Vous utilisez Facebook, Spotify, Netflix ou Amazon ? Si oui, vous avez certainement reçu de (nombreux) mails vous informant d’une mise à jour ou en conformité de leur politique de confidentialité avec une nouvelle loi : le RGPD. Ce règlement européen sur la protection des données personnelles entre en vigueur ce vendredi 25 mai. Décryptage.Le RGPD, pour Règlement général sur la protection des données, est un règlement de l’Union européenne qui se veut être la référence en matière de protection des données à caractère personnel au sein de l’Union. Il a été définitivement adopté par le Parlement européen le 14 avril 2016 après quatre années de négociations législatives, et ses dispositions sont directement applicables dès ce vendredi 25 mai dans l’ensemble des 28 États membres. Dans le cas de la France, le RGPD vient mettre à jour la loi Informatique et Libertés datant de… 1978. Notre pays s’est très tôt intéressé à la protection des données personnelles ; le RGPD n’est donc pas révolutionnaire en soi.
Lire aussi :
Sophia : le premier citoyen robot humanoïde
Le vrai changement réside essentiellement dans l’effectivité du système de protection, qui remplace un principe d’autorisation a priori, par un contrôle a posteriori. Renforcement des droits des particuliers, augmentation des obligations, nouveaux recours et pouvoirs de sanction, tout est orchestré pour protéger vos données…
Avant toute chose, qu’est-ce qu’une donnée personnelle ? D’après le RGPD, une donnée personnelle correspond à « toute information relative à un particulier identifié ou identifiable, directement ou indirectement, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité ». Concrètement, il s’agit de l’ensemble des informations relatives à votre identité, mais aussi votre géolocalisation, vos contacts, vos recherches sur internet, vos références de carte bancaire, votre image… En résumé ? Toutes vos traces passées et présentes laissées sur le net.
Davantage de droits pour les particuliers
Vous avez probablement reçu de Google, Facebook, Instagram ou de toutes autres sociétés présentes sur la toile, des mails ou des notifications vous informant de ce changement de traitement des données personnelles. Et pour cause, 75% des applications installées sur votre smartphone collectent vos données personnelles (localisation, contacts, contenu). Pour éviter que la vie privée des particuliers soit à la portée de tous en quelques clics audacieux, le projet de loi permet à chacun d’être en mesure de connaître le contenu de ces données et de s’opposer à leur traitement. C’est l’émergence d’un véritable droit à l’oubli.
Lire aussi :
« Le bien commun est une notion qui éclaire l’innovation »
« S’il crée de nouvelles obligations pour les entreprises, le RGPD garantit une plus grande liberté au particulier dans la gestion de ses données personnelles », explique à Aleteia maître Thierry Vallat, avocat à la cour. « Désormais, l’internaute peut faire valoir quatre types de droits : le droit d’information, le droit de rectification, un droit d’opposition et le droit à la portabilité », souligne-t-il :
- un droit d’accès à ses données personnelles : il sera possible d’obtenir du responsable du traitement la confirmation que des données à caractère personnel sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données et la connaissance de leur destination ;
- un droit de rectification et d’effacement des données : outre la rectification des données inexactes, l’effacement de données personnelles déjà transmises sera possible si elles ne sont plus nécessaires, illicites, si la personne connectée retire son consentement ou s’oppose au traitement qui n’est pas légitime ;
- un droit à la portabilité des données : c’est la possibilité de recevoir les données personnelles fournies à un responsable de traitement et de les transmettre à un autre responsable sans que le premier y fasse obstacle ;
- un droit d’opposition : la personne concernée peut s’opposer au traitement de ses données personnelles y compris des données destinées à un profilage ;
Des contrôles efficaces pour les faire respecter
Lors du colloque organisé à Rome sur la protection des mineurs dans le monde numérique en octobre dernier, le pape François a interpellé les professionnels du numérique sur les risques d’Internet : « Nous savons qu’aujourd’hui les mineurs sont plus d’un quart des plus de trois milliards d’utilisateurs d’internet […]. Que trouvent-ils sur le réseau ? Et comment sont-ils considérés par ceux qui, de diverses manières, ont pouvoir sur le réseau ? […] Nous sommes appelés à nous mobiliser ensemble […] afin de donner des réponses efficaces ». Une première réponse est envisagée par le projet de loi. Dès le 25 mai, l’âge à partir duquel un mineur peut s’inscrire sur les réseaux sociaux sans autorisation parentale est fixé à 15 ans. Selon le rapporteur du projet de loi, Paula Forteza (LREM), c’est « l’âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet ».
Lire aussi :
Faut-il avoir peur des intelligences artificielles et des robots ?
Le particulier dont le traitement des données personnelles n’est pas conforme au RGPD disposera également de nombreux recours. Pour faire valoir ses droits, il doit en premier lieu écrire à la société responsable du traitement. S’il n’obtient pas gain de cause, il pourra saisir l’autorité de contrôle, la CNIL, d’une réclamation. Il est également possible d’engager une action en justice. Mais, la vraie révolution est inscrite à l’article 80 du RGPD. Dorénavant, il sera possible pour la personne concernée de mandater une association ou une ONG pour exercer une action collective. Certaines ont déjà annoncé qu’elles déposeront dès le 25 mai 2018 des actions contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), géants de l’Internet peu soucieux des droits et libertés.
Une mise en conformité complexe pour les entreprises
De nouvelles obligations sont à la charge de l’entreprise qui collecte des données personnelles. Il lui faut désormais recueillir le consentement éclairé des particuliers au traitement de leurs données et leur permettre de refuser toute collecte. Ainsi, l’entreprise doit être en mesure de justifier avoir informé ses clients de la manière dont les données personnelles sont traitées et de la démarche à suivre pour en demander la rectification ou l’effacement. Elle doit aviser ses clients de la destination du traitement de ces données personnelles (prospection, envoi de commande, prise de rendez-vous). Il lui appartient aussi de sécuriser le traitement des données collectées afin d’éviter tout vol ou piratage. Les sociétés détentrices de données seront donc responsables des informations collectées et devront en assurer la protection sous peine de sanction de la CNIL, dont le montant pourra s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Lire aussi :
Le patron de Facebook présente ses excuses pour avoir censuré un crucifix
Cette nouvelle réglementation pourrait toutefois créer un important déséquilibre entre les acteurs économiques. Certes, un important amendement, proposé par Éric Bothorel (LREM), a été adopté pour s’assurer que Google et Apple ne puissent imposer leurs navigateurs et moteurs de recherche par défaut sur les smartphones, tablettes et PC. Toutefois, pour Jean-Paul Crenn, fondateur du cabinet conseil en e-commerce VUCA Strategy, « loin d’affaiblir [les GAFAM], ce projet de loi va les rendre encore plus puissant en les protégeant encore mieux de leurs concurrents actuels et futurs ». En pratique, la mise en conformité avec le RGPD, particulièrement complexe, coûte cher aux petites et moyennes entreprises. Face aux GAFAM, qui ont déjà des armées de lobbyistes, d’avocats et de développeurs pour gérer ces nouvelles contraintes, les petits acteurs économiques risquent fort de paraître moins fiables et sécurisés. On comprend mieux pourquoi le PDG de Facebook s’est dit récemment favorable à la régulation instaurée par le RGPD.
“Il faut garder à l’esprit que ces données personnelles valent de l’or pour les entreprises, prévient encore maître Thierry Vallat. Quand le service est gratuit, c’est bien souvent l’internaute le produit ! Je suis sidéré par le degré de confiance que certains adolescents peuvent avoir envers les réseaux sociaux… les piratages sont tellement faciles ! Bien sûr le RGPD va dans le bon sens pour les particuliers mais il faut surtout éduquer et former pour permettre à chacun une bonne utilisation d’Internet.”
Lire aussi :
Lilo, ou comment donner du sens à ses recherches internet