Base numérique des consentements - Conseils de pros
Entretiens Droits Recours

Entretien avec Maître Laurie-Anne Evra-Ancenys

« Les consommateurs ont désormais de nombreux recours »


Avocate Counsel à la tête de l’activité IT, Data Protection et E-commerce du Cabinet Allen & Overy, Maître Laurie-Anne Evra-Ancenys décrypte les nouveaux droits et recours dont bénéficient les consommateurs avec l’application, depuis le 25 mai 2018, de la nouvelle réglementation européenne sur la protection des données1.

Maître Laurie-Anne Evra-Ancenys

Pourquoi cette nouvelle réglementation européenne sur la protection des données personnelles a-t-elle été votée ?

Le législateur souhaitait mettre en place une politique cohérente en matière de protection des données au sein de l’Union européenne, avec trois grands objectifs en tête :

  1. Harmoniser les législations des Etats membres. Avant le RGPD, nous agissions dans le cadre d’une directive qui a généré un panorama législatif disparate en Europe et des difficultés dans la mise en œuvre des traitements de données par les professionnels.
  2. Instaurer un climat de confiance sur le net et encourager le commerce électronique en donnant davantage de droits et de protection aux citoyens.
  3. Renforcer les droits des personnes au sein de l’Union européenne.

Cette démarche est-elle la conséquence d’abus en matière d’utilisation des données personnelles des consommateurs ?

Parler d’abus est peut-être un peu fort, mais de dérives, oui. Jusqu’à présent, en France, les sanctions étaient relativement faibles et rarement appliquées à leur maximum. De ce fait, on constatait certaines dérives comme une prospection commerciale abusive par voie électronique ainsi que des ventes et des locations illégales de fichiers, par exemple. Il existait, de ce point de vue, un réel besoin de renforcer la protection du consommateur.

Avec la Loi du 7 octobre 2016 pour une République Numérique 2, les amendes de la CNIL ont été revalorisées et peuvent, selon le texte, atteindre 3 millions d’euros. Le cadre législatif devient progressivement plus coercitif puisque ces amendes sont portées, selon la catégorie de l’infraction, à un maximum de 10 ou 20 millions d’euros ou, dans le cas d’une entreprise, de 2% à 4% du chiffre d’affaires mondial, avec l’application du Règlement européen sur la protection des données.

Parmi les nouveaux droits des consommateurs prévus dans cette réglementation, quelles sont pour vous les grandes avancées fondamentales ?

L’avantage de ce Règlement européen est de redonner aux citoyens le contrôle de leurs données.

L’une des grandes nouveautés, c’est le droit à la portabilité des données grâce auquel les citoyens auront la possibilité de récupérer les données fournies à un professionnel dans un format structuré, couramment utilisé et lisible par machine, et de les transférer, s’ils le souhaitent, vers un autre professionnel 3.
Ce droit trouve à s’appliquer, par exemple, lorsqu’un consommateur souhaite changer d’opérateur téléphonique ou de fournisseur d’électricité. Le Règlement européen prévoit d’autres avancées majeures pour les consommateurs : le droit à l’oubli a été renforcé, tout comme la protection des mineurs.
Par ailleurs, les professionnels ont l’obligation de répondre aux demandes des consommateurs dans un délai d’un mois.

Les consommateurs sont-ils suffisamment informés selon vous de l’utilisation qui est faite de leurs données personnelles ?

Aujourd’hui, les professionnels ont l’obligation d’informer le consommateur 4, notamment dans le cadre de leur politique de confidentialité, du traitement de ses données à caractère personnel. Mais compte tenu de l’absence de réelles sanctions, ils ne sont pas toujours complètement transparents.

Avec la Loi pour une République Numérique, qui anticipe plusieurs dispositions du Règlement européen pour la protection des données, les professionnels ont d’ores et déjà l’obligation d’informer les consommateurs de la durée de conservation de leurs données.

Le Règlement européen prévoit également que les professionnels fournissent de nouvelles informations, telles que le fondement juridique du traitement, ou encore les intérêts légitimes poursuivis par le responsable du traitement le cas échéant. On peut espérer que le nouveau cadre réglementaire et les campagnes de communication menées par les autorités de protection des données sensibiliseront aussi le consommateur à la gestion de ses Données à Caractère Personnel.

De quels recours les consommateurs disposeront-ils à partir de 2018 en cas de non-respect de leurs droits ?

La première chose à faire est de contacter le responsable de traitement, le Data Protection Officer si une nomination de DPO a effectivement eu lieu au sein de l’entreprise concernée. Des courriers standards ont été mis en ligne sur le site de la CNIL pour signaler un manquement, exercer un droit, poser une question, etc.

Le deuxième recours possible consiste à porter plainte auprès de la CNIL. On pourra aussi adresser une plainte au Procureur de la République.

Troisièmement, les consommateurs peuvent rejoindre un groupement de consommateurs et exercer une action collective. Pour l’instant, c’est encore émergent. Mais cela risque de devenir monnaie courante dans les années à venir d’autant que la loi de modernisation de la justice du XXIème siècle a déjà introduit le mécanisme d’action de groupe en matière de données personnelles 5.

Le Règlement européen devrait néanmoins fluidifier la communication entre les différents acteurs puisque des mécanismes vont être mis en place par les professionnels pour répondre aux demandes des consommateurs et garantir une plus grande transparence dans le traitement de leurs données.

Dans un contexte réglementaire qui évolue vite et qui devient touffu, l’enjeu sera de parvenir à un équilibre entre le respect des dispositions réglementaires et les intérêts économiques des professionnels.


1 Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
2 Loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique.
3 Ce droit ne concernera que les sites dont le nombre de comptes utilisateurs s’étant connecté au cours des six derniers mois est supérieur à un seuil fixé par décret.
4 Article 32 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
5 Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, articles 60 et suivants.

Entretien avec Maître Merav Griguer

« Plus de transparence et de contrôle »


Avocate associée au sein du Cabinet Bird & Bird, Maître Merav Griguer est spécialiste de la question de la protection des données personnelles. Elle est également l’auteur de plusieurs ouvrages sur la communication digitale, et notamment du « Guide de la communication sans risque », paru aux Editions Eyrolles. Elle nous présente les enjeux du RGPD, la nouvelle réglementation européenne, pour les consommateurs et nous explique comment les marques se préparent au changement.

Maître Merav Griguer

Maître Griguer, cette nouvelle réglementation européenne était-elle devenue indispensable ?

Le RGPD a été voté pour harmoniser les législations et protéger davantage les citoyens dans un écosystème en forte évolution où le Big Data s’est développé à vitesse grand V.

Aujourd’hui, on vit à l’ère de la collecte massive des données. Cela comporte évidemment des risques d’abus au détriment des personnes. Mais l’éveil a eu lieu. Ce règlement européen est un premier pas dans la protection des citoyens et l’encadrement de cette nouvelle donne.

Quelles sont les réactions des marques quant à cette nouvelle législation ? Manifestent-elles du rejet ou une réelle volonté de la déployer ?

C’est l’effervescence. Les entreprises se sont emparées du sujet. Le Big Data apparaît désormais dans le top 3 des risques à gérer pour les entreprises du CAC 40 et même des start up qui ont intégré la protection des données personnelles dès la conception d’une innovation.

De manière générale, les marques manifestent une réelle volonté de se mettre en conformité et s’y préparent dès maintenant. Mais le secteur du marketing digital semble inquiet face à cette nouvelle réglementation qui va fondamentalement changer ses pratiques.

Pour autant, je ne pense pas que ces nouvelles « donnes » soient un obstacle. Au contraire, autant se démarquer dès maintenant de la concurrence et se positionner sur le secteur du Fair Data ou Ethics Data versus Big Data.

Les lourdes sanctions prévues en cas de non respect de la nouvelle réglementation sont-elles responsables de cette prise de conscience ?

Evidemment, ces sanctions qui peuvent aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel mondial suscitent une véritable prise de conscience collective sur la protection des données.

De ce fait, cela va faire bouger énormément de choses, responsabiliser davantage les entreprises et les personnes morales dans la mise en place de bonnes pratiques en interne. Sans ces sanctions, la protection des droits fondamentaux des citoyens et de leurs libertés individuelles aurait été en totale régression.

Il n’y a donc pas d’obstacle à la mise en œuvre de cette réglementation ?

Si. Car aujourd’hui, encore faut-il que les entreprises aient les moyens de respecter cette nouvelle législation. Ce n’est pas le cas. Seules les entreprises qui ont le budget nécessaire pour bénéficier du conseil d’experts peuvent atteindre la conformité exigée. Aujourd’hui, rien que la mise en place des mécanismes de respect de la loi exigent de faire preuve d’innovation. Il y a tout à créer.

Quels vont être les principaux changements dans la vie des consommateurs ?

Plus de transparence, plus de droits, plus de contrôle et de visibilité sur l’utilisation de leurs données. Et plus d’effectivité dans l’exercice de leurs droits.

L’ambition du nouveau règlement européen est de faire en sorte que les données personnelles des consommateurs soient parfaitement protégées. Il est encore trop tôt pour dire si cela sera le cas.

Comment peut-on informer le consommateur de ses droits ?

Une chose est certaine : on doit l’informer. Et l’information qui lui est due est plus dense. Elle peut intervenir dans un encart en page d’accueil des sites Internet ou des applications mobiles concernant l’utilisation de cookies, dans les Conditions Générales d’Utilisation, sur les formulaires de collecte de données, comme les questionnaires, dans les contrats, dans les chartes, etc.

Mais peut-être conviendrait-il de repenser les modalités d’information afin de s’assurer que le consommateur les ait lues. Le juridique doit également innover.