25 / 05 / 2018
#Pause technique

Ce qu’implique l’entrée en vigueur du RGPD

share
Ce qu’implique l’entrée en vigueur du RGPD
Vendredi dernier, le Règlement général sur la protection des données, ou RGPD, est entré en application. Il vise à donner aux internautes davantage de contrôle sur leurs données personnelles. Décryptage.

On le sait : les géants du numérique, Google, Facebook, Amazon ou encore Uber, détiennent un grand nombre d’informations sur leurs utilisateurs. Mais une fois ce constat posé, difficile de connaître la teneur exacte de ces données, sans parler de l’usage qui en est fait, ni même des personnes et entreprises tierces susceptibles d’y accéder à leur tour. Mais grâce au RGPD, entré en vigueur le 25 mai dernier dans l’Union européenne, les choses pourraient bien prendre une tournure différente. Adopté par le Parlement européen en avril 2016, ce règlement propose en effet un nouveau cadre législatif pour la collecte, le traitement et la circulation des données sur la toile. Il remplace une directive de la Commission européenne datant de 1995, soit bien avant l’ère des réseaux sociaux, du big data et des publicités ciblées.

Les derniers mois ont été marqués par une multiplication des scandales autour de la sécurité des données personnelles, le dernier en date étant celui de l’entreprise Cambridge Analytica, qui, lors de la dernière campagne présidentielle américaine, a exploité les informations des utilisateurs de Facebook pour effectuer des campagnes de promotion politique ciblées. Face aux scandales à répétition, un nombre croissant d’internautes commencent à se préoccuper de l’usage qui est fait de leurs données personnelles, et des menaces potentielles que cela fait peser sur leur vie privée. Le RGPD suscite donc de nombreuses attentes. Saura-t-il y répondre ?

Dernier scandale autour des données personnelles : l’entreprise Cambridge Analytica , qui, lors de la dernière campagne présidentielle américaine, a exploité les informations des utilisateurs de Facebook pour effectuer des campagnes de promotion politique ciblées © Shutterstock

Rendre aux internautes le contrôle sur leurs données personnelles
L’objectif du RGPD est de redonner davantage de pouvoir aux internautes face aux grandes entreprises digitales, en rendant le processus de collecte et de traitement des données plus transparent d’une part, et en conférant aux utilisateurs un plus grand contrôle sur l’usage qui est fait de leurs données d’autre part. Ainsi, les entreprises doivent désormais prévenir les utilisateurs, et obtenir leur consentement, de manière claire et non ambiguë, avant de collecter leurs informations. Concrètement, cela signifie qu’elles ne peuvent plus se contenter de faire signer des conditions d’utilisation présentées sous forme indigeste avant de commencer à collecter les données de leurs clients. La demande doit être faite de manière directe, précise et intelligible.

En outre, les utilisateurs peuvent facilement retirer leur consentement après l’avoir donné, et ont le droit de refuser que leurs données soient employées à des fins commerciales. Ils ont la possibilité de consulter à tout moment les données qu’une entreprise possède sur eux, en contactant un responsable dont les coordonnées doivent leur être fournies par l’entreprise. La collecte des données personnelles des enfants de moins de 16 ans ne peut se faire sans l’accord préalable de leurs parents. En rendant aux internautes le contrôle sur leurs informations, la loi ambitionne également de leur permettre, à terme, de les vendre ou de les échanger aux entreprises. On pourrait ainsi céder les données de son historique eBay à Amazon, moyennant une carte cadeau. Enfin, le RGPD instaure un droit à l’oubli : les citoyens peuvent réclamer la suppression d’informations les concernant, si elles ont été obtenues illégalement ou ne sont plus vraies aujourd’hui.

La loi protège les données personnelles des ressortissants des 28 pays de l’Union européenne © Pixabay

La loi protège les données personnelles des ressortissants des 28 pays de l’Union européenne. Elle s’applique même si les données sont traitées ailleurs que sur le sol européen : les géants du Net américains, Facebook, Google et consorts, sont donc affectés. Pour éviter toute ambiguïté, le texte désigne, sous le terme de « données personnelles », « toute information permettant d’identifier une personne ». Cela inclut donc aussi bien le nom que le numéro de sécurité sociale, la géolocalisation, les informations sur le physique, le numéro de carte de crédit, la confession religieuse, l’adresse IP ou les recherches effectuées sur les moteurs de recherche (liste non exhaustive).

De lourdes sanctions prévues en cas de fraude
Le RGPD prévoit également certaines obligations pour les entreprises. Ainsi, toute entreprise ou association comptant plus de 250 employés devra créer un poste de responsable de la protection des données personnelles. L’individu occupant ce poste aura pour fonction de veiller à la bonne application des règles dictées par le RGPD, à travers la mise en place de formations et un audit des actions mises en œuvre. Les entreprises comptant moins de 250 employés qui collectent de larges quantités de données sensibles devront également se doter d’un tel poste.

En outre, les entreprises victimes d’un piratage virtuel devront alerter les autorités sous 72h, et prévenir leurs clients si le piratage pose un risque quant à l’intégrité de leurs données personnelles. L’objectif : éviter de nouveaux scenarii similaires au piratage d’Uber, en 2016, et d’Equifax, en 2017. Dans les deux cas, les entreprises ont tenté de camoufler la brèche, si bien que les clients n’ont été avertis que plusieurs mois après.

Les entreprises qui seraient tentées de ne pas respecter les règles adoptées par l’Union européenne s’exposent à de lourdes sanctions, sous la forme d’amendes pouvant monter jusqu’à 20 millions d’euros, ou 4% des revenus annuels mondiaux, si ce pourcentage est supérieur à 20 millions d’euros. Pour les géants américains du Net, dont les recettes se comptent en dizaines de milliards de dollars, la facture pourrait vite s’annoncer salée. Pour Facebook, l’amende maximale serait de 1,6 milliard de dollars, pour Google, 4,4 milliards.

Avec RGPD : la protection des données personnelles devient la règle et non plus l’exception sur le Net © Shutterstock

Un nouveau paradigme sur la toile ?
En faisant de la protection des données personnelles la règle et non plus l’exception sur le Net, le RGPD inaugure un changement de paradigme visant à rééquilibrer la relation entre les entreprises et les internautes, en faveur de ces derniers. Avant même son entrée en vigueur, la loi a déjà enclenché plusieurs actions de la part des géants du numérique. En septembre dernier, Google a mis à jour le tableau de bord permettant aux utilisateurs de Gmail de gérer leurs paramètres de confidentialité, afin de le rendre plus clair et plus simple à manipuler. Acxiom, une entreprise spécialisée dans le traitement de données au service du marketing, a entamé une refonte de son portail en ligne pour permettre aux internautes de voir quelles informations l’entreprise possède à leur égard.

La loi n’est bien sûr pas exempte de critiques. Certains craignent ainsi que le droit à l’oubli ne soit utilisé pour nuire à la liberté d’expression, chacun profitant de la loi pour exiger le retrait des contenus le concernant et dont le ton lui déplaisent. D’autres dénoncent une loi nuisant à la bonne marche des affaires, alors qu’un nombre (limité) d’entreprises ont choisi de fermer leurs sites aux ressortissants européens pour ne pas prendre le risque d’enfreindre la loi. Certains dénoncent enfin un protectionnisme européen visant à entraver la progression des géants américains sous couvert de défense des droits des utilisateurs. Que ces critiques soient ou non fondées, la grande question demeure celle de l’efficacité de la loi : saura-t-elle protéger les internautes, dans un monde virtuel de plus en plus opaque et centralisé ? Elle a en tout cas pour mérite de leur donner les outils pour se défendre. La balle est désormais dans leur camp.