Le RGPD doit être interprété de telle sorte que son champ d’application soit le plus large possible. C’est une constante. Cette analyse extensive peut toutefois s’avérer lourde de conséquences, et virer au rigorisme.
Dans une décision du 13 avril 2023, la « CNIL italienne » a ainsi dégagé une situation de coresponsabilité entre la ville de Bologne et l’un de ses partenaires (GPDP, 13 avril 2023, Ville de Bologne, n° 9896808). Naturellement, les deux parties n’ayant pas envisagé cette situation, elles n’avaient pas formalisé leur accord dans un contrat de responsabilité conjointe. Ce qu’elles se sont vues reprocher. La ville s’en est bien tiré, l’autorité s’étant contentée d’infliger un blâme.
D’aucuns se rappelleront que la CNIL avait sanctionné un responsable de traitement pour ne pas avoir notifié une violation de données… portée à sa connaissance par les agents de la CNIL. Le Conseil d’Etat a invalidé cette analyse (CE, 22 juillet 2022, n° 449694), mais un raisonnement analogue a été récemment retenu par l’APD polonaise (UODO, 1er mars 2023, n° DKN.5131.49.2021).
Son homologue espagnole, quant à elle, n’a pas à considérer que faire figurer les informations RGPD sur une page « legal notice », en lieu et place d’une qui serait libellée « privacy policy », constituait un manquement aux articles 12 et 13 du RGPD (AEPD, 22 février 2021, n° PS/00357/2020).
Pour se prémunir des risques d’une telle approche du RGPD, le responsable de traitement se doit naturellement de documenter ses choix. Mais cette documentation – lorsqu’elle est tenue – ne doit pas être perçue comme l’ultime rempart.
Elle doit être complétée par une vision purement procédurière du texte quant à sa mise en oeuvre. L’objectif est alors de limiter la friction en suivant à la lettre le texte et son interprétation officielle. La page Web doit être libellée comme cela? Modifiez son code source. Une violation de données a été découverte? Peu importe son origine, il faut l’inscrire au registre et, surtout en cas de traitement transfrontalier, la notifier à l’APD compétente. Et ainsi de suite. Cela semble bête et méchant, mais il semble malheureusement que ce soit le nouveau paradigme instauré par le droit de la conformité.