Ce qu’il faut savoir sur le Règlement général sur la protection des données (RGPD)

Publié le 24 mai 2018 à 15:47 Aujourd'hui | 825 vues

Le Règlement général sur la protection des données (RGPD) entre en vigueur ce vendredi 25 mai 2018 pour les états de l’Union européenne. Que change-t-il ?

Voté en 2016 par la Commission européenne en remplacement de la législation de 1995, le Règlement général sur la Protection des Données Personnelles (RGPD) s’appliquera dans les entreprises de l’Union à partir du 25 mai 2018. Cette nouvelle loi fixe un nouveau dispositif pour collecter, conserver, traiter et sécuriser les données personnelles des citoyens. Il est question de renforcer la clarté, l’accessibilité et la transparence d’une information et des moyens avec lesquels les entreprises collectent les données. Comme l’explique la CNIL (Commission nationale de l’informatique et des libertés) : « l’obligation d’information existe déjà dans la loi « Informatique et Libertés ». Elle est renforcée par le RGPD ». Le nouveau règlement offre une information plus complète tout en assouplissant les modalités de présentation de cette information. Ainsi, « la transparence permet aux personnes concernées de connaître la raison de la collecte de leurs données, de comprendre le traitement qui en sera fait et d’assurer la maîtrise de ces données en facilitant l’exercice de leurs droits ».

Consentement explicite et droit à l’oubli

Concrètement, le RGPD introduit l’obligation d’un délégué à la protection des données dans une entreprise, une base juridique au traitement des données, et le droit à porter plainte auprès de la CNIL à ce sujet. Les protections que le règlement introduit renforcent les droits des utilisateurs : « un simple clic ne suffira plus pour permettre à une entreprise d’utiliser nos données personnelles. L’accord devra être consenti par écrit et de manière explicite ». Ainsi, demander nos données en échange d’un accès à un site ou à une application n’est plus accepté. Sur les réseaux sociaux, l’accord d’un parent sera requis pour inscrire un jeune et chaque état pourra déterminer l’âge d’inscription entre 13 et 16 ans. Le règlement inscrit également un « droit à l’oubli » permettant le retrait de données personnelles de la toile en cas d’atteinte à la vie privée. Enfin, la portabilité des données signifie qu’on pourra changer de réseau social ou de fournisseur d’accès internet en emportant ses informations avec soi.

Les entreprises européennes sont en retard

La CNIL explicite les mesures de transition à prendre dans son guide “se préparer en 6 étapes” destiné aux sociétés. On y apprend qu’elles doivent dorénavant « assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité ». Ainsi, il faut dans les entreprises de plus de 250 salariés « désigner un pilote » délégué à la protection des données, « cartographier les traitements de données personnelles », « prioriser les actions à mener », « gérer les risques » en réalisant pour chaque traitement une analyse d’impact sur la protection des données (PIA) pour garantir les droits et libertés des personnes concernées, « organiser des processus internes », et enfin « documenter la conformité ». Toutefois, les entreprises sont très en retard même en ayant eu deux ans pour se préparer. Pour l’instant, seules l’Autriche, l’Allemagne et la Slovaquie ont mis au point une législation nationale adaptée à la nouvelle loi européenne. Une enquête de Senzing révèle que « 27% des entreprises françaises sont préoccupées par le fait qu’elles ne savent pas où sont hébergées toutes leurs données ». Aussi, selon une étude de SafeDK, plus de la moitié des applications sur le Playstore n’étaient pas encore conformes en décembre 2017. Pourtant, si une société se retrouve non conforme au RGPD, elle encourt des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

La crainte des GAFA

On surnomme les données personnelles « l’or noir du XXIème siècle ». Atout commercial indéniable, les données des citoyens ont pourtant intérêt à être protégées des regards indiscrets. Les mesures instaurées par le RGPD à cet effet élèvent toutefois des voix contestataires. Les associations de défense des droits des citoyens sur internet (comme la Quadrature du net) et certaines entreprises européennes se méfient du discours que portent les nouvelles normes européennes. Pour l’opposition, le RGPD va renforcer les GAFA (Google, Apple, Facebook, Amazon) qui font des informations des internautes leur pain bénit. Par exemple, les leaders du web utilisent les ID (identifiants) des internautes pour traquer leurs informations. Une technique qui passe totalement entre les filets de la nouvelle loi qui réduit seulement l’usage des cookies. Cette mesure déplaît par ailleurs aux médias qui utilisent les cookies pour adapter leur contenu aux lecteurs. Dans une tribune publiée en février dernier dans Stratégies, le directeur du pôle Management de Publicis Mohamed Messaoudi affirme que les Gafa peuvent remercier le RGPD qui va renforcer leur monopole sur le marché des données personnelles. Selon le communicant, les internautes ont plus de facilité à laisser accès à leurs données à des services en ligne gratuits tels que les réseaux sociaux plutôt qu’à un site commercial sur lequel ils payent déjà des produits.

Pour en savoir plus, les eurodéputés écologistes Eva Joly et Pascal Durand, mais aussi Lucien Castex membre du comité de salut numérique de e-Bastille et Sylvain Steer de l’Observatoire des Libertés et du Numérique organisent dans la soirée une projection-débat sur le thème de la protection des données personnelles intitulé « Fais Gafa ta vie privée ».

Claire Lebrun

Surprise

Tutos, trucs et astuces pour fabriquer un masque maison

> Toutes les vidéos

Rappel de produit

> Tous les rappels de produit

Sur le même thème