Le règlement général sur la protection des données pourrait avoir pour effet paradoxal de renforcer le pouvoir
des Gafam, en réduisant l’autonomie des PME spécialisées dans le traitement des données,
La protection des données personnelles est un enjeu majeur pour les citoyens de l’Union européenne. Face à l’accroissement des innovations technologiques depuis quinze ans et au manque total de transparence dans le traitement de ces données par les Gafam (Google, Amazon, Facebook, Apple, Micro- soft) – comme l’a récemment illustré le scandale de Cambridge Analytica –, le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai, apporte un progrès indéniable. Mais, en bouleversant les rapports entre sous-traitants et donneurs d’ordre au sein de la chaîne de traitement de ces données, le RGPD risque bel et bien de nuire à la concurrence et, paradoxalement, de renforcer le pouvoir de marché des Gafam.
Au-delà des contraintes portant sur le recueil du consentement sur la collecte des données et le renforcement des sanctions encourues, le RGPD impose en effet d’apporter la preuve de la mise en œuvre de moyens techniques de protection, de sécurisation et de portabilité des données, ainsi qu’une traçabilité et une responsabilisation de toute la chaîne d’acteurs traitant les données personnelles : de la société qui collecte les données personnelles à celles qui les hébergent et les analysent, sans oublier l’entreprise qui a ordonné ces traitements et qui en est l’utilisatrice finale.
Or, la contractualisation entre les différentes sociétés traitant des données personnelles a engendré un bouleversement des rapports économiques dans le monde du numérique, en consacrant deux types de qualification : le responsable de traitement et le sous-traitant. Le responsable de traitement détermine les traitements de données personnelles qu’il souhaite mettre en œuvre, dans la limite du cadre légal et des consentements obtenus à cette fin, alors que le sous-traitant, lui, agit pour le compte et sous les instructions du responsable de traitement. Or, sous l’égide du RGPD, le sous-traitant n’a désormais plus le droit de traiter pour son propre compte les données personnelles qu’il a en sa possession.
DES CONDITIONS TRÈS STRICTES
Des sociétés qui collectaient hier des données personnelles de manière légale, et qui proposaient des services grâce à ces traitements de données personnelles (GPS, ciblage en ligne, analyse de marché), se voient aujourd’hui bloquées par leurs partenaires en raison même de cette qualification de sous-traitant. En effet, nombre de leurs partenaires, en situation de domination commerciale, leur font parvenir des avenants imposant ce statut de sous-traitant et cette interdiction d’exploitation des données collectées, les empêchant ainsi de pouvoir proposer leurs services à d’autres. Dans la majorité des cas, cet avenant est non négociable.
En étant qualifiées de sous-traitant, ces sociétés intermédiaires se voient également imposer des conditions très strictes en vertu de l’article 28 du RGPD. Cet article prévoit que le sous-traitant doit : d’abord, faire valider par le reponsable de traitement tous ses propres sous-traitants ; ensuite, tenir à sa disposition toutes informations nécessaires pour démontrer le respect des obligations de sécurisation des données notamment (il donne ainsi accès à la société partenaire à toutes les données confidentielles de mesures techniques mises en place par la société et à son code propriétaire pour montrer les moyens mis en œuvre pour les transferts de données) ; et, enfin, mettre à disposition la liste de tous les partenaires tiers aidant la société à fournir ses services.
Les entreprises ont, depuis avril 2016, pour se préparer à l’entrée en vigueur du RGPD ; les arguments financiers et de temps de mise en œuvre ne sont pas forcément recevables face aux enjeux de protection. Mais la majeure partie des PME et TPE en France n’ont aujourd’hui pas de service juridique interne pour les aider et les appuyer afin de comprendre ce texte, qui contient quelque 99 dispositions. Pour procéder à leur mise en conformité, les sociétés ont dû faire appel à des experts externes spécialisés en droit et en cybersécurité, modifier leur planning annuel pour que leurs équipes techniques et commerciales puissent procéder aux changements re-commandés. Ces actions représentent un coût non négligeable, tant en termes financiers qu’en moyens humains pour s’y con- former.
Non seulement le RGPD représente une charge plus importante pour les petits que pour les gros acteurs de la chaîne numérique, mais il aide les sociétés en situation de monopole à imposer un statut aux sociétés intermédiaires, en vertu duquel celles-ci n’auront plus accès aux données personnelles qui leur permettaient de faire fonctionner leurs services. De plus, il met fin au secret des affaires en permettant l’accès aux informations propriétaires des sociétés qualifiées de sous-traitant au sens du RGPD, et à la liste de leurs partenaires commerciaux qui les aident à fournir leurs services. Les données personnelles se retrouvent ainsi captées et emprisonnées par ces mêmes grandes entreprises que le RGPD souhaitait pourtant contrôler.
