Applicable à compter du 25 mai 2018, l’objectif proclamé du règlement général sur la protection des données (dit “RGPD”) est de rendre aux citoyens le contrôle de leurs données personnelles. L’idée est également d’apporter de la certitude aux entreprises grâce à une législation unique dans l’Union européenne, d’où l’adoption d’un règlement et non d’une directive, ne nécessitant par conséquent pas de transposition par les états membres.
Ce règlement répond à un véritable besoin des citoyens européens. En effet, selon l’Eurobaromètre sur la protection des données, 70% d’entre eux sont préoccupés à l’idée que des entreprises puissent utiliser des informations à des fins autres que celles pour lesquelles elles ont été collectées.
Un certain nombre de droits sont consacrés, permettant aux personnes d’exercer un plus grand contrôle sur les données à caractère personnel les concernant.
Parmi eux :
L’obligation de mettre en œuvre les mesures de sécurité appropriées, en fonction des risques que comportent les opérations de traitement de données qu’elles effectuent ;
L’obligation, dans certains cas, de notifier les violations de données à caractère personnel.
En cas de non-respect des obligations prévues, les sanctions sont lourdes. En effet, les responsables s’exposent à des amendes administratives pouvant aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial.
Le principe du « guichet unique » est appliqué aux affaires transfrontalières faisant intervenir plusieurs autorités de contrôle nationales, une décision de contrôle unique sera prise. Ainsi, une entreprise ayant des filiales dans plusieurs états membres n’aura à traiter qu’avec l’autorité de contrôle de l’Etat membre dans lequel se trouve son établissement principal.
Le règlement prévoit la création d’un comité européen de la protection des données, composé de représentants des 28 autorités de contrôle indépendantes.
Le règlement prévoit également la création du « délégué à la protection des données », sorte de chef d’orchestre de la conformité en matière de protection des données. Obligatoire dans certains cas, il est notamment chargé de missions d’informations, de contrôle et de conseil.
Les autorités de la concurrence commencent progressivement à s’intéresser au sujet complexe qu’est la collecte et l’utilisation des données à des fins commerciales. En 2015, l’autorité de la concurrence britannique publie une étude sur l’utilisation commerciale des données des consommateurs.
Son homologue allemand ouvre, en mai 2016, une procédure d’enquête à l’encontre de Facebook, visant à déterminer si les conditions générales d’utilisation de données imposées à ses utilisateurs sont susceptibles de constituer un abus de son éventuelle position dominante sur le marché des réseaux sociaux.
Au même moment, l’autorité de la concurrence française annonce sa décision de se saisir pour avis, afin d’évaluer la situation concurrentielle du secteur de la publicité sur Internet, et l’importance de l’exploitation des données.
C’est dans ce contexte que le Bundeskartellamt et l’ADLC publient, le 10 mai 2016, leur étude conjointe sur les données et leurs enjeux pour l’application du droit de la concurrence.
Après un travail préalable de définitions, l’étude s’articule principalement en deux parties : elle envisage dans un premier temps l’étude des scénarios anticoncurrentiels pouvant être associés à la collecte et à l’exploitation des données, pour se pencher ensuite sur la possible contribution des données au pouvoir de marché.
Dérives anticoncurrentielles envisageables face à l’exploitation des données
Trois axes sont ici identifiés.
Exploitation de données et pouvoir de marché
Les autorités de la concurrence se penchent ici sur l’ampleur de l’avantage économique que les données peuvent conférer.
Face à la complexité du sujet et à la diversité des cas de figure qu’il englobe, les autorités de la concurrence prônent une étude au cas par cas de chaque situation afin de pouvoir donner une réponse adéquate.
Par Cynthia Picart
21/06/16