Le Règlement général sur la protection des données, mieux connu sous le nom de RGPD, entre en application. Il constitue le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel.
©Fotolia
Vous avez sûrement reçu ces derniers jours des courriels de sites ou d’applications que vous utilisez pour vous demander d'accepter leurs nouvelles conditions d'utilisation. Ils résultent de l'entrée en vigueur du Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais).
Ce texte, adopté le 14 avril 2016, a été conçu pour adapter le cadre juridique européen de la protection des données personnelles aux évolutions du numérique et harmoniser les dispositions en vigueur au sein des 28 Etats membres de l’UE. Il vient remplacer une directive du 24 octobre 1995, qui constituait jusqu’alors le socle européen en matière de protection et de circulation des données personnelles.
Quels changements pour l’internaute ?
Le nouveau règlement renforce la notion de consentement, déjà présente en France dans la Loi pour la confiance dans l'économie numérique du 21 juin 2004. Lorsqu’un internaute met à disposition une partie de ses données personnelles, il doit désormais savoir à quoi elles vont servir, combien de temps elles seront conservées et si elles quitteront l'Union européenne.
Toute entité manipulant des données personnelles doit donc solliciter une autorisation, en expliquant la légitimité de leur utilisation. Ces informations doivent être communiquées à l’utilisateur de manière « compréhensible et aisément accessible, et formulée en des termes claires et simples », précise le texte de loi. D’où les sollicitations récemment reçues sur vos PC ou vos smartphones.
Le RGPD prévoit aussi la reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un fournisseur d’accès internet à un autre ou d’un site de streaming à un autre, sans perdre ses informations, le droit d’être informé en cas de piratage des données.
C’est quoi une « donnée personnelle » ?
Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de Sécurité sociale, d’un mail, etc.
Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés. Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et, pour des cas précis, validés par la Commission nationale Informatique et Libertés (CNIL) et dont l’intérêt public est avéré.
A qui s’applique le RGPD ?
Toute entité récoltant des données personnelles de résidents de l’Union européenne doit se conformer à ce texte, qu’il s’agisse d’une entreprise, d’une administration ou même d’une association. Attention, le texte ne s’applique pas qu’aux organisations établies dans l’Union européenne : toute organisation internationale, quelle que soit son implantation, qui collecte et traite des données personnelles émanant de ressortissants européens, doit s’y conformer.
Des sanctions plus importantes en cas de non-respect des règles
En cas d’infraction, des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui sera retenu entre les deux cas de figure.
Le rôle des autorités de protection des données (APD)
En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui assure cette mission. Avec le RGPD, les APD passent d’une activité de contrôle a priori à une activité de contrôle a posteriori. Le RGPD instaure, par ailleurs, un mécanisme de guichet unique afin d’améliorer la coopération en cas de traitement transnationaux. Dans ce cas, l’entreprise ne rend compte qu’à une seule autorité de protection, celle du pays où se situe son établissement principal. Cette autorité, désignée comme « chef de file », coopère avec les autres autorités de protection concernées (assistance mutuelle, enquêtes conjointes, etc.).
A noter que le RGPD donne désormais la possibilité aux internautes d’intenter des actions de groupe pour obtenir réparation d’un préjudice dont se serait rendue responsable une entreprise traitant des données personnelles. Jusque-là les actions de groupe n’étaient possibles que pour faire cesser le trouble (le partage non consenti des données avec une entreprise tierce, par exemple). Désormais, les plaignants pourront réclamer une indemnisation financière.
Professionnels : ce que vous devez savoir
Les données sont au cœur de la chaîne de création de valeur des entreprises. Bien gérées et sécurisées, elles permettent de gagner en efficacité et en compétitivité. Pour vous accompagner dans la mise en œuvre de la nouvelle réglementation, la CNIL et Bpifrance ont élaboré un « Guide pratique de sensibilisation au RGPD » à destination des PME. Il vous propose des clés de compréhension pratiques pour engager une démarche de conformité au RGPD.
Dans ce document, la CNIL vous met, notamment, en garde contre les sollicitations de prétendues entreprises, se présentant comme labellisées ou mandatées par la CNIL, pour vous vendre des services de mise en conformité proches de l’arnaque. Soyez vigilant et n’hésitez pas à contacter la CNIL sur sa ligne dédiée : 01 53 73 22 22.