tout obtenir ? C'est en tout cas ce qu'affirme le Guardian dans un article publié en avril 2018. "grâce à la nouvelle loi européenne, il sera facile de savoir ce que votre patron a dit de vous", titre le quotidien britannique. Et d'ajouter : "Si un employé (en fait la demande), son employeur aura 30 jours pour récolter une archive de toutes les informations conservées sur cette personne. En ce compris tous les emails où il est question du travailleur."

L'idée peut surprendre. Ce droit d'accès ne rentrerait-il pas en conflit avec d'autres droits ? "Si (ces emails) ont un lien avec vos performances au travail, ils devraient être inclus (dans une archive)", maintient la journaliste du Guardian que nous avons contactée.

"Si l'email est 'à propos' de l'employé, alors oui, il entre dans le faisceau du SAR ('Subject Access Request', le nom donné à la demande d'accès aux données personnelles en anglais, NDLR)", ajoute sur Twitter l'une des expertes interrogées par le journal. Celle-ci note cependant que "des exceptions peuvent s'appliquer".

L'ICO (l'organisme britannique qui informe les citoyens sur la protection des données) évoque brièvement ce droit d'accès aux emails dans un document de 2017.

Interrogés à ce sujet, des spécialistes du droit restent sceptiques sur l'affirmation faite par le Guardian. "C'est une interprétation du seul RGPD de façon très large, tempère Jean-Marc Van Gyseghem, directeur de recherche au Centre de Recherches Information, Droit et Société (CRIDS) à l’Université de Namur. Ils oublient toute la loi sur ce qu'on appelle la e-privacy, tout ce qui est la protection dans les communications électroniques où il y a des règles bien précises." En d'autres termes : "Le RGPD doit toujours être analysé au regard de lois particulières. (…) Il faudra aussi voir la loi-cadre belge – qu'on n'a pas encore – qui mettra probablement aussi d’autres exceptions."

La Commission de la protection de la vie privée est du même avis (CPVP). "Il est important de souligner que le droit d'accès n'est pas illimité. Lors de l'exercice du droit d’accès, il devra également être tenu compte d’autres obligations telles que : la confidentialité des communications passées par la voie des télécommunications, la sécurité nationale et publique…", nous détaille la CPVP. Sans oublier que le RGPD prévoit des limitations au droit d'accès dans son article 23.

Selon la CPVP, le cas ne s'est pas encore présenté en Belgique. Aucun employé n'a jusqu'ici exigé de copies des emails rédigés par un employeur ou un collègue à son sujet au nom de l'accès aux données personnelles. "Nous supposons que, lorsque le cas se présentera, et si cela passe devant un juge (…), le juge donnera sa propre interprétation et peut-être plus de clarifications à ce sujet", conclut la Commission.

Oui, le RGPD veut baliser la protection des données

C'est bien le but du RGPD : fixer des limites au stockage et au traitement des données personnelles. Un objectif louable, mais titanesque dans un monde où accepter des conditions d'utilisation se fait en un clic de souris. Mais la date butoir du 25 mai ne signifie pas que tout va changer du jour au lendemain. Il faudra du temps pour que les entreprises, y compris les plus petites, s'adaptent à la législation.

Une enquête menée fin février par Digital Wallonia a ainsi montré qu'une entreprise wallonne sur deux n'était pas au courant de l'arrivée imminente du RGPD. "57% (des entreprises wallonnes) affirment qu’elles ne traitent pas de données à caractère personnel, expliquait récemment Hélène Raimond, experte chez Digital Wallonia, sur les ondes de La Première. C’est interpellant parce que, de cette ignorance, pourrait naître une idée fausse comme quoi elles ne sont pas concernées par le RGPD."

Non, le RGPD ne permettra pas de tout savoir sur soi

Par contre, le Guardian va un peu trop loin en disant qu'un employé pourra lire l'intégralité des emails où son nom est cité. Car le RGPD conforte des droits... qui risquent d'entrer en conflit avec d'autres droits. Parmi ceux-ci : le secret de la correspondance ou la confidentialité des communications.

Ambroise Carton


Retrouvez le "Check Point" dans Europe Hebdo sur LCP et Public Sénat le jeudi à 14h15 et le vendredi à 18h30. Chaque semaine, une déclaration ou une idée reçue passera l'épreuve du "Check Point" une séquence de "fact checking" réalisée par la RTBF, avec le soutien du Parlement européen.