Trois questions à Marc Rees, rédacteur en chef de Nextinpact

A l’approche du Festival des libertés numériques du 10 février au 25 février, à Rennes, Marc Rees explique le changement pour les médias de l’entrée en vigueur du Règlement européen en faveur de la protection des données personnelles des citoyens européens (RGPD)

Le 25 mai prochain, la RGPD entre en vigueur dans l’ensemble des États de l’Union Européenne. Concrètement, qu’est-ce que ce règlement européen va changer par rapport à la loi actuelle qui oblige les entreprises récoltant des données, dont les médias, font partie, à se manifester à la CNIL?

– Le but de ce règlement est de responsabiliser les entreprises sur la protection des données personnelles grâce à une épée de Damoclès matérialisée par une lourde amende (jusqu’à 4 % du chiffre d’affaires, plafonnée à 20 millions d’euros). Dans le même temps, les conditions générales d’utilisations doivent être assainies afin que l’utilisateur comprenne facilement ce qu’il autorise. Il ne sera plus possible de noyer la captation de données personnelles au milieu d’un contrat de CGU long et incompréhensible. En théorie, le texte devrait harmoniser les règles de protection des données personnelles dans toute l’Europe. En pratique, les États ont le droit de choisir entre plusieurs options sur certains points, comme l’âge autorisé pour signer des CGU ou encore, et c’est le plus intéressant pour les journalistes, la gestion des sites internet de presse et la protection des sources. Pour rappel, la protection des sources n’a pas été déclarée comme une règle de rang constitutionnel : rien n’empêche une future loi de revenir dessus, sous l’aiguillon cependant du droit à la vie privée ou de la liberté d’information, protégés en outre par le droit européen.

Et pour les médias justement? Que va changer cette réglementation dans le travail des journalistes?

Dans un premier temps, elle renforce le principe de la liberté de la communication et de la presse : l’un ne peut pas s’imposer sur l’autre. Vis-à-vis de la protection des sources, l’article 85 s’intéresse à la conciliation entre protection des sources et la protection des données. En France, la protection des sources d’un journaliste pourra être opposée à la CNIL si jamais elle décide de vérifier la façon dont sont utilisées les données personnelles collectées par un journaliste. C’est d’ailleurs le seul cas où la demande de la CNIL ne peut pas aboutir, du moins en l’état de la future loi d’adaptation actuellement discutée au Parlement français. Dans ce même texte interne, une disposition spécifique à la presse qui est plus étonnante. Les normes spécifiques à la France s’appliqueront si les données appartiennent à une personne résidant en France. Sauf dans le cas des sites de presse! En l’état du projet de loi d’adaptation, ces sites répondent du droit de l’emplacement du responsable du traitement de l’information. En d’autres termes, l’entité qui brasse et traite les données récupérées. Je n’ai pas encore d’explication à cette spécificité.

Si il ne fallait garder qu’un seul outil/conseil pour protéger les sources des journalistes, lequel préconisez-vous?

– Un seul outil? Il faut utiliser tous les outils de chiffrement possible. Je dis ça comme une recette de papa poule mais les sources sont tout de même déjà protégées par la loi et il n’y a pas de révolution là-dessus. La loi renseignement interdit d’ailleurs de pratiquer des écoutes sur les journalistes. En tout cas sur les activités professionnelles du journaliste, ce qui laisse tout de même une marge de manœuvre étonnante aux services de l’État, puisque pour déterminer si un échange relève de l’activité professionnelle, il faut en prendre connaissance… En revanche, sur l’échange de documents sensibles, je n’ai aucune confiance dans les nouvelles technologies et  je privilégie les échanges physiques.

Propos recueillis par Baptiste Cessieux