Qu'est-ce que le RGPD ?
Le RGPD est un texte européen instaurant des obligations et des droits concernant la collecte et le traitement des données personnelles dans toute l’Europe. Il s’agit d’un nouveau cadre qui fait suite à une directive sur la protection des données personnelles datant de 1995. En raison de sa vétusté et de l’explosion du numérique, mais aussi dans le but d’uniformiser le panorama juridique européen sur cette question de sécurité, ce texte a été proposé puis adopté par le Parlement. Ce nouveau règlement sera appliqué le 25 mai 2018.
De quelles données parle-t-on ?
Une donnée personnelle est une information relative à une personne physique permettant de l’identifier. Elle désigne donc un nom, une photo, une adresse postale, une date de naissance, une adresse IP, une empreinte, un mail, une opinion politique, une sensibilité religieuse, une orientation sexuelle…
Concrètement, ce qui va changer pour vous, particuliers
A propos des mineurs
L’âge minimal fixé par le RGPD pour la fréquentation d’un réseau social est de 16 ans. En-dessous de cet âge, les réseaux demandent l’autorisation des parents pour pouvoir traiter et conserver les données.
Communication et clarté améliorées
Les entreprises sont maintenant obligées de vous avertir de façon claire avec des « termes simples » dès qu’il y aura violation de vos données personnelles, comme par exemple un piratage. Vous ne serez cependant prévenus qu’en cas de violation avec risque élevé pour vos droits et libertés. Vous serez aussi informés « sous une forme compréhensible et aisément accessible » sur l’utilisation et la manipulation de vos données par l’entreprise.
Une meilleure sécurité
Afin d’éviter que vos données ne fuitent, les entreprises ont des obligations de sécurité. De plus, elles doivent réécrire leurs conditions d’utilisation et renforcer la notion de consentement : vous devrez donner votre accord pour qu’elles puissent traiter vos données personnelles.
Une protection de taille
Sachez que même une entreprise hors Union européenne devra appliquer le RGPD si elle souhaite avoir accès à vos données (à supposer, bien sûr, que vous résidez dans l'Union Européenne). Toute entreprise étant établie en Europe, exerçant une activité en Europe, ou encore étant susceptible de traiter des données personnelles européennes doit s’y conformer.
Une facilité de transfert de données
Désormais, vous aurez le droit à la portabilité des données, ce qui vous facilitera la vie si vous changez de service ou d’entreprise. Vous pourrez donc récupérer et transférer vos données d’un service à l’autre.
Une possibilité de recours
Si vos données ont été collectées voire utilisées en contradiction avec la loi, il vous est possible de faire un recours auprès de la Commission nationale de l’informatique et des libertés (CNIL) si vous êtes en France. En effet, le recours doit se faire auprès d’une autorité de protection des données. Une action collective peut également être lancée par une association ou par un organisme de protection des données personnelles, en vue d’obtenir une réparation du préjudice subi. En France, tournez-vous vers l’association La Quadrature du Net.
Une reprise des grands principes du droit français et européen
Le RGPD reprend certains grands principes comme le traitement licite, loyal et transparent des données, la conservation en sécurité des données collectées, la finalité explicite, légitime et communiquée du traitement des données. Le consentement des internautes doit être respecté. Les données sensibles, comme les convictions religieuses, doivent être encore mieux protégées. L’individu doit également être informé sur la nature des données conservées, sur l’identité de celui qui les traite ainsi que sur la durée de conservation de celles-ci.
Le devoir des entreprises
Quelles entreprises concernées ?
Il est important de noter que presque toutes les entreprises sont touchées par le nouveau règlement européen. Qu’importe leur secteur d’activité, dès que celles-ci impliquent le stockage, le traitement voire l’utilisation des données personnelles de citoyens de l’Union Européenne, les entreprises devront se conformer au RGPD. Elles vont devoir faire preuve d’une meilleure organisation et transparence. La taille de ces entreprises ne compte pas non plus : qu’il s’agisse de start-up, de PME, de grandes entreprises, d’entreprises privées ou d’organismes publics, le RGPD s’appliquera de même. Dans l’éventualité où une entreprise n’est pas établie en Europe mais exerce une activité en Europe ou collecte des données personnelles européennes, elle devra aussi se conformer au règlement européen. Il en va de même pour ses sous-traitants.
Quelles sanctions prévues ?
Si une entreprise ne respecte pas le RGPD, les sanctions à son égard seront élevées. L’infraction lui coûtera jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires. L’entreprise doit également veiller à ce que son sous-traitant respecte le RGPD sous peine d’en subir les conséquences.