RGPD pour une meilleure protection des données à caractère personnel
A partir du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans toute l’Union Européenne. Le Règlement général sur la protection des données (RGPD ou GDPR en anglais, pour General data protection regulation) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits.
Donnée personnelle, définition
Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc. Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés : opinion politique, sensibilité religieuse, engagement syndical, appartenance ethnique, orientation sexuelle, situation médicale ou idées philosophiques. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite.
Un objectif d’harmonisation
L’objectif du RGPD est d’être le texte de référence dans l’Union européenne en matière de données personnelles. Une réforme de la législation européenne apparaissait nécessaire compte tenu de l’explosion du numérique, de l’apparition de nouveaux usages et de la mise en place de nouveaux modèles économiques. Il s’agit aussi d’harmoniser le panorama juridique européen afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres.
Les évolutions technologiques à l’origine du RGPD
Le constat a été fait que la législation en cours depuis 1995 avait besoin d’être actualisée pour tenir compte des évolutions technologiques. Plusieurs étapes ont jalonné le parcours du texte. Le 13 mai 2014, la Cour de justice de l’Union européenne oblige – notamment Google- à donner satisfaction aux internautes européens qui demandent le retrait de résultats qui les concernent. Puis c’est l’invalidation du « Safe Harbor » le 1er octobre 2015. La Cour de justice invalide ce régime juridique qui permettait jusque-là aux entreprises américaines d’importer aux USA des données personnelles de citoyens européens. Le RGPD consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.
Un déploiement en 2 temps
Le déploiement du RGPD dans l’espace européen se fait en deux temps : il y a d’abord eu, le 14 avril 2016, l’adoption définitive du texte par le Parlement, suivi de sa promulgation au Journal officiel, le 27. Son application quant à elle a été fixée au 25 mai 2018. Pourquoi 2 ans de décalage ont-ils été nécessaires ? Ce laps de temps permet à la fois aux législations nationales et aux entités procédant à la collecte et au traitement des données personnelles de s’y préparer, en transposant dans le droit des États membres les dispositions du RGPD et en adaptant les traitements déjà mis en œuvre pour qu’ils soient en conformité avec le texte. Après le 25 mai, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions.
Un consentement préalable de l’internaute
Du point de vue de l’internaute, le RGPD met en place ou conforte un certain nombre de protections. Les entreprises doivent obtenir un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles. Le RGPD permet également le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, ainsi que le droit d’être informé en cas de piratage des données.
Toutes les entreprises concernées ?
Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. Un groupe étranger qui collecte et utilise des données personnelles européennes aussi. Ainsi Google, Facebook, Amazon ou encore Uber doivent tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte.
Des sanctions élevées pour les contrevenants
En cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour le contrevenant (pour information, c’est le montant le plus élevé qui est retenu entre les deux cas de figure). Les grosses entreprises ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles disposent souvent de juristes et d’experts qui oeuvrent pour respecter à la lettre les conditions du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.
En tant que responsable du traitement, chaque société doit veiller à ce que ses sous-traitants respectent eux-aussi la loi, sous peine d’en subir les conséquences.
CONTINEW a d’ores et déjà mis en place cette démarche au sein de l’entreprise et auprès de ses partenaires et sous-traitants.
Pour aller plus loin
