RGPD et données personnelles : quelles sont les implications du nouveau règlement européen ?
RGPD, c’est le sigle qui fuse de partout sur Internet en ce moment. Le règlementi européen sur la protection des données personnelles entre en vigueur ce vendredi 25 mai 2018. Les interentreprises du web ont désormais une obligation de transparence vis-à-vis des citoyens européens quant à la manière dont leurs données personnelles sont gérées. Les contours de ce règlement sont très vastes.
Depuis plusieurs mois, les entreprises du numérique s’attellent à se confirmer au règlement européen sur la protection des données personnelles (RGPD). Celles qui avaient encore du retard devaient rejoindre les rangs avant le 25 mai 2018, date à laquelle l’applicabilité des dispositions démarre dans les 28 États membres de l’Union européenne.
La date tombe juste quelques semaines après le scandale Cambridge Analytica qui a exposé comment les données personnelles des utilisateurs de Facebook ont été exploitées à leur insu pendant l’élection présidentielle américaine de 2016. Le RGPD vient donc à point nommé. Et ceci est le fruit du hasard puisqu’il n’existe aucun lien de causalité entre les deux événements.
Si vous utilisez les services de Google, Amazon, Facebook et des autres acteurs du numérique, impossible que vous ayez échappé aux messages diffusés via des popups, infobulles ou encore par mail sur le changement des politiques de confidentialité ou des CGU. Quelles sont les implications de cette nouvelle loi sur les données personnelles pour les internautes et pour les entreprises ?
Qu’est-ce que le RGPD ?
Révolution ou évolution ? On est plus porté à dire qu’il s’agit d’une évolution puisque plusieurs dispositions légales encadraient déjà l’usage des données personnelles dans les pays de l’Union européenne. Le règlement européen sur la protection des données personnelles devient simplement le nouveau texte de référence dans toute l’UE. Il a été définitivement adopté par le Parlement européen le 14 avril 2016, mais ses dispositions sont applicables depuis le 25 mai 2018.
Le RDDP apporte plus de clarté, d’uniformité et vise à mieux protéger la vie privée des citoyens européens sachant que la collecte des données est au cœur des services des géants du web. Il a également un autre objectif : améliorer la sécurité informatique des entreprises, mais aussi des administrations de l’Union européenne afin de les protéger contre l’espionnage industriel et institutionnel.
Désormais, les internautes européens ont plus de contrôle sur leurs données personnelles et savent exactement ce qui est conservé sur les serveurs des entreprises, à quoi ces données servent, combien de temps elles sont conservées, etc.
Entreprises concernées par le RGPD et sanctions appliquées aux contrevenants
Le RGPD ne s’applique pas qu’aux GAFAM (Google, Amazon, Facebook, Apple ou Microsoft). Sont concernées : toutes les entreprises (des plus petites aux plus grandes) qui traitent des données relatives à au moins un citoyen de l’Union européenne, même si ces entreprises n’ont pas leur siège dans l’UE.
En cas de non-respect des nouvelles dispositions du RGPD, les entreprises s’exposent à des sanctions incluant une amende pouvant aller jusqu’à 20 millions d’euros, voire 4% du chiffre d’affaires dans le cas de certaines violations particulièrement graves.
Qu’est-ce qui va changer pour les citoyens européens ?
Plusieurs choses. Notamment le droit d’être mieux informé. Les entreprises doivent se montrer plus transparentes et moins ambiguës sur les données qu’elles conservent et à quoi elles servent. L’information doit être apportée de la manière la plus claire et accessible à la grande masse au moment de l’inscription, mais aussi dans la politique de confidentialité et les Conditions générales d’utilisation. Peu de personnes savaient par exemple que Facebook cachait un annuaire inversé qui permet à n’importe qui de retrouver un utilisateur grâce à son numéro de téléphone.
Les contacts de votre répertoire téléphonique sont stockés sur les serveurs du réseau social, comme sur ceux de Google et d’autres services. Si cette sauvegarde peut-être utile pour retrouver des numéros perdus, elle ne respecte pas la notion de consentement qui est l’un des points les plus importants du RGPD.
Récupérer ses données et changer de services plus facilement
Il est désormais plus facile – ou il le sera de plus en plus en plus dans les mois à venir – de changer de services tout en ayant la possibilité de récupérer toutes ses données personnelles. Facebook permet par exemple de télécharger une archive de toutes vos données et activités sur le réseau social. Il en est de même pour Instagram. C’est aussi une excellente manière d’avoir une vue panoramique sur l’ensemble de vos informations et données stockées sur les serveurs des services en ligne. Le RGPD insiste par ailleurs sur la nécessité de chiffrement des données personnelles.
Le périmètre du règlement est très vaste et il est impossible de les mentionner dans le cadre restreint de cet article. Peu d’entreprises en maîtrisent d’ailleurs tous les contours, même si tout le monde essaie autant que faire se peut de s’y conformer. Il n’y a pourtant pas de dérogation quant à l’applicabilité des sanctions. Le but du RGPD est clair : faire du respect de la vie privée et de la protection des données personnelles un principe sine qua non.