Qu’est-ce que c’est et qu’est-ce que ça va changer ?

Le Règlement Européen sur la Protection des données a été publié le 4 mai 2016 et est entré en application le 25 mai 2018. Le RGPD a trois objectifs :

  • renforcer les droits des personnes physiques sur leurs données personnelles,
  • donner plus de pouvoirs aux autorités européennes

  • responsabiliser les entreprises dans le traitement des données personnelles.

Dans un contexte où, selon des études, 80% des français craignent un vol ou un détournement de leurs données (les Echos.fr), il est urgent de rétablir la confiance des internautes lorsqu’ils surfent sur Internet. Ce texte va s’appliquer à tous les acteurs économiques : les entreprises, les associations, administrations, collectivités locales et syndicats d’entreprises, c’est-à-dire toutes les structures collectant et traitant des données à caractère personnel.

Avant l’arrivée du RGPD, chaque Etat européen possédait une réglementation différente ce qui empêchait l’usage d’un règlement unifié pour les acteurs et une meilleure sécurisation des données personnelles pour les internautes. Ainsi le RGPD a pour principale mission de d’améliorer le climat de confiance entre les internautes et les entreprises et de renforcer les droits et la protection des données des internautes européens concernant leurs données personnelles.

Concrètement, qu’est-ce que ça va changer pour les internautes ?

Une meilleure protection des données

Le RGPD prévoit la standardisation de la protection des données. Le nouveau règlement impose donc aux entreprises d’intégrer la protection des données utilisateurs dès la conception d’un projet. C’est ce qui est appelé le « privacy by design » autrement dit « protection de la vie privée dès la conception ». La protection des données personnelles ne pourra plus être considérée comme un critère optionnel pour les entreprises.

Le consentement des usages

Le RGPD a repensé ce principe fondamental du consentement des utilisateurs. Ainsi les entreprises ne pourront plus détenir et traiter des données personnelles sur les personnes si elle n’a pas de relation contractuelle ou une obligation légale avec elle. Si le traitement des données n’a pas pour objectif l’intérêt général ou les intérêts vitaux de la personne, ou si la collecte n’a pas de motif légitime, l’entreprise n’est pas en droit de les traiter les données personnelles sauf si elle a obtenu un consentement clair de la personne concernée.

Les entreprises devront prouver aux autorités de contrôle que les personnes ont accepté que leurs données personnelles soient utilisées à tels ou tels types de finalité. (démarchage commercial, marketing, analyse statistique, etc.). Le pouvoir revient réellement à l’internaute et ce ne sera plus les entreprises qui décideront de comment seront réutilisées ces données en noyant l’information dans une montagne de conditions générales que peu de personnes lise.

Un droit à l’oublie renforcé

Article 40 du RGPD : « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.» Les entreprises seront obligées de donner la garantie de l’effacement de leurs données personnelles, sur tous les systèmes, sous 30 jours, aux personnes qui le leur demanderont.

La portabilité des données

Evoqué plus haut dans les droits des internautes, les services concernés par la portabilité des données, comme les opérateurs téléphoniques, seront dans l’obligation de permettre à une personne de conserver son numéro en cas de départ chez un concurrent. Pour ce faire, les entreprises devront fournir aux personnes un fichier lisible et clair regroupant toutes leurs données personnelles afin de faire gagner du temps et faciliter la portabilité. Soit les personnes assurent elle-même cette portabilité ou soit elles peuvent demander aux entreprises de transférer le fichier à un concurrent.  

La nomination d’un délégué à la protection des données (DPO)

Afin de faciliter la mise en œuvre et l’application des nouvelles contraintes du RGPD dans les entreprises concernées par le traitement des données, ces dernières devront nommer un délégué à la protection des données (DPO).

Ainsi le correspondant informatique et liberté (CIL) change de nom, mais ce ne sont pas les seuls changements qui s’opèrent.  Il aura notamment comme missions et droits :

  • De veiller à la correcte mise en œuvre de la mise en conformité RGPD.
  • D’informer le personnel de leurs nouvelles obligations concernant la gestion des données à caractère personnel.
  • De centraliser les demandes d’application des droits des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, demande de modification, etc.)
  • D’être un lien et de coopérer avec les autorités de contrôle

Le territoire n’est plus limite

Le RGPD remet au centre du dispositif la personne et lui permet de mieux maîtriser ses données à caractère personnel. Ce règlement va désormais s’appliquer dès lors qu’un résident européen sera concerné par un traitement de données. Ainsi, les entreprises internationales se soumettent désormais au droit européen dès lors qu’ils sont en lien avec un citoyen européen. Ce nouveau critère appelé « ciblage » est une réelle évolution dans la gestion des données personnelles car désormais, le problème de la territorialité du droit européen sur la protection des données est résolu. La protection se construit maintenant autour de la personne et non plus seulement sur le territoire où le droit s’applique.

Une sanction plus dure en cas de non-respect

Jusqu’ici, les sanctions maximales que pouvait donner la Cnil aux entreprises ne respectant pas la loi sur les données personnelles, étaient de 150 000€ d’amende et 300 000 en cas de récidive. Une peine qui dissuade très peu les grandes entreprises atteignant des chiffres d’affaires à plusieurs millions d’euros.    

Désormais, la Cnil (seulement sur le territoire français) pourra sanctionner à hauteur maximale de 4 % du chiffre d’affaires mondial des entreprises n’étant pas en conformité avec le RGPD.

Une sanction bien plus dissuasive qui motivera sans doute beaucoup plus les grandes entreprises à respecter la loi.

Voici les sept grands changements qui vont bouleverser les entreprises et les internautes dans la gestion de leurs données personnelles. Ces évolutions sont encore complexes et floues au niveau de la mise en œuvre technique, mais si ce projet réussit à aboutir correctement, il garantira enfin une réelle protection des données personnelles et un vrai contrôle, pour les internautes, de leur identité numérique. Faire renaitre un climat de confiance entre les entreprises et les internautes, pourrait permettre d’impacter positivement sur le long terme, l’économie et les échanges online.