Vous êtes ici :

C'est quoi le RGPD ?

Le Règlement général sur la protection des données personnelles, qui renforce un droit français déjà protecteur, sera applicable partout en Europe à partir du 25 mai.
Lorsqu’ils se réveilleront le 25 mai, les Européens ne s’en apercevront sans doute pas, mais leurs données personnelles seront un peu mieux protégées. À cette date s’appliquera, en effet, le Règlement général sur la protection des données personnelles (RGPD), un texte européen ambitieux qui va instaurer des obligations et des droits dans toute l’Europe concernant la manière dont les données personnelles sont collectées et traitées.

Pour les entreprises, se conformer au RGPD est un bouleversement. Pour les Français en revanche, les changements seront moins visibles : le droit hexagonal, issu d’une directive de 1995 diversement transposée dans l’Union européenne, est déjà relativement complet en la matière.

Consentement des mineurs

Le RGPD a fixé à 16 ans l’âge à partir duquel un mineur n’a plus besoin de l’autorisation de ses parents pour utiliser un réseau social. En dessous de cet âge, un mineur ne peut pas consentir seul à voir ses données personnelles traitées par un service sur Internet, comme Facebook ou Instagram, par exemple. Les services en ligne devront recueillir l’autorisation des parents pour obtenir et traiter les données personnelles, dans la limite « des moyens technologiques disponibles ».

Le texte laisse cependant des marges de manœuvre aux Etats membres qui peuvent abaisser ce seuil à 13 ans.

Facebook, par exemple, ne prendra pas de mesure particulière pour empêcher les mineurs d’utiliser ses services, mais sans autorisation de leurs parents, ces derniers « verront une version moins personnalisée de Facebook avec un partage restreint et des publicités moins pertinentes ». Autrement dit, la plupart de leurs données ne seront pas traitées par le réseau social.

Portabilité des données

Le RGPD apportera un nouveau droit aux internautes : celui de pouvoir récupérer et transférer leurs données personnelles gratuitement d’un service à un autre. C’est ce qu’on appelle le droit à la portabilité des données, qui permettra, par exemple, de télécharger ses e-mails d’un fournisseur donné pour continuer à les utiliser chez une autre entreprise, un petit peu comme il est possible depuis quelques années de conserver son numéro de téléphone mobile lorsqu’on change d’opérateur.

Le règlement prévoit la possibilité que le transfert puisse être fait automatiquement entre fournisseurs de services, sans que l’internaute ait besoin de les manipuler.

Communication en cas de fuite

Pour tenter d’éviter que les données personnelles des Européens fuitent ou soient indûment transmises à des tiers, le RGPD prévoit, pour les entreprises gérant des données personnelles, de contraignantes obligations de sécurité.

Ces dernières devront aussi avertir « en des termes clairs et simples » leurs clients ou usagers en cas de « violation de données personnelles », par exemple en cas de piratage. Mais cet avertissement ne sera pas systématique : les utilisateurs seront prévenus seulement lorsque cette « violation » est « susceptible d’engendrer un risque élevé pour les droits et libertés ». De plus, si les données étaient protégées par de la cryptographie – donc illisibles par d’éventuels pirates –, l’entreprise n’aura pas l’obligation d’avertir ses clients ou usagers.

Recours, réparations et amendes

Si un Européen estime que ses données personnelles ont été utilisées ou collectées en contradiction avec la loi, il sera possible d’introduire un recours auprès des autorités de protection des données, la Commission nationale de l’informatique et des libertés (CNIL) en France. C’est déjà le cas, mais le RGPD ajoute une corde à l’arc des citoyens : la possibilité de lancer une action collective par une association ou un organisme ayant pour objectif la protection des données personnelles, et d’obtenir une « réparation du préjudice subi ». L’association française La Quadrature du Net a justement annoncé le lancement des premières actions collectives du genre, visant les géants du numérique américains.

Les amendes que pourront infliger les autorités de protection des données changent de dimension : elles pourront atteindre, selon les cas, jusqu’à 4 % du chiffre d’affaires (ou 20 millions d’euros).

Un risque suffisamment important pour faire remonter cette question des données personnelles très haut dans la hiérarchie de l’entreprise et agir comme une véritable incitation à respecter les droits de ses utilisateurs en la matière.

Des conditions d’utilisation plus claires

En France, les entreprises étaient censées informer les individus sur la façon dont elles manipulaient leurs données personnelles et dans quel but. Désormais, gravé dans le marbre du droit européen, elles devront le faire « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Plusieurs entreprises du numérique ont annoncé une réécriture de leurs conditions d’utilisation, ces textes qui annoncent la manière dont les données personnelles vont être traitées.

La notion de consentement, déjà présente, est renforcée. Les entreprises devront, sauf exception, demander aux individus leur autorisation pour traiter leurs données personnelles, là encore, « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Ainsi, Facebook a-t-il commencé récemment à demander à ses utilisateurs européens s’ils acceptaient toujours à partager leur croyance religieuse, qui est de surcroît une information plus protégée que les autres car sensible.

Enfin, dernière innovation de taille introduite par le RGPD : il sera applicable dès lors que les données sont collectées en Europe. Les entreprises dont le siège est situé hors de l’Union européenne ne pourront plus arguer de la non-applicabilité du droit européen.

Les grands principes déjà existants

De nombreux grands principes, déjà présents dans le droit européen et français, sont repris par le RGPD.

Les données doivent ainsi être traitées de manière « licite, loyale, transparente ». La « finalité », c’est-à-dire le but pour lequel les données sont traitées doit être « déterminée, explicite, légitime ». Les données collectées doivent être « adéquates, pertinentes, limitées, exactes, à jour », et conservées en sécurité.

Le consentement des internautes doit être respecté, sauf dans certains cas où le traitement des données est nécessaire, par exemple pour respecter un contrat (une vente en ligne) ou encore lorsque ce traitement est réalisé pour certaines missions de l’Etat en matière de sécurité (les fichiers de police par exemple).

Certaines données sont considérées comme sensibles et soumises à un cadre un peu plus restrictif, comme celles qui révèlent « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale », mais aussi les « données génétiques, […] biométriques » et celles relatives à la « santé ou [à] la vie sexuelle [et à] l’orientation sexuelle ».

Le RGPD ne concerne pas les traitements de données qu’une personne pourrait réaliser pour son usage strictement personnel.

Comme auparavant, un certain nombre d’informations doivent être communiquées à l’individu lorsqu’on lui réclame ses données, comme la nature des données demandées, l’identité de la personne ou de l’entité qui va les traiter, la raison pour laquelle elle les demande, combien de temps elles seront conservées… Ledit individu dispose également du droit d’y accéder, de les rectifier, de les effacer, et même de demander à ce qu’elles ne soient plus traitées, moyennant moult exceptions et conditions.

Le RGPD reprend aussi une notion déjà présente en droit français, celle qui interdit qu’une décision « produisant des effets juridiques » soit basée sur un « traitement automatisé » c’est-à-dire un programme informatique. Sauf si la loi l’autorise expressément et l’assortit de garanties « des droits et libertés » ou si l’individu donne son consentement.

Martin Untersinger
Source : Le Monde
Information sur les cookies
Nous avons recours à des cookies techniques pour assurer le bon fonctionnement du site, nous utilisons également des cookies soumis à votre consentement pour collecter des statistiques de visite.
Cliquez ci-dessous sur « ACCEPTER » pour accepter le dépôt de l'ensemble des cookies ou sur « CONFIGURER » pour choisir quels cookies nécessitant votre consentement seront déposés (cookies statistiques), avant de continuer votre visite du site. Plus d'informations
 
ACCEPTER CONFIGURER REFUSER
Gestion des cookies

Les cookies sont des fichiers textes stockés par votre navigateur et utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site utilise des cookies d'identification, d'authentification ou de load-balancing ne nécessitant pas de consentement préalable, et des cookies d'analyse de mesure d'audience nécessitant votre consentement en application des textes régissant la protection des données personnelles.
Vous pouvez configurer la mise en place de ces cookies en utilisant les paramètres ci-dessous.
Nous vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
Google Analytics est un outil de mesure d'audience.
Les cookies déposés par ce service sont utilisés pour recueillir des statistiques de visites anonymes à fin de mesurer, par exemple, le nombre de visistes et de pages vues.
Ces données permettent notamment de suivre la popularité du site, de détecter d'éventuels problèmes de navigation, d'améliorer son ergonomie et donc l'expérience des utilisateurs.