Que signifie pour vous, concrètement, le règlement européen sur la protection des données personnelles ? RGPD, mode d’emploi.

Entré en application le 25 mai, deux mois après un scandale affectant Facebook (dont les données de 87 millions d’utilisateurs ont été exploitées illégalement par la société d’analyse de données Cambridge Analytica), le RGPD (Règlement général sur la protection des données) met à jour le cadre juridique européen concernant la collecte et du traitement des données personnelles par les entreprises. Mais en quoi consiste exactement ce texte, et que signifie-t-il concrètement pour vous ?

Voté en 2016 par le Parlement européen, le RGPD remplace une directive datant de 1995, afin de coller à l’explosion du Big data et de l’utilisation du numérique. Il couvre l’ensemble des résidents de l’UE, et garantit aux internautes et aux utilisateurs d’objets connectés un certain nombre de droits confortés, renforcés ou nouveaux sur l’utilisation de leurs données personnelles – qui sont, à la base, susceptibles d’être collectées et utilisées par les sites web, les applications et les services numériques utilisés au quotidien (le plus souvent, à des fins publicitaires ou marketing).

Un consentement clair et explicite

Vos données personnelles, collectées chaque jour par une multitude d’entreprises, sont diverses : adresses IP, photos, noms et prénoms, numéros de téléphone, adresses email, etc. Certaines, en provenance notamment des réseaux sociaux, de vos recherches Google ou encore de vos applications mobiles et de vos objets connectés, peuvent être sensibles, car elles peuvent permettre de refléter vos opinions politiques, votre état de santé, ou encore votre orientation sexuelle.

Jusqu’ici, la collecte de ces informations était autorisée sous réserve d’obtenir l’accord des internautes, par un lien pointant vers une politique de vie privée, ou par des cases d’acceptation déjà pré-cochées – le consentement des internautes étant déjà supposé… et donc pas toujours réel, puisque trop souvent, les CGU (conditions générales d’utilisation) et les demandes d’autorisation étaient floues et peu compréhensibles, vous poussant à cliquer sans vraiment les lire.

Désormais, le RGPD impose un consentement écrit, clair… et surtout explicite. Les entreprises susceptibles d’utiliser vos données personnelles doivent ainsi vous demander votre accord, “sous une forme compréhensible et aisément accessible, formulée en des termes clairs et simples”. L’internaute devra désormais cocher lui-même la case “oui” ou “non”, et pourra aussi revenir sur sa décision, sans donner de justification. Autre protection intéressante de vos données personnelles : l’obligation faite aux entreprises de ne collecter que ce qui est strictement nécessaire : votre âge ou votre genre ne vous serons ainsi plus demandés par une société désirant vous envoyer une newsletter, par exemple.

Dans tous les cas, ne soyez pas surpris si ces prochaines semaines, vous continuez à recevoir une avalanche d’emails et de notifications, de la part d’une foultitude de services et d’entreprises, vous notifiant de la mise en conformité de leur politique de confidentialité au RGPD… et vous laissant la possibilité de reprendre la main sur vos données – en supprimant des comptes ou en vous désabonnant de nombreuses newsletters, par exemple.

Droit à l’oubli et à la portabilité

Le RGPD prévoit en outre un “droit à l’oubli”, vous permettant de demander l’effacement des informations personnelles collectées qui lui sont liées, à tout moment, y compris chez les partenaires et les sous-traitants des entreprises concernées ; et un droit à la portabilité des données. Ce droit vous permettra de récupérer auprès des entreprises vos données collectées, et d’en disposer – non plus sous la forme de fichiers imprimables (et souvent inutilisables), mais sous forme numérique, dans un format ouvert (XML, JSON, CSV), ce qui vous permettra ainsi de les réutiliser avec d’autres services (application, réseau social, FAI, etc.)..

De fortes amendes

A noter que doit se conformer au RGPD, toute entité (entreprise, startup, administration…) manipulant des données personnelles concernant des Européens – des sociétés non-européennes (comme Google, Facebook ou Alibaba, par exemple), mais collectant des informations sur des clients Français, Allemands ou Espagnols devront ainsi respecter ce nouveau règlement.

En France, vos données à caractère personnelles étaient déjà protégées par la loi informatique et libertés et la CNIL (Commission nationale de l’informatique et des libertés), mais le RGPD renforce le poids de cette institution : celle-ci peut être saisie quand une entreprise non-française est concernée par l’utilisation de vos infos personnelles, et porter vos réclamations auprès d’une autorité de protection des données homologue ; mais aussi infliger aux entreprises situées en France et n’ayant pas recueilli votre accord explicite (opt-in), des sanctions pécuniaires extrêmement fortes – pouvant atteindre 4% de leur chiffre d’affaire annuel mondial ou 20 millions d’euros (jusqu’ici, les amendes de la CNIL ne pouvaient dépasser la somme, dérisoire pour des géants comme Apple ou Amazon, de 150.000 euros). Une façon, estime Yaël Cohen-Hadria, avocate et spécialiste de la protection des données, de “redonner du pouvoir aux gens sur leurs données”.

Le droit d’être informé en cas de piratage des données

En 2016, Uber a été hacké, et avec les données de 57 millions d’utilisateurs. Mais la société américaine de VTC a attendu un an pour le révéler. C’est pour éviter ce genre de scandale que le RGPD donne aux particuliers un droit d’information en cas de piratage. Ainsi, désormais, en cas de fuite de données, l’entreprise concernée doit immédiatement en informer les différentes autorités de protection des données (la CNIL en France), ainsi que les utilisateurs. Cette notification aux particuliers n’est en revanche pas obligatoire : si cela représente un risque supplémentaire pour la sécurité du service, celui-ci peut attendre d’avoir mis en oeuvre “les mesures de protection techniques appropriées” avant de faire une annonce.

L’inscription des enfants sur les réseaux sociaux encadrée

Avec le RGPD, l’accord des parents est obligatoire en France pour l’inscription d’un mineur de moins de 15 ans sur un réseau social, et sur toute “offre directe de services de la société de l’information aux enfants”. Ailleurs en Europe, les États sont libres de déterminer eux-mêmes l’âge adéquat au dessus duquel les jeunes peuvent s’inscrire sans solliciter leur famille – entre 13 et 16 ans. Les entreprises ont pour obligation, en outre, de vérifier concrètement le consentement des parents.

Les internautes défendus par les associations

Enfin, le RGPD permet aux internautes européens d’être défendus par des associations de consommateurs, dans le cadre d’une action de groupe, en vue de faire cesser la partie illicite d’un traitement de données. En France, ce genre de recours est déjà prévu depuis 2016, par la loi de modernisation de la justice du 21e siècle – le règlement européen vient juste conforter ce droit aux actions de groupe (“class actions”).

Du “privacy by design”

A noter que le RGPD impose aux entreprises d’adopter un mode de conception “Privacy by design” – et de s’organiser pour que leurs services permettent au maximum de limiter la collecte des données personnelles des utilisateurs (par exemple, les données devront être chiffrées par défaut).

Afin de certifier la prise en compte du respect de la vie privée dès la conception, une norme ISO devrait prochainement être créée par l’Organisation internationale de normalisation. “Partant du principe que la conformité réglementaire seule est un modèle insuffisant pour assurer l’avenir de la protection de la vie privée, ISO met ainsi en place un nouveau comité chargé d’élaborer les lignes directrices d’une norme qui permettront non seulement de faire respecter la réglementation, mais aussi de redonner confiance aux consommateurs à un moment où cela est plus que jamais nécessaire”, indique cette dernière.