Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) (Règlement (UE) 2016/679 du Parlement européen et du Conseil, Journal officiel UE, L119 du 4 mai 2016) a été adopté en avril 2016 à la suite de deux décisions particulièrement importantes de la Cour de justice de l’Union européenne (CJUE) touchant à la protection des données et qui a vu la condamnation successive des géants du web Google et Facebook. L’affaire Google Spain a consacré un droit au déréférencement en 2014 et l’Affaire Schrems en 2015 a vu un jeune étudiant en droit autrichien obtenir gain de cause face à Facebook qui n’offrait pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées [vers les États-Unis] ». Il était devenu plus que nécessaire que soient contrôlés les traitements de données à caractère personnel. Le règlement est entré en vigueur le 25 mai 2018.
Il définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire, toute personne qui peut être identifiée (directement ou indirectement) à l’aide d’un identifiant ou de plusieurs éléments qui lui sont propres. On pourra ainsi inclure, de façon non exhaustive : le nom de la personne, un numéro d’identification, des données de localisation, un identifiant en ligne ou encore des éléments caractérisant son identité physique, physiologique, génétique, économique, culturelle ou sociale.
Celles-ci sont généralement concédées aux entreprises lors d’inscriptions à des sites internet comme Amazon, Gmail, Facebook pour les plus connues. Elles sont également utilisées lors d’actes plus communs comme un séjour à l’hôpital (création et mise à jour du dossier médical), une inscription à l’université ou encore le paiement d’un salaire par l’employeur (toutes les données conservées par les ressources humaines par exemple).
Le règlement s’applique uniquement aux données personnelles dans le cadre d’une activité professionnelle ou commerciale et exclut ainsi le traitement et la conservation de données dans le cadre d’activités strictement personnelles ou domestiques. Aussi, l’échange de correspondance et la tenue d’un carnet d’adresses ou encore l’utilisation de réseaux sociaux ne seront pas concernés.
Pourquoi le texte pose-t-il problème aux entreprises ?
De nombreuses entreprises ont pris l’habitude de considérer vos données comme une « ressource à disposition », quelque chose qu’elles peuvent prendre sans demander la permission et exploiter pour leur propre bénéfice financier et qu’elles peuvent collecter sans limites et sans les protéger. Le RGPD est un instrument puissant qui force les entreprises à réévaluer les risques, non seulement pour les personnes dont les données sont traitées, mais les risques qu’elles encourent elles-mêmes (amendes et réputation). Il force les entreprises à traiter vos données avec le soin et le respect qu’elles auraient dû y consacrer depuis le début.
Les arguments avancés par les détracteurs du RGPD sont très souvent les suivants :
– Le RGPD impose des amendes disproportionnées…. aux premières victimes des cyberattaques. Le montant des amendes en cas de perte de données peut désormais aller jusqu’à 4% du chiffre d’affaire annuel (ou 20 millions d’euros, le montant le plus élevé étant gardé). Or, les premières victimes d’une cyber-attaque sont bien les entreprises.
– Le RGPD oblige les entreprises de toutes tailles à investir un temps et des ressources précieux pour s’assurer qu’elles respectent un exercice de conformité, afin qu’elles puissent dire où elles se trouvent. Malheureusement, à l’ère du Big Data et de l’informatique en nuage, cette tâche peut être énorme, même pour les grandes entreprises. Une autre anomalie du RGPD est que les processeurs de données tels que les fournisseurs de cloud externalisés ne seront pas tenus responsables s’ils perdent des données contrôlées par leur client, ce qui signifie qu’ils sont moins incités à renforcer la sécurité.
– Le RGPD serait susceptible d’étouffer l’innovation axée sur les données du seul fait que les entreprises vont se retenir d’accéder ou de stocker des données par crainte de poursuites. Les données sont une matière première vitale pour l’innovation des produits et des entreprises, tout en contribuant à réduire les coûts opérationnels.
– Le RGPD ne donnerait aucun avantage concurrentiel aux entreprises du numérique en Europe face aux géants américains. Les géants du numérique Facebook, Amazon et Google sont devenus de plus en plus puissants au cours des années où il a fallu que l’UE rédige le RGPD. Leurs infrastructures avancées et leur agilité ont déjà automatisé une grande partie de ce que le RGPD requiert, et cela signifie qu’ils peuvent s’adapter à la législation sur les données en changeant plus rapidement que les propriétaires de médias plus traditionnels en Europe.
Quels sont les droits offerts par le RGPD ?
– Le droit à l’information : les entreprises et organisations ont maintenant l’obligation de vous informer, dans un langage clair et accessible, de la nature des données personnelles qui sont traitées et des modalités de ce traitement. (“traitement” comprend tout ce qui a trait à la collecte, l’agrégation, l’exploitation ou le partage de données). Si une entreprise ou une organisation élabore un profil sur vous (par exemple en recoupant des données provenant de différentes sources), vous avez le droit de savoir ce qu’il y a dans ce profil.
– Le droit au traitement sécurisé de vos données : le RGPD impose aussi que les données personnelles soient stockées et traitées de manière sécurisée.
– Le droit d’accéder aux données personnelles qu’une entreprise ou organisation détient sur vous, à n’importe quel moment : si les données sont inexactes, vous pouvez les modifier ou les compléter. Si les données ne sont plus nécessaires, vous pouvez demander leur suppression. Si vous aviez fourni plus d’informations que nécessaire pour accéder au service (par exemple pour une utilisation à des fins de marketing), mais que vous ne voulez plus que ces données soient utilisées, vous pouvez demander à ce qu’elles soient supprimées.
– Le droit d’utiliser un service sans fournir de données supplémentaires: si une entreprise/organisation veut traiter des données personnelles qui ne sont pas strictement nécessaires pour fournir un service particulier (par exemple une application de transport qui veut accéder au répertoire de votre téléphone), elle doit demander votre consentement explicite pour traiter ces données. Cependant, si une entreprise considère qu’il est dans son intérêt de traiter certaines données, elle n’est pas forcément obligée de demander votre consentement. Si vous avez déjà consenti au traitement de données complémentaires, vous pouvez le retirer.
– Le droit de demander des explications et une intervention humaine : si une décision vous concernant a été prise en utilisant des mécanismes automatisés, vous avez le droit de savoir comment la décision a été prise (par exemple vous avez droit à une explication sur le processus utilisé par le mécanisme). Dans le cas d’une prise de décision automatisée vous avez droit à une intervention humaine et de contester toute décision qui a été prise.
Les failles de la législation européenne
Le règlement est un outil de protection très avancé et très prometteur. Il permet de renforcer les droits des individus et de durcir les conditions de traitement des données par les entreprises. Néanmoins tous les textes du monde, aussi protecteurs qu’ils soient, ne sauront totalement protéger les individus. La vigilance et la diligence doivent être l’affaire de tous. Dans un monde où le numérique prend de plus en plus d’importance et de place dans notre vie de tous les jours, la question n’est pas d’éviter les technologies et ainsi de passer à côté de tout ce qu’elles ont à offrir : un meilleur suivi de santé, une meilleure communication, une production plus raisonnée, un suivi de la nature, etc.
C’est une chose que des droits existent et c’en est une autre que les citoyens européens en connaissent l’existence. On pourra regretter, par exemple, le manque de communication des institutions de l’UE à l’égard de l’aspect révolutionnaire de ce texte. Enfin et surtout, une fois que les citoyens connaissent leurs droits, il est nécessaire de les accompagner devant les juridictions compétentes, qu’elles soient nationales ou européennes. Il apparaît donc important de souligner les initiatives visant à promouvoir l’accessibilité de l’expertise juridique auprès des citoyens européens. Dans cette dynamique, Max Schrems (le jeune étudiant autrichien à l’origine des déboires de Facebook en Europe et évoqué précédemment) a lancé il y a peu la plateforme NOYB (« None Of Your Business », traduisible en « Cela ne vous concerne pas ») avec l’aide d’un certain nombre d’activistes de la protection de la vie privée et des groupes de défense des droits des consommateurs. Cette plateforme aura pour but de rendre accessible à tous la possibilité de protéger efficacement ses données.