Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 Mai 2018. Ce texte européen vise à encadrer l’usage des données personnelles. Néanmoins, il reste encore méconnu par la plupart des entreprises.

Définition

Le sigle RGPD signifie « Règlement Général sur la Protection des Données ». Il encadre le traitement des données personnelles sur le territoire de l’Union européenne. Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Il permet de renforcer le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données personnelles. Le RGPD harmonise également les règles en Europe en proposant un cadre juridique unique aux professionnels. Il permet ainsi de développer les activités numériques des professionnels au sein de l’Union européenne en se fondant sur la confiance des utilisateurs.

Objectif

L’objectif principal du RGPD est d’être le texte de référence au sein de l’Union européenne pour les données personnelles. En effet, une réforme de la législation européenne était plus que nécessaire au vu de l’explosion du numérique et de l’apparition de nouveaux usages et modèles économiques.

Qu’est-ce qu’une donnée personnelle ?

Avec les nouvelles technologies, les flux de données personnelles sont de plus en plus nombreux. La notion de données personnelles correspond à une information sur une personne physique. Il s’agit principalement de données nominatives ou bien de contacts. Cependant, le périmètre des données personnelles se révèle bien plus large dans les faits.

Prenons un exemple simple, un achat sur un site en ligne. Le vendeur peut utiliser son historique de vente afin de vous proposer de nouveaux produits. Suite à un achat sur un site en ligne, vous laissez des informations comme votre nom, prénom, adresse, mail, numéro de téléphone, etc. Vous laissez également des informations sur vos diverses habitudes d’achat, votre adresse IP, vos sites internet préférés, etc. Toutes ces informations représentent des données à caractère personnel.

Selon la CNIL (Commission nationale de l’informatique et des libertés), il s’agit d’une donnée personnelle dès lors que cette information permet de reconnaître la personne physique dont elle émane. Le RGPD distingue également différentes catégories de données personnelles en fonction du risque d’atteinte aux droits et libertés des personnes. Ainsi, une donnée qui dispose d’un risque élevé comme une donnée de santé disposera d’une protection accrue et donc adaptée.

Conservation d’une donnée personnelle

Dans une suite logique de protection des données personnelles, le RGPD soumet également les entreprises à l’obligation de déterminer les durées de conservation des données qu’elles traitent. Elles doivent également traiter seulement les données nécessaires à leur activité et proportionner leur durée de conservation en fonction de leur utilité. Les personnes dont les données sont conservées doivent également être informées de la durée de conservation applicable. Une fois ces durées dépassées, les données doivent être supprimées de la base de données.

Les changements pour l’internaute

Le RGPD met en place de nombreuses protections pour l’internaute. Par exemple, il est nécessaire qu’une entreprise récolte un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles comme pour les cookies.

Le RGPD inclut une reconnaissance d’un droit à l’oubli pour obtenir un effacement des données personnelles en cas d’atteinte à la vie privée. Le droit à la portabilité des données permet également de pouvoir transporter ses données d’un site à l’autre (réseau social, site de streaming, etc.). Les internautes bénéficient également du droit d’information en cas de piratage des données.

Les internautes peuvent également être défendus par de nombreuses associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.

Qui doit se mettre en conformité ?

Tous les organismes, peu importe leur taille, leur pays d’implantation et leur activité peuvent être concernés. En effet, que l’organisation soit publique ou privée, qu’elle traite des données personnelles pour son compte ou non, le RGPD s’applique dès lors :

• – Qu’elle est établie sur le territoire de l’Union européenne,
• – Ou que son activité cible directement des résidents européens.

Comme exemple, on peut donner une entreprise établie en France qui exporte l’ensemble de ses produits au Maroc. Celle-ci doit respecter le RGPD. Il en est de même pour une société établie en Chine qui exporte ses produits en France. Il est tout aussi important de savoir, qu’un sous-traitant qui traite des données personnelles pour le compte d’autres organismes doit respecter le RGPD.

Les sanctions

Il serait vain de lister l’intégralité des actions judiciaires menées dans le cadre du RGPD. Toutefois, on peut noter l’activité de certaines associations comme La Quadrature du Net ou l’UFC-Que Choisir. Ces associations mènent de nombreuses actions et ciblent les géants du net tels que Google, Facebook, Amazon et Microsoft. Ces géants se sont construits sur le business des données personnelles. Ainsi, compte tenu de leur poids sur le web, ce sont des cibles prioritaires.

Le 21 janvier 2019, en France, la première sanction du RGPD a été prise à l’encontre de Google. Cette sanction a été amenée par une association française et une autrichienne. Selon la CNIL, l’entreprise américaine commet trois manquements au RGPD, l’accessibilité et la clarté de l’information ainsi que l’absence de consentement valable pour la publicité personnalisée. Pour ces erreurs, non corrigées, l’autorité administrative a décidé d’infliger une amende de 50 millions d’euros.