Moodle : https://e-uapv2023.univ-avignon.fr/course/view.php?id=4430

"je considère que mon article sur le Moodle fait partie intégrante du cours, lisez-le au même titre que les notes que vous aurez prises"

"la CNIL, ce n'est pas une autorité aussi indépendante qu'on ne le pense"
"j'ai un positionnement assez critique sur la RGPD et le changement de paradigme par rapport à la directive de 1995 : est-ce qu'on protège vraiment ?"

nuance entre mise en conformité et compliance : "est-ce plus, ou est-ce moins, est-ce la même chose ?"
"il y a deux façons de mettre en conformité :

• en façade, en faisant semblant, ce sur quoi la CNIL a plus ou moins fermé les yeux
• et la mise en conformité substantielle"

"le RDPG n'interdit rien, c'est ça la grande différence"
"on peut traiter toutes les données que l'on veut, il faut juste cocher la bonne case"

"pour résumer très simplement la jurisprudence récente de la CJUE", depuis 2022, on peut licencier un DPO qui manque de capacité et de compétences pour exercer ses missions, "alors qu'avant, le DPO, ça pouvait être des gens comme vous"
"on pensait avant que c'était le problème exclusif du responsable de traitement"
le CE est venu ensuite valider et reprendre le raisonnement de la CJUE

pendant les dernières années, les autorités de protection des données ont un peu fermé les yeux ; là, "j'ai l'impression qu'on passe une autre page"
"j'espère vous transmettre un état d'esprit, certes critique, mais qui jouera en faveur de la protection des données"

rappel :

• une directive harmonise (comme la directive de 1995) : obligation de résultat, pas de moyens, vis-à-vis des États membres
• un règlement uniformise (comme le RGPD) : "le bazooka des instruments normatifs de l'UE, il n'y a plus de souveraineté nationale ni de marge de manœuvre"

"l'UE s'est beaucoup trop préoccupée de l'extérieur, à vouloir être une force contre les États-Unis, sans se préoccuper assez sur ce qui se passe à l'intérieur de l'UE"
"on 'est rendu compte à la sortie du Royaume-Uni que ça faisait des années qu'ils n'étaient pas en conformité, et on n'a jamais rien dit"
"quand j'ai rencontré le président de la CJUE (Vasílios Skourís) et que je lui ai parlé de ces problèmes qui pouvaient faire invalider le texte, il m'a répondu "vous ferez mieux de travailler à la protection des données""

rappel : le Conseil de l'Europe est une organisation internationale distincte de l'UE
"pour l'UE, devenir membre du Conseil de l'Europe, ça voudrait dire que la CEDH pourrait se prononcer sur les décisions de la CJUE ; ça, la CJ l'a refusé par deux fois"
"à chaque fois, la CEDH faisait des pirouettes pour ne pas incriminer le droit de l'Union, uniquement le droit national"
"on est déjà dans un État fédéral, on ne l'a juste pas encore dit"

apparition de la "libre circulation des données" dans la directive de 1995 : comme la RGPD plus tard, c'est un texte bi-fonctionnel
"est-ce que ces deux objectifs sont contradictoires ?"

les 4 libertés fondamentales de l'UE : libre circulation des services, des biens, des capitaux, des personnes

1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
3. La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

- RGPD, art. 1

la question reste toute entière quant à la rencontre ou non de la volonté moderne avec la volonté initiale du législateur
dans quelle mesure les données à caractère personnel (DCP) bénéficient d'une meilleure protection aujourd'hui, ou au moins d'une protection équivalente à la précédente ?

quand la directive de 95 a été transposée en France, "y'a un truc qui a glissé"
avant, la mis en place de fichiers de polices était soumis à un avis contraignant de la CNIL ; depuis la transposition, c'est un avis simple, le ministre de l'Intérieur peut faire ce qu'il veut
"alors que c'est pour ça que la CNIL a été créée à la base"

Autres textes en vigueur à côté du RGPD :

• Directive 2002 (ePD), sera remplacée par l'ePR
• Règlement 2000, remplacé par le règlement 2018, sur les institutions et organes de l'UE
• Décision-cadre 2008 : "la directive de 1995 ne pouvait pas concerner les fichiers de police, le Conseil seul a donc adopté cette décision-cadre", devenu la Directive 2016/680 Police-Justice
  l'ensemble (2016 : RGPD + directive Police-Justice) s'appelle le paquet européen de protection des données

décision cadre (de 2008) -> directive (police-justice)
directive (de 1995) -> règlement (RGPD) = escalade normative
"c'est ce qu'on appelle un Brussels Effect, une volonté de faire entendre au monde entier ses positions éthiques sur le numérique"
autres exemples : le règlement IA, le DSA, le DMA... tous ces textes constituent la politique européenne du numérique
on observe même un changement de vocabulaire : les règlements ne s'appellent plus "regulations" mais "acts"
"c'est là qu'on voit qu'on est dans les États-Unis d'Europe en matière de digital"

extraterritorialité : c'est le grand changement du RGPD, l'UE s'autorise d'imposer ses textes à des acteurs étrangers
"s'il y a un conflit avec le RGPD chinois, qu'est-ce qui se passe ?"
"si y'a une disposition que vous ne comprenez pas, dites-vous bien que derrière, il y a du lobbying"
"l'alinéa 3 de l'article 1, vous vous doutez bien que c'est pas noyb qui l'a fait passer"

le changement de paradigme a été progressif, mais depuis la RGPD, il n'existe plus de formalité préalable
avant, il fallait passer par la CNIL : soit déclaration préalable, soit (pour traitement sensible) demande d'autorisation de traitement
"à mon sens", la protection des DCP avant le RGPD se basait surtout sur le droit à la personne - la permission d'agir, d'attendre ou de demander à une AAI d'intervenir préalablement à la mise en place d'un traitement, qui pourrait aboutir ("elle aboutissait de moins en moins") à une interdiction de traitement
cette idée qu'une AAI (indépendant de l'État et des entreprises) pouvait avoir en amont un pouvoir sur un traitement, était "à mon sens" ce en quoi consistait la protection des DCP avant la RGPD
"certes c'était de la bureaucratie, dans certains pays (R-U) c'était coûteux, ça a été critiqué à la Commission"

depuis la RGPD, on ne fait plus intervenir en amont les AAI ; à la place, on responsabilise les acteurs
"c'est bien autre chose que la responsabilité civile et pénale qu'on apprend en droit" : c'est de la compliance (art. 5 RGPD : accountability)

"je ne crois pas que le droit à la protection des DCP soit un droit fondamental, même s'il figure dans la CDFUE (art. 8) et le TFUE (art. 16)"
un droit fondamental, c'est une norme de référence sur la base de laquelle on va contrôler toutes les normes inférieures sur la hiérarchie des normes ; normalement, quand un droit est fondamental, les seuls atteintes permises doivent être adéquates et proportionnées
"le fait qu'un droit prétendu fondamental contienne deux objectifs antinomiques, ça va le faire moins peser sur la balance du juge face à une autre liberté, comme celle d'entreprendre, ou celle de faire de la vidéosurveillance" : "l'individu n'occupe qu'une moitié de ce droit, qui est divisé entre lui et la libre circulation des données"
"est-ce que la CJUE sera capable un jour de limiter les libertés de circulation au nom de la protection des individus ? en principe non, c'est un principe fondamental de l'UE"
"la question que je me pose, c'est : est-ce que la RGPD est conforme à l'article 8 de la CDFUE ? je pourrais travailler pour Google et pousser la logique de l'UE jusqu'au bout pour invalider ces termes, ce qui n'arrivera jamais"
"et réduire les AAI à un rôle de contrôle a posteriori, est-ce compatible avec le droit fondamental ?"

"en tant que DPO, on doit avoir une interprétation des textes la plus proche de la protection de l'individu, sans non plus créer des obstacles à l'entreprise"

lors de sa mise en application en 2018, les dispositions du RGPD et de la directive Police-Justice ont été incorporées (par ordonnance) à la loi Informatique et Libertés de 1978

"personne ne s'est rendu compte dans les cours constitutionnelles des États membres, mais" en insérant l'article 16 dans le chapitre des dispositions générales du TFUE, le traité de Lisbonne a donné à l'UE une compétence pour édicter des dispositions de portée générale sur la protection des données

la loi pour une République numérique (2016) ajoute à la loi de 1978 : "toute personne dispose du droit de décider de contrôler les usages qui sont faits des DCP le concernant dans les conditions fixées par la présente loi"
c'est ce qu'on appelle en France le droit à l'autodétermination informationnelle

la loi de 2016 prévoit également :

• droit post-mortem
• droit à l'oubli des mineurs
• renforcement des pouvoirs de la CNIL : prononcer des sanctions sans mise en demeure préalable
• obligation faite au responsable de traitement sanctionné de contacter toutes les personnes concernées par les traitements illicites

réadaptation de la loi de 1978 au RGPD :

• fin de la formalité préalable (sauf dans certains cas, par ex. santé)
• ajout des données biométriques et génétiques aux données sensibles
• à nouveau, renforcement des pouvoirs ("a posteriori donc") de la CNIL : opposabilité limitée du secret professionnel, à l'exception des avocats, des journalistes ainsi que des médecins
• renforcement de la protection des DCP des mineurs : double consentement (du mineur et du titulaire de l'autorité parentale) désormais requis

décret d'application du 29 mai 2019 ("la partie réglementaire est toujours plus détaillée")
titre I : dispositions communes

• chapitre 1 : organisation de la CNIL
  • pouvoir répressif de la CNIL (avertissements, sanctions)
  • coopération avec les autres CNIL européennes
• chapitre 2 : formalités préalables ("certaines ont été maintenues")
  titre II : traitements concernés par la RGPD
• droits et obligations
  titre III : transposition de la directive police/justice
  titre IV : sûreté de l'État