Vous l’aurez sans doute remarqué : les sites et les services en ligne que vous consultez demandent toujours votre consentement pour accéder et utiliser vos données personnelles. Cette pratique s’inscrit dans la protection des internautes, citoyens européens et figure comme un nouveau cadre juridique qui responsabilise davantage les entreprises, les organisations et les sites Internet responsables de traitement des données à caractère personnel. C’est le RGPD. Il veille à ce que les informations personnelles soient protégées et utilisées de manière équitable et légale.
Présentation du RGPD
Le RGPD ou Règlement Général pour la Protection des Données personnelles, est un nouveau règlement du parlement européen et du Conseil de l’Union Européenne. L’entrée en vigueur du règlement a été en mois de mai 2018.
On entend par « donnée personnelle », toute information qui permet à une personne physique, d’être identifiée ou identifiable directement par son nom et prénoms, ou indirectement par un numéro (social, téléphone, assurances), par une adresse (personnelle, électronique, IP), un cookie, une photo ou des données biométriques. Certaines données peuvent favoriser la discrimination comme une orientation politique, religieuse, une appartenance ethnique ou des données génétiques. Ce sont des données personnelles sensibles. La protection des données sensibles est rigoureuse. Leur collecte doit faire l’objet d’un consentement écrit et validé par la CNIL (Commission nationale de l’informatique et des libertés), autorité de contrôle de l’application du RGPD en France.
Le RGPD ne s’applique pas qu’aux entreprises et aux sous-traitants basés en Europe. Il concerne toutes les organisations qui procèdent à la collecte des données à caractère personnel d’un citoyen européen, même si ces organisations sont basées dans des pays étrangers : Etats-Unis, Chine, Russie, etc. Le RGPD ne dépend pas de la taille de l’entreprise. Il est applicable du moment que des données sont collectées, que l’entreprise soit des géants comme Google (vous connaissez les jeux des doodles Google populaires ?) Yahoo, Facebook ou qu’elle soit une petite start-up.
Pourquoi est-ce important pour nos droits ?
Le RGPD permet à l’internaute d’avoir plus de contrôle sur le traitement et les finalités pour lesquelles ses données sont collectées. Les utilisateurs mineurs sont également protégés car le consentement de leurs parents est obligatoire (connaissez-vous Spyzie ?).
Le RGPD inclut aussi une reconnaissance d’un :
- droit d’information,
- droit d’accès,
- droit d’opposition,
- droit à la limitation du traitement,
- droit à l’oubli,
- droit à la portabilité des données.
Le droit d’information est le plus important de tous, puisqu’il induit à beaucoup plus de transparence. Il inclut le droit d’être informé en cas de piratage des données. Le droit d’accès vient renforcer le droit d’information. Chaque utilisateur doit pouvoir accéder à ses données personnelles qui ont été collectées. Il peut également demander à supprimer ses données personnelles s’il juge que le stockage des données et la protection de la vie privée sont insatisfaisants. Toutefois, l’effacement ne peut se faire en un clic puisque cela concerne également les données envoyées chez les prestataires et les sous-traitants. L’utilisateur peut alors opter pour un droit à la limitation de traitement de ses données durant leur durée de conservation. Le droit à l’oubli sert à obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée.
L’internaute peut exercer son droit d’opposition, pour des intérêts légitimes, et refuser de figurer dans un fichier. Il peut introduire une réclamation auprès du responsable de la collecte des données et préciser les données à modifier. Et enfin, le droit à la portabilité, pour récupérer les données personnelles et les transférer à un autre système d’information.
Pour défendre vos droits vis-à-vis du traitement de vos données personnelles, vous pouvez vous tourner vers la CNIL. Elle a, sur les entreprises, un pouvoir de contrôle et un pouvoir de sanction. En cas de violation de données, l’entreprise responsable du traitement de données à caractère personnel encourt de lourdes amendes, pouvant aller jusqu’à 4% de son chiffre d’affaires annuel mondial. Pour attaquer les géants comme Amazon, Facebook, Google, Microsoft, Apple (trouvez votre numéro de série apple ) vous pouvez rejoindre des associations et entamer une action de groupe. L’union faisant la force, cette option pourrait très bien faire plier ces Goliaths et cesser la part illicite d’un traitement de données.
La non-conformité avec le règlement européen peut entraîner des sanctions pénales et financières de l’entreprise ou du site, responsable des traitements de données.