Mme Catherine Osson interroge M. le secrétaire d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique, sur l'intégration souhaitable d'approches sectorielles pour faire évoluer le RGPD. En effet, alors que le numérique s'installe dans tous les pans de la vie professionnelle et personnelle, il ne peut y avoir de droits individuels sans respect de la vie privée. C'est soucieuse de cet équilibre à préserver que l'Union européenne s'est dotée du règlement général pour la protection des données (RGPD), se concentrant sur la collecte et le traitement des données à caractère personnel. De fait, l'usage fait des données collectées est ce qui est le plus étroitement réglementé par le RGPD. Et, s'agissant d'un cadre général, pour nombre d'observateurs attentifs de ces questions, il serait pertinent que le RGPD se complète et se décline en réglementations spécifiques ou plus précises pour certains secteurs. Ainsi, dans une étude récente intitulée « Données personnelles : comment gagner la bataille ? », l'Institut Montaigne évoque l'idée d'introduire des réglementations sectorielles, notamment pour les données de la police, le secteur de la santé ou les services financiers. Ainsi, sur les données de police et de sécurité, certes, la directive « Police-Justice » UE 2016/680 du 27 avril 2016 (adoptée en 2016, avant le RGPD) évoquait des dispositions spécifiques mais des procédures sont en cours (lancées notamment par le Royaume-Uni) devant la Cour de justice de l'Union européenne remettant en cause la légalité de la collecte et de la conservation de ces données de sécurité, ce qui souligne a contrario la nécessité d'une clarification juridique (en modifiant le texte actuel) pour tenir compte des spécificités de ce sujet. De même, sur la santé, deux types de textes très précis, en Inde et aux États-Unis, traitent les problématiques des données de santé. Quant à la modernisation de la finance, confrontée à une numérisation croissante, la sécurisation des données est une absolue nécessité tant juridique que financière et économique : les États-Unis l'ont mise en œuvre avec le Gramm-Leach-Bliley financial modernization Act. Voilà pourquoi elle lui demande si le Gouvernement partage cette préoccupation de préciser le RGPD d'approches sectorielles spécifiques et, le cas échéant, les initiatives européennes qu'il envisage de prendre et pour quels secteurs.

Tout d'abord, il convient de préciser que le RGPD doit être considéré comme un cadre juridique unique, applicable à une pluralité d'acteurs (secteur privé et public et adaptable à différents secteurs d'activités (ex : secteur de la banque, secteur social…). En effet, constitué de dispositions de nature transversale, le RGPD a vocation à susciter le développement d'une culture commune « Informatique et Libertés » et à assurer un haut niveau de protection des libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel, et ce indépendamment des secteurs d'activité concernés. Ensuite, le RGPD contient déjà un certain nombre de dispositions permettant, selon le domaine d'activité, de maintenir ou d'introduire des dispositions plus spécifiques pour adapter l'application de certaines règles du RGPD. C'est notamment le cas des traitements de données dans le cadre des relations de travail (article 88 du RGPD), des traitements de données à des fins de recherche scientifique, historique ou statistiques (article 89) et des données de santé (article 9.4). De même, le RGPD offre la possibilité pour les acteurs, d'élaborer des codes de conduite sectoriel (article 40 du RGPD). Conçu comme un outil de conformité, ces codes permettent une harmonisation des pratiques au niveau d'un secteur d'activité. Par ailleurs, l'action et l'accompagnement des acteurs par les autorités de protection des données dans l'application du RGPD et sa déclinaison « sectorielle » est essentielle. A ce titre, il convient de mentionner l'adoption et la publication par la CNIL de plusieurs « packs de conformité » sectoriel (exemple : pack de conformité Assurance, pack de conformité Logement social) et de guides pratiques (exemple : guide pratique pour les médecins par le CNOM et la CNIL) Enfin, dans ses conclusions du 15 janvier 2020 relatives à l'application du RGPD, le Conseil de l'Union Européenne a estimé qu'il était prématuré de réviser ses dispositions : « 7) Dans le même temps, le Conseil souligne que le RGPD n'est appliqué que depuis mai 2018. Par conséquent, il est probable qu'une plus grande expérience de l'application du RGPD dans les années à venir sera utile pour résoudre la plupart des problèmes mis en évidence par les États membres ». En conséquence, l'adoption de réglementations spécifiques déclinant le RGPD n'apparait pas nécessaire, à l'heure actuelle, dès lors d'une part, que ce dernier contient des règles suffisamment flexibles permettant de répondre aux différentes problématiques sectorielles et d'autre part, qu'il permet d'assurer une protection des données à caractère personnel harmonisée et cohérente.