|

Données personnelles : ce qui va changer avec le RGPD

Pays : Union européenne

Tags : RGPD, protection des données, Europe, informatique

Facebook, Twitter, WhatsApp et les autres géants du web vous demandent en ce moment d’accepter leurs nouvelles conditions d’utilisation. La cause : l’entrée en vigueur le 25 mai du Règlement général sur la protection des données personnelles (RGPD). Ce règlement européen définira désormais la façon dont ces entreprises collectent et gèrent les informations des internautes dont elles disposent. Qu’est ce que le RGPD va changer concrètement pour les entreprises et les citoyens ? La réponse avec quelques points majeurs du règlement.

Une collecte des données facilitée mais plus ciblée

Qu'est-que le RGPD ?

Le RGPD uniformisera la législation sur l’utilisation des données personnelles des pays de l’Union européenne. Le règlement s’appliquera à toute entreprise détenant ou utilisant des informations de citoyens européens, y compris si elles sont situées hors de l’Union. Un changement de taille au vu du récent scandale sur l’utilisation des données d’utilisateurs de Facebook par la société Cambridge Analytica.

Le RGPD facilitera la collecte des données pour les entreprises. Elles ne seront plus forcées de déclarer à la CNIL (Commission nationale de l’informatique et des libertés), comme elles le faisaient jusqu’alors, l'utilisation de données d'internautes.

Le "principe de proportionnalité" devra également être respecté. Les entreprises ne pourront pas récolter n’importe quelles données sur vous, mais seulement celles qui ont un rapport avec leur activité. Une entreprise de ménage à domicile ne pourra par exemple pas vous demander votre dossier médical.

 

Les entreprises dans l’obligation de sécuriser vos données

Les entreprises seront responsabilisées quant à leur gestion des données. Elles devront documenter de façon précise leur utilisation des informations des internautes, une tâche relativement chronophage et contraignante. Elles devront entre autres indiquer qui a accès aux données, dans quel but et pour combien de temps. Les grosses entreprises gérant des fichiers personnels à grande échelle devront même nommer un "délégué à la protection des données", dont ce sera le rôle.

Le RGPD oblige également les sociétés à mieux sécuriser les informations des citoyens européens, notamment contre une utilisation non consentie ou frauduleuse. Elles devront indiquer les mesures prises pour protéger leurs fichiers dans une "analyse d’impact relative à la protection des données", qui devra être transmise à la CNIL. Cette règle s’applique notamment aux données dites "sensibles", comme celles relatives à la santé ou aux croyances religieuses. En cas de "violation des données personnelles" ou de piratage, l’entreprise sera obligée de le signaler à la CNIL ou même à ses clients sous certaines conditions, ce qui n’était pas obligatoire jusqu’à présent.

 

Plus de transparence dans l’accès aux données pour les utilisateurs

Les internautes pourront récupérer un fichier complet des informations qu’ils ont transmises à une entreprise et auront le droit de s’opposer à l’utilisation de certaines données. Les citoyens européens pourront ainsi demander à connaître "les destinataires auxquels les données à caractère personnel ont été ou seront communiquées", selon l’article 15 du RGPD. Le principe de "portabilité des données" leur permettra également de transférer gratuitement leurs informations sur le web. Vous pourrez par exemple transférer vos playlists de Deezer vers Spotify.

Le droit à l’oubli est rappelé et amélioré par la nouvelle législation. Elle garantit un droit au déréférencement et affirme que les données des citoyens européens ne peuvent être conservées que "pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées". Cette durée de conservation devra être fixée par les entreprises. Google a déjà anticipé ce changement. Désormais, dans les options de gestion du compte Google, un nouvel onglet "Mon activité" permettra de supprimer les historiques de données collectées. Il sera possible d’effectuer des recherches par date ou par mot-clé, ou de supprimer directement tous les historiques de données stockées.

 
Les droits des internautes clarifiés

Les conditions générales d’utilisation des entreprises devront être clarifiées pour les internautes - comme l'a déjà fait notamment Facebook - afin qu’elles deviennent intelligibles. C’est un droit à l’explication qui permettra aux citoyens de mieux comprendre leurs droits ainsi que la façon dont leurs données sont utilisées.

Si les utilisateurs auront une marge de manœuvre sur la gestion de leurs données personnelles, la plupart des conditions d’utilisation resteront imposées. Facebook, par exemple, autorise ses utilisateurs à refuser l’utilisation de la reconnaissance faciale ou du ciblage publicitaire. En ce qui concerne les autres conditions d’utilisation en revanche, si vous ne les acceptez pas, vous n’aurez d’autre choix que de supprimer votre compte.

Le RGPD renforce également la protection des mineurs en fixant à 16 ans la "majorité numérique", c'est-à-dire l'âge à partir duquel un mineur peut utiliser un réseau social sans autorisation parentale. La législation autorise cependant les Etats membres de l’UE à abaisser cet âge à 13 ans.

 
Des sanctions plus sévères

Pour garantir ces nouveaux droits et obligations, le RGPD prévoit des sanctions renforcées. Les citoyens européens peuvent désormais mener une action collective au nom de la protection des données personnelles, et obtenir "réparation du préjudice subi".  

Si elles ne respectent pas la loi, les entreprises payeront des amendes pouvant s’élever jusqu’à 4% de leur chiffre d’affaires mondial annuel ou à 20 millions d’euros, le montant le plus élevé des deux étant retenu. De quoi rendre les entreprises vigilantes sur leur traitement des données personnelles des utilisateurs.

Dernière màj le 25 mai 2018