LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

  • Post author:
  • Post category:Tech (PnP)

Par Jules Cube

Le Règlement général sur la protection des données (RGPD) est un texte de loi venant réguler l’utilisation et le partage des données des consommateurs résidant dans l’Union Européenne et plus largement dans l’espace économique européen. Indexée sous le numéro 2016/679 et également connu sous le nom sympathique de « proposition de la commission COM/2012/010 final – 2012/0010 (COD) », cette régulation européenne très technique n’entraîne pas forcément l’adhésion des foules en raison de son caractère technico-juridique et de l’abstraction de la matière qu’elle régule. 

L’apparition récente de fenêtres occupant la moitié de votre écran et vous assurant que l’entreprise sur le site de laquelle vous naviguez en ce moment n’a pas de plus grande priorité que la protection de vos données personnelles est un bon indicateur du changement fondamental qu’a entrainé ce texte juridique. Si cet élément n’a pas été suffisant pour éveiller la curiosité de l’internaute, la grande quantité d’articles et de commentaires publiés au sujet du RGPD ont pu entraîner un intérêt et peut-être même une volonté de s’informer de manière plus poussée sur le sujet. Mais devant le caractère technico-légal des prises de décision de la commission européenne et leurs implémentations dans les différents pays, la durée du processus et le caractère abstrait de la matière régulée, obtenir une information complète est difficile. 

Cette régulation entraîne pourtant des obligations pour les entreprises (et peut amener une condamnation allant jusqu’à 20 millions d’euros ou 4% du CA de l’année… en fonction de la somme la plus élevée !) et des droits pour les particuliers intéressés par leurs données et les traces numériques qu’ils laissent. 

Les obligations faites aux entreprises

Dans un monde numérique où la présence sur internet n’est même plus une question mais une évidence, avec une utilisation de moyens de communication diversifiés, les risques auxquels une entreprise s’expose en manquant à son obligation de respecter le RGPD est évident. En fondant une entreprise ou en situation managériale dans une entreprise, une connaissance du RGPD ou une conscience de son importance et de ses enjeux peut éviter des coûts importants. 

L’objectif du règlement général sur la protection des données est de donner à l’utilisateur une visibilité complète sur la récolte de ses données ainsi que sur l’utilisation qui en est faite. L’information fournie doit contenir des données sur la base légale et l’utilisation des données personnelles, les tiers avec lesquels les données pourront être partagées et la durée de conservation des données. L’obligation revient à l’hébergeur du site de mettre à disposition de l’utilisateur les moyens de s’informer et de contrôler l’utilisation de ses données. Cette obligation ne s’applique qu’aux données des personnes physiques et non aux personnes morales (entreprises, associations…). 

Cette mise en place ne demande pas des moyens techniques énormes mais il est nécessaire de rappeler qu’elle s’applique à toutes les entreprises qui rendent leurs sites accessibles à des résidents de la zone économique européenne, sans distinction de taille. Un fondateur de start-up devra donc également respecter ces obligations.  

Concrètement, cette signification signifie qu’une entreprise collectant des données sur ses utilisateurs doit se baser sur l’une des six bases légales énumérées par le RGPD qui sont :

  • Le contrat 
  • Le consentement 

A noter que cette forme est la plus fréquente, puisque chaque site sur lequel nous nous rendons aujourd’hui nous demande notre accord pour utiliser nos données. Cela signifie que nous donnons notre consentement et que l’utilisation de nos données se base alors sur celui-ci. 

  • La tâche publique 
  • L’intérêt vital 
  • L’intérêt légitime 
  • L’obligation légale 

En plus de cette justification de l’utilisation des données des utilisateurs, l’entreprise doit également mettre à disposition de l’utilisateur une série d’informations lui permettant de comprendre comment ses données sont utilisées et la construction même du système d’exploitation des données ainsi que le stockage de ces dernières doivent correspondre à des obligations légales précises afin de respecter le RGPD.  

Le traitement des données doit se faire par des « mesures techniques et organisationnelles appropriées », cette formulation juridique vague signifie que dès la conception de l’outil qui servira à récolter et stocker les données des utilisateurs, la protection des données doit être la priorité. Ainsi, si plusieurs niveaux de protection des données sont disponibles, le niveau le plus élevé doit être celui proposé par défaut. 

Pour une entreprise dont l’activité principale est le traitement ou le stockage de données, l’emploi d’un Data Protection Officer (DPO) est une obligation légale, ainsi que la notification de toute fuite de données aux autorités nationales dans les 72 heures. Un article paru début 2019 dans le magazine Le Monde rapportait que le nombre de signalisations s’élevait déjà à plus de 1200 au moment de sa publication.

Principes à respecter dans tous les traitements de données (article 5)

L’article 5 est l’un des autres piliers de la loi. Il définit le niveau de qualité attendu de tout traitement de données à caractère personnel. Et sur la base de cet article, diverses sanctions peuvent être imposées aux contrôleurs qui ne respectent pas ces principes.

Notre législation ne devrait pas être une surprise. En fait, plusieurs principes sont déjà inscrits dans la loi de la Commission nationale de l’informatique et des libertés (CNIL) de 1978. Les données personnelles doivent être :

« traitées de manière licite, équitable et transparente à l’égard de la personne concernée ».

« collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ».

– « adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre les finalités pour lesquelles elles sont traitées ».

En outre, les informations doivent être « exactes et, le cas échéant, mises à jour » et toutes les mesures raisonnables doivent être prises pour rectifier toute inexactitude.

Le Comité européen de la protection des données (CEPD) recommande que les données soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées (sauf en cas d’archivage dans l’intérêt public ou à des fins de recherche scientifique, historique ou statistique). »

Enfin, au paragraphe (39), il est également précisé que « les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées est utilisée ».

En bref : légalité, équité, transparence, objectifs limités, données minimisées, exactes, dont la conservation est réduite dans le temps et dont l’intégrité et la confidentialité sont garanties.

Dans un dernier paragraphe, il est précisé que le responsable du traitement est “responsable du respect de ces critères. Mieux encore, il devra être en mesure de « prouver » le respect de ces critères et donc d’assumer la charge de la preuve.

Ce principe de responsabilité est fondamental. En effet, le règlement conduira les États membres à s’écarter d’un système d’autorisation ou de déclaration connu, par exemple, de ceux qui sont en contact avec la CNIL. Les entreprises gagnent en liberté, avec moins de formalités auprès des autorités de surveillance, mais elles doivent aussi supporter les conséquences de toute violation de ces dispositions ou de l’absence de production des preuves attendues.

Droits des consommateurs

En plus de créer des obligations pour les entreprises qui collectent des données, le RGPD donne des droits aux utilisateurs des sites. Les droits accordés aux utilisateurs ne concernent que leurs données personnelles, ils n’ont en aucun cas des droits concernant les données d’autrui. 

Le premier droit de l’utilisateur est le droit à une information transparente et intelligible concernant la collecte et l’utilisation des données personnelles. Ce droit se double d’un droit d’accès aux données collectées mais également à la manière dont les données sont collectées, la raison de la collecte et les tiers avec lesquels les données sont partagées. 

En plus de ce droit d’information, un droit à la portabilité des données a été créé. Chaque utilisateur a donc la possibilité d’emmener ses données d’un service à un autre et ces données doivent être mises à sa disposition gratuitement sous une forme facilitant ce transport. 

Finalement, le droit à l’oubli vient compléter ce panel en donnant à l’utilisateur la possibilité de faire supprimer des données collectées sur lui. 

Le RGPD donne également aux Etats une fourchette d’âges (entre 13 et 16 ans) dans laquelle l’âge légal pour donner son consentement au traitement de ses données doit être fixé par chaque Etat membre. En France, la limite pour cet accord a été fixé à 16 ans, ce que signifie qu’une société souhaitant traiter les données de personnes plus jeunes doit obtenir l’autorisation de leurs parents. 

Afin de garantir le respect de ces droits et permettre leur mise en œuvre effective, le RGPD met en place une possibilité d’action collective pour les utilisateurs qui estiment que leurs droits n’ont pas été respectés. Cette option juridique n’existait pas au préalable. Ainsi, comme précisé dans un article publié dans le Figaro, 12 actions collectives ont été lancées le 26 mai 2018 par l’association la Quadrature du Net, une première en Europe, en s’appuyant sur le RGPD.