Les clés du social Un regard sur le social

Accueil > Europe, Monde > #Institutions > Le Règlement général sur la protection des données (RGPD) européen : quelles (...)

Le Règlement général sur la protection des données (RGPD) européen : quelles conséquences ?

samedi 12 mai 2018

Le règlement général sur la protection des données (RGPD) s’appliquera de façon obligatoire à tout résident européen à partir du 25 mai 2018. C’est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles des entreprises s’appuient pour proposer des services et des produits. Il faut s’en féliciter car il s’agit d’un progrès dans la protection des citoyens européens. La Commission nationale informatique et libertés (CNIL), interlocutrice des entreprises pour la France, propose un guide pratique, mode d’emploi du RGPD. Le projet de loi relatif à la protection des données personnelles, chargé de la transposition en droit français, a terminé les navettes parlementaires le 19 avril 2018. Les modifications apportées par ce projet de loi seront codifiées, par voie d’ordonnance, afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique.

Harmoniser le cadre juridique en matière de protection des données : une volonté des instances européennes. Les règlements européens, contrairement aux directives, doivent être appliqués de façon directe afin que le texte soit le même pour chaque État européen.

Trois objectifs spécifiques au RGPD :

  • Renforcement du droit des personnes dont les données font l’objet d’un traitement.
  • Responsabilisation des entités qui réalisent un traitement sur les données.
  • Accroissement d’une régulation mieux encadrée.

C’est quoi une donnée personnelle ? C’est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc…

Ce texte doit également être appliqué aux responsables de traitement et aux sous-traitants établis en dehors du territoire de l’Union européenne si ceux-ci ciblent des résidents européens. Aussi des géants, comme Google, Facebook, Amazon ou Uber, doivent tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne.

Qu’est-ce que le RGPD change pour l’internaute ? Il met en place un certain nombre de protections. Ex : les entreprises doivent récolter un consentement écrit, clair, explicite de l’internaute avant tout traitement de données personnelles, ou s’assurer que les enfants onnt bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.

Le RGPD inclut aussi pour l’internaute une reconnaissance du droit d’accès, du droit de rectification, du droit à l’oubli pour obtenir le retrait ou l’effacement des données personnelles en cas d’atteinte à la vie privée, du droit d’opposition, du droit à la portabilité des données, pour pouvoir passer d’un réseau à l’autre ou d’un site de streaming à l’autre, d’un FAI (fournisseur d’accès à internet) à l’autre, sans perdre ses informations, du droit d’être informé en cas de piratage des données… Les internautes pourront aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.

Les pouvoirs des autorités de protection des données seront accrus. En France, la CNIL (Commission nationale éthique et libertés) sera l’interlocutrice des entreprises et assurera la coopération avec les autorités des autres pays européens. Un nouvel organe européen sera créé : le Comité européen de protection des données (CEPD), destiné à remplacer le G29.

Quelles sont les sanctions prévues par le RGPD ? Les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, sont prévues pour l’organisme fautif. Une société sera responsable de son sous-traitant.

La CNIL distinguera deux types d’obligations s’imposant aux professionnels :

  • Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données…). Ils continueront à faire l’objet de vérifications rigoureuses par la CNIL.
  • Les nouvelles obligations ou les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact…). Les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes.

En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.

Pour Nicole Belloubet, garde des Sceaux, ministre de la justice, ce projet de loi sur la protection des données personnelles est plus politique que technique. Le gouvernement fera le choix de maintenir certaines formalités préalables pour le traitement des données les plus sensibles comme les données biométriques, génétiques, ou les données de santé.



Références