Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur dans l’ensemble de l’Union Européenne, posant un cadre plus clair et contraignant sur le traitement des données personnelles par toutes les entreprises et administrations. L’occasion de revenir sur cette avancée législative d’importance.
Jusqu’ici, le cadre européen fixant le traitement des données personnelles était une directive sur le sujet remontant à 1995, considérée comme dépassée depuis des années.
Un nouveau règlement, qui s’appliquera à tous les citoyens de l’Union Européenne
Au terme de deux ans de discussions, entre la Commission Européenne, le Parlement Européen et le Conseil de l’Europe, un nouveau texte, plus large, plus précis et plus contraignant, a été adopté au printemps 2016.
L’Union Européenne a laissé deux ans aux entreprises et aux Etats pour se mettre en conformité avec les obligations de ce nouveau règlement, si bien que ce RGPD sera applicable pour l’ensemble des citoyens de l’Union Européenne le 25 mai 2018, dans pile deux mois. Il permettra non seulement de moderniser le cadre légal de traitement des données personnelles, mais aussi de l’harmoniser, puisqu’il sera le même dans les 28 pays de l’Union.
Donnée personnelle, késako ?
Dans leur FAQ consacrée à ce sujet, nos collègues de Numerama rappellent ce qu’est une donnée personnelle : il s’agit d’une « information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc. ».
Certaines données sont considérée comme sensibles, car elles peuvent donner lieu à des discriminations ou des préjugés (opinion politique ou philosophique, orientation sexuelle, origine ethnique, situation médicale…) ; elles font l’objet d’une protection plus stricte, empêchant leur collecte en dehors de cas précis, validés par la CNIL et dont l’intérêt public est avéré.
Un nouveau règlement qui s’applique à tous les acteurs traitant les donnée d’Européens
Le RGPD s’applique à tous les acteurs susceptibles de collecter des données personnelles d’un citoyen de l’Union Européenne – des entreprises, des Etats, des administrations, mais aussi des associations – et ce, sans critère de nationalité : un groupe américain, comme Google, Facebook ou Apple, qui collecte des données de citoyens européens doit aussi s’y conformer.
Ce nouveau règlement impose à ces entreprises d’obtenir un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles – ce qui n’est pas toujours le cas aujourd’hui. Ces données doivent être traitées dans le cadre précis pour lequel elles ont été collectées, et chaque acteur doit pouvoir présenter un historique précis de leur utilisation.
Le RGPD met également en place un certain nombre de droits que les citoyens peuvent exercer sur ces données. Les trois plus importants sont le droit à l’oubli (pouvoir demander le retrait et la destruction de ses données personnelles en cas d’atteinte à la vie privée), le droit de portabilité (transmettre ces informations en cas de changement de fournisseur d’accès à Internet, de réseau social ou de tout autre service de ce type) et le droit d’information en cas de piratage de ces données.
Protéger les citoyens de la voracité en données des GAFA, avec des amendes dissuasives
Ce texte est capital, car l’actualité récente prouve à quel point les entreprises du numérique, et particulièrement les géants du net, violent régulièrement ces dispositions, notamment pour revendre ces données à des organismes publicitaires ou politique. Le texte pose une grille de sanctions claires et dissuasives, en cas de non-respect du RGPD.
Les amendes peuvent en effet atteindre, au maximum, 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé est retenu le cas échéant). De quoi forcer les GAFA et autres amoureux des données personnelles (considérées comme « l’or » de Google ou Facebook, entreprises qui gagnent de l’argent en ne « vendant » rien… si ce n’est ces données) à se conformer à l’exigence de l’Union en la matière.