Le jumeau numérique est apparu au début des années 2000 comme le modèle numérique d’un objet existant, d’un corps réel. Ce jumeau numérique représente un objet réel tout au long de son cycle de vie, mais également lors de son processus de création. Il permet, grâce à la réception de données issues de ce même objet, de comprendre l’entité reproduite, d’anticiper ses évolutions, ses potentielles défaillances, de permettre une synchronisation constante. Toutefois, cette notion de jumeau numérique permet un meilleur accès aux données créant des interrogations juridiques autour de son encadrement, de la protection de celles-ci.

Il est alors légitime de se demander comment notre cadre juridique actuel relatif à la protection des données à caractère personnel répond-il face au enjeux croissants de l’échange des données ?

Dans un premier temps nous appréhenderons l’utilisation des données personnelles au regard de l’amélioration de la performance numérique (I), puis nous expliquerons le cadre juridique actuel destiné à protéger les données à caractère personnel (II).

I/ L’utilisation des données personnelles destinée à améliorer la performance numérique.

Le traitement des données personnelles permet de faire évoluer la digitalisation et la numérisation de notre société au regard de nouveaux concepts, de nouvelles technologies (A). Cependant, ce système de collecte de l’information privée peut soulever de nombreux risques juridiques au regard de la liberté individuelle et de la vie privée (B).

A) Le jumeau numérique au service du consommateur et de l’entreprise.

Ce modèle de logiciel dynamique d’un processus, produit ou service, se traduisant souvent par un modèle 3D, améliore la performance des produits, anticipe les étapes de leur cycle de vie, ou encore planifie les activités d’une chaîne de production.

Parallèlement à l’environnement macroéconomique actuel, les acteurs économiques sont contraints de s’adapter à la productivité, la performance, l’efficacité croissante et concurrentielle exigée dans plusieurs secteurs, notamment industriels. Le jumeau numérique permet de pouvoir réduire les coûts, d’être plus réactif, d’anticiper les évolutions du marché.

Et cela, à tous les niveaux, du processus de production, de fabrication de l’objet jusqu’à l’accompagnement durant son cycle de vie. Par exemple, Suez environnement a mis au point une solution intelligente de détection de fuite d’eau, intitulée Aquadvanced, pour renforcer la sécurité du réseau de distribution via une surveillance continue.

Ce modèle étant basé sur la collecte d’une combinaison de données provenant de sources plurielles, permettrait au consommateur de se constituer un double numérique, lui apportant des conseils, l’aiguillant dans son choix d’achat, il améliorerait alors son confort de vie. Toutefois, à quel prix ?

B) Le jumeau numérique entaché de risques juridiques croissants.

Les données personnelles sont recueillies par l’utilisation et la navigation sur internet, sur les outils digitaux, les réseaux sociaux. Ces plateformes nous amène à livrer certaines de nos données personnelles comme l’adresse IP, le prénom, le nom, les coordonnés de localisation mais aussi les goûts, les préférences. Cela révèle une part de la vie privée des utilisateurs créant plusieurs risques juridiques. Dans un premier temps, le risque d’une exploitation commerciale par des entreprises afin de procéder à une profilage publicitaire.

Ces données représentent un atout concurrentiel pour les entreprises, pouvant développer des offres de plus en plus personnalisées. De plus, le risque d’une exploitation politique par les pouvoirs publics, afin d’influencer l’opinion publique en vue des élections. Enfin, le risque d’une exploitation frauduleuse par des pirates qui pourraient reconstituer l’identité numérique de l’utilisateur en vue de l’usurper. Les entreprises peuvent également être victimes de l’usurpation de l’identité numérique, pouvant engendrer une dégradation de leur e-reputation. Il est alors primordial que le droit vienne protéger ces données et ainsi, la vie privée des individus.

La protection des données personnelles est un droit fondamental. Ce droit est consacré à la fois par l’article 8 de la Charte des droits fondamentaux de l’UE et par l’article 16 du Traité sur le fonctionnement de l’UE qui disposent que toute personne a droit à la protection des données à caractère personnel la concernant .

II/ Un cadre juridique destiné à protéger la vie privée et les libertés individuelles.

Le règlement sur la protection des données est applicable depuis le 25 mai 2018 au niveau de l’Union Européenne et s’impose à toute organisation établie dans ou hors de l’UE, qui exploite des données personnelles de résidents européens. Les entreprises utilisant des données personnelles à l’élaboration d’un jumeau numérique doivent se soumettre aux obligations du RGPD (A). Néanmoins, ce cadre législatif suffira-t-il a appréhender l’ensemble des enjeux juridiques soulevés par le traitement croissant de ces données ? (B).

A) Les exploitants de données personnelles incombés par des règles juridiques protectrices.

En France, c’est la Commission nationale de l’informatique et des libertés qui garantit le respect du RGPD par les entreprises et les administrations. Elle agit de manière préventive, en informant les individus sur leurs droits et en accompagnant la mise en conformité des entreprises, mais également de manière curative, en sanctionnant le non-respect.

Le RDPG a amélioré les moyens d’information des personnes sur la collecte et l’utilisation de leurs données personnelles au travers de l’information sur les données collectées, sur la durée de leur conservation, sur l’utilisation qui en sera faite. En second lieu, il permet aux individus de maîtriser davantage leurs données à caractère personnel, en donnant leur consentement aux entreprises afin de pouvoir les utiliser.

Les utilisateurs peuvent demander une copie des données détenues, leur rectification, leur suppression, leur transfert vers un autre service, et s’opposer à leur utilisation. Tout cela au travers du droit à la portabilité, du droit à l’oubli, et du droit à la notification.

En cas de manquement par une entreprise à des règles du RGPD, toute personne qui a subi un dommage matériel ou moral du fait de la violation du règlement européen peut obtenir du responsable du traitement la réparation de son préjudice. Également, par le biais d’une action de groupe, mandatant une association ou un organisme. De plus, en cas de violation du règlement, la CNIL peut prononcer des amendes administratives qui peuvent atteindre, selon la catégorie du manquement, 2% à 4% du chiffre d’affaires annuel mondial de l’exercice précédent.

Dans un environnement de plus en plus numérique, les individus laissent des traces en utilisant les nouvelles technologies d’information et de communication, et leurs besoins de protection devient de plus en plus grandissant.

B) Un cadre légal au défi d’enjeux juridiques grandissants.

Le RGPD a introduit une logique de responsabilisation, les entreprises doivent anticiper, par des outils adéquats, les risques d’exploitation malveillante des données à caractère personnel qu’elles collectent et analysent. Elles doivent pouvoir prouver, à tout moment, qu’elles respectent la réglementation en la matière. Les entreprises sont incitées à désigner un délégué à la protection des données chargé de veiller à la fois au respect du RGPD dans l’entreprise et à l’adaptation permanente des processus mis en place avec l’évolution technologique. La mise en conformité des entreprises peut s’avérer complexe pour certaines entreprises, notamment au regard des moyens financiers que cela nécessite mais aussi au regard de l’interprétation des textes à caractère parfois trop général.

De surcroît, près de 70% des sociétés en France n’étaient pas aux normes en 2019, sont concernées de nombreuses TPE et PME qui pensent pouvoir agir dans l’ombre des géants du Web, tel que Google. Les amendes consacrées par la CNIL à ces fameux géants du Web peuvent être contestées relativement à leur caractère peu dissuasif, mais aussi à leurs limitations géographique. Toutefois, la décision du 21 janvier 2019, par laquelle la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de Google vient asseoir l’action curative et sanctionnatrice de la CNIL.

Malgré cela, la puissance croissante des GAFA restent prépondérante, ces derniers pratiquant un vrai capitalisme de la surveillance par l’économie de la captation et du traitement des données. De sorte que l’efficacité des principes du RGPD dépendra en grande partie de l’ampleur des sanctions prononcées par les autorités de régulation à l’endroit des contrevenants.