Le RGPD : Protéger les données personnelles des citoyens européens et responsabiliser les entreprises
À moins de vivre retiré du monde, vous avez sûrement déjà entendu parler de cet acronyme. Le RGPD (ou son équivalent anglophone GDPR) désigne le Règlement Général sur la Protection des Données. Adopté le 14 avril 2016 par le Parlement européen, il succède à une directive de 1995 rapidement devenue obsolète avec l’essor de l’Internet grand public. Accueilli au départ avec réticence par des politiques européens soucieux de défendre les intérêts économiques des entreprises du continent, le texte s’est imposé grâce à l’opiniâtreté de députés comme Jan Philipp Albrecht, sur fond de scandales de pratiques de surveillance massive. Ainsi, les révélations de l’ex-agent de la National Security Agency et lanceur d’alerte Edward Snowden sur son ancien employeur en 2013 ont contribué à sensibiliser le grand public sur la problématique de la vie privée. Un contexte toujours d’actualité à l’instar de l’affaire Cambridge Analytica qui précède de peu l’entrée en vigueur du RGPD.
À qui le RGPD s’applique-t-il ?
D’ailleurs, ce dernier aurait été applicable à l’époque des faits puisque ceux-ci impliquent une entreprise européenne. Mieux, un certain nombre de victimes de cette collecte massive de données non consentie sont européens, dont des Français. Autrement dit, le RGPD est d’application large puisqu’il concerne aussi bien les entreprises du continent que celles hors de l’Union à partir du moment où elles traitent des données de citoyens européens. Le secteur public doit lui aussi se mettre en conformité avec le Règlement sauf exceptions comme la sécurité nationale.
Quels sont les apports du RGPD pour les citoyens européens ?
Concrètement, les utilisatrices et utilisateurs du continent voient leurs droits renforcés en matière de protection des données personnelles. Ces dernières désignent tout élément d’information susceptible d’identifier une personne directement ou indirectement comme le nom, une adresse IP ou un enregistrement vocal. Exploitées à des fins commerciales, par exemple du ciblage publicitaire, elles sont devenues l’ « or noir » de l’économie numérique. Au détriment des principaux concernés qui voient le contrôle sur leurs données s’éloigner sous prétexte que les produits utilisés sont gratuits.
Tel est l’objectif du RGPD : remettre l’utilisateur au centre, même si l’économie n’est jamais bien loin, les nouveaux standards en matière de vie privée ayant aussi pour but de privilégier l’accès des acteurs du numérique européens à un marché de 500 millions de personnes.
Redonner du pouvoir au citoyen passe par le renforcement de ses droits. En l’occurrence, ses données personnelles ne peuvent plus être traitées sans se voir demander au préalable son « consentement libre, spécifique et contrôlé ». Vous vous demandiez peut-être pourquoi votre boîte mail connaissait une activité intense ces derniers temps ? À l’approche de la date fatidique du 25 mai, les entreprises se sont assurées que vous aviez bien consenti à leurs services. L’occasion de se désabonner de ceux contractés depuis belle lurette mais dont on ne savait pas comment se retirer (ou qu’on avait tout simplement oubliés !). Bonne nouvelle : l’article 7 du RGPD facilite le retrait du consentement.
Celui-ci sera d’autant plus établi que les mentions légales et les conditions générales de vente des entreprises devront être rédigées en « des termes clairs et simples ».
Toujours relatif au consentement, celui-ci ne peut être accordé que par des personnes disposant de la majorité numérique. Celle-ci a été fixée à moins de 16 ans avec la possibilité de descendre jusqu’à 13. En France, elle est de 15 ans. En-dessous, le mineur doit recevoir l’aval de ses parents. Certains réseaux sociaux sont prévenus.
Par ailleurs, le RGPD consacre de nouveaux droits au bénéfice de l’utilisateur. Ainsi en est-il du droit à la portabilité qui lui permet de transférer le traitement de ses données personnelles d’un service à un autre sauf exceptions prévues par la loi et cas de missions d’intérêt public ou exercices de l’autorité publique.
Quelles obligations le RGPD impose aux entreprises ?
Qu’en est-il du RGPD vu du côté des entreprises ? Traduction des droits octroyés ou renforcés des utilisateurs, ces dernières se voient assigner des obligations supplémentaires qui signalent un changement de paradigme. En effet, elles doivent maintenant être capables de démontrer que leur traitement des données personnelles est conforme à la législation européenne. Pour ce faire, il est recommandé de tenir un registre à jour de ces données : pour les entreprises de plus de 250 salariés, cela est obligatoire.
Un délégué à la protection des données (DPO pour Data Protection Officer) s’impose en cas de traitement à grande échelle de données dites « sensibles » (opinion politique, santé, orientation sexuelle…). Cela vaut aussi pour le suivi massif, systématique et régulier de personnes, comme sur les réseaux sociaux.
À cela s’ajoute une obligation de transparence pour les entreprises en cas de « risque élevé pour les droits et libertés » de leurs utilisateurs. Ces derniers doivent être informés de la situation dans les 72 heures, de même que l’autorité de protection des données personnelles du pays où elles sont installées (la Commission Nationale de l’Informatique et des Libertés ou CNIL en France). En d’autres termes, si le service que vous utilisez a été victime de piratage, vous devriez être rapidement tenu au courant.
Last but not least : en cas de violation de ses dispositions, le RGPD prévoit des sanctions sévères. Jusqu’ici limitée à 3 millions d’euros d’amendes, la CNIL pourra maintenant aller jusqu’à 4% du chiffre d'affaires mondial ou 20 millions d’euros. Sur ce point, l’autorité a promis de faire de preuve de souplesse dans un premier temps à l’égard des TPE-PME qui n’ont pas les moyens des GAFAM pour se mettre en conformité avec le RGPD.
Article de Thierry Randretsa
