RGPD : tout savoir en 9 questions sur le nouveau règlement sur la protection des données

Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur en Union Européenne à partir du 25 mai 2018. A cette date, les entreprises qui traitent les données de citoyens européens devront faire davantage pour protéger leurs données personnelles et obtenir leur consentement en cas de collecte de données. Mais ça change quoi concrètement ? On vous propose d'y voir plus clair en 9 questions !

rgpd

Qu'est ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) vise à protéger les données relatives à la vie privée des citoyens de l'Union Européenne. Il vise principalement à harmoniser des pratiques très différentes en fonction des pays pour peser davantage contre les firmes transnationales et leur collecte de données, en particulier les GAFAM (Google, Apple, Facebook, Amazon et Microsoft). Mais aussi à améliorer la sécurité informatique des entreprises et des administrations de l'Union Européenne et les protéger contre l'espionnage industriel.

Bien sûr le but principal est surtout de donner plus de visibilité et de contrôle des données personnelles des citoyens européens : quelles sont ces données collectées, à quelle fin, et combien de temps seront-elles conservées par l'entreprise auteure de cette collecte. Le texte devrait, vous allez le voir, réduire en prime le volume des données collectées car les entreprises devront justifier leur collecte auprès des intéressés et des autorités et ne pourront plus vraiment faire ce qu'elles veulent sans risquer de (très) lourdes sanctions.

Qu'est-ce qu'une donnée personnelle ?

Ce sont toutes les données qui permettent directement ou indirectement (par croisement) d'identifier des personnes. Cela peut être le nom, prénom, adresse postale, email, adresse IP, numéro de téléphone, lieu de résidence, lieu et date de naissance, numéro de sécurité sociale, numéro de carte bleue, plaque d'immatriculation, photos, âge, sexe, ADN, empreintes, intérêts, opinion, revenus, comportements sur internet (comme les sites visités), interactions sur les réseaux sociaux, liens avec d'autres personnes, données sur la santé, géolocalisation, conversations, (etc) entre autres exemples.

Ces données sont partout dans les entreprises – jusque dans les carnets d'adresses professionnels, et bases de données clients. Cela n'est donc pas simplement restreint aux données issues des réseaux sociaux comme Facebook pris dans le scandale Cambridge Analytica.

Qui est visé par le RGPD ?

Tous les acteurs (entreprises, associations, organisations internationales) proposant des biens, services, ou traitant des données sur des résidents de l'Union européenne et opérant dans le marché Unique sont concernées par le RGPD. Mais aussi leurs sous-traitants. Le texte précise “le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”.

Ces entreprises, organisations et associations peuvent ou non avoir un siège en Union Européenne : tant qu'elles traitent des données sur les citoyens de l'Union Européenne, elles doivent s'y conformer !

Qu'est-ce que ça change pour les entreprises ?

Les entreprises doivent pouvoir dire à tout moment où sont les données, comment elles sont collectées, stockées dans quel but et transmettre tout cela à la personne qui en fait la demande. Il y a toute une liste de mesures qu'elles doivent mettre en place pour préparer l'application du texte :

  • Responsabilisation : c'est à l'entreprise de prendre toutes les mesures pour garantir la conformité au texte européen et à démontrer en cas de recours qu'elle respecte bien le RGPD.
  • Protection des données personnelles dès la conception du produit ou service
  • La sécurité doit être forte, par défaut et l'organisme doit répondre des conséquences si l'intégrité de son système d'information est compromise
  • Designation d'un data protection officer ou délégué à la protection des données : il doit veiller à la conformité avec la RGPD et fait le lien avec les autorités
  • Etudes d'impact : celles-ci doivent être réalisées avant la mise en place d'un service, et permettre de trouver des mesures pour réduire l'impact du service sur la vie privée

En outre, les données collectées doivent rester dans l'Union Européenne sauf dérogation. En cas de fuite de données et/ou piratage, les personnes concernées ainsi que la CNIL en France et/ou ses homologues dans l'un des 27 pays de l'Union doivent être informées dans les 72 heures. Ces infractions doivent être reportées dans un registre de violations de données.

Qu'est-ce que ça change pour les internautes européens ?

Les entreprises doivent désormais minimiser les données collectées, ce qui veut dire que moins de données sur vous seront récupérées. Dès qu'une donnée personnelle est collectée, l'internaute devra par ailleurs donner son consentement explicite. Des mentions légales doivent expliquer la raison de cette collecte, comment ses données seront utilisées et pendant combien de temps elles seront conservées

Il y a aussi le droit à la portabilité des données : cela implique que vous pouvez demander à Google, Facebook, Apple, Amazon et Microsoft, entre autres, de télécharger l'intégralité des données qu'ils possèdent sur vous dans un format structuré. Cela signifie également que ces données ne seront transmises à un autre “responsable de traitement” que sur votre demande. A priori, cela signifie donc la fin de la vente (légale) de données personnelles dans votre dos.

Que risquent les entreprises qui ne s'y conforment pas ?

Les textes prévoient des sanctions à la fois inédites et très lourdes, entre 4% du chiffre d'affaires annuel mondial et 20 millions d'euros. Dans tous les cas c'est la somme la plus importante qui sera retenue. Par ailleurs, en cas de plainte, c'est l'entreprise visée qui doit rembourser les frais de justice. Tout est fait pour que les entreprises souhaitant profiter du marché unique s'y plient, même si ce sont des multinationales.

Dans quelle zone le texte s'applique-t-il vraiment ?

La question est loin d'être absurde. Le règlement général sur la protection des données s'applique bien sûr dans l'espace constitué des 27 Etats-membres de l'Union Européenne. Mais en réalité, ce texte très attendu a des conséquences bien au-delà ce ces frontières. Il définit un standard qui n'existait pas dans un contexte mondial de défiance à l'égard de la collecte de données.

Ainsi Facebook, par exemple, a annoncé que les protections de la RGPD seraient appliquées sur toutes les versions du réseau social dans le monde. Comble de l'ironie, d'autres entreprises adopteront le texte comme Facebook jusqu'aux Etats-Unis.

A partir de quelle date le RGPD entrera-t-il en vigueur ?

Le texte entre en vigueur le 25 mai 2018, mais les effets de ce nouveau règlement seront progressivement visibles avant cette date. Pour que les entreprises se conforment au RGPD le jour J elles doivent en effet avoir préalablement demandé à leurs utilisateurs leur consentement (ou le refus du consentement) pour la collecte des données personnelles.

C'est le cas de Facebook qui a annoncé la liste des changements pour se conformer au RGPD. Le texte lui-même est l'aboutissement d'un long processus. L'année 2017 était pour elles une année de transition. Peu à peu, de plus en plus de sites donneront des contrôles étendus sur la manière dont vos données sont collectées et permettront très facilement de les télécharger.

Quelles sont les faiblesses du texte ?

Comme pour tout nouveau texte mieux vaut ne pas complètement s'emballer. Le RGPD manque encore de jurisprudence : les textes prévoient bien des sanctions minimales et maximales, mais il faudra attendre des décisions de justice pour vraiment connaître les montants exacts de ces sanctions. L'action en justice prévue par la Quadrature du Net contre les GAFAM le 25 mai 2018, jour d'entrée en vigueur de la RGPD, devrait contribuer à éclaircir ce point.

D'autres plaintes moins médiatiques pourraient également surgir, vu qu'il y a encore à la date où nous écrivons ces lignes de nombreuses entreprises dans l'Union (notamment des startups) qui peinent à se mettre au diapason.


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !