Protection des données personnelles : que va changer l’entrée en vigueur du RGPD ?
Le Règlement Général sur la Protection des Données personnelles (RGPD) entre en vigueur ce vendredi 25 mai 2018. Il vise une meilleure protection de la vie privée des citoyens européens.
Décryptage par Judith Rochfeld, professeur de droit à l’Université Paris 1 Panthéon-Sorbonne.
« Ces seuils de sanctions sont appelés à entraîner un véritable changement de mentalité »
Qu’est-ce que le RGPD qui entre en vigueur ce 25 mai 2018 ?
C’est un texte majeur de droit de l’Union européenne, dédié à l’encadrement des utilisations de nos données personnelles, c’est-à-dire de toutes les informations que nous livrons consciemment (noms, prénoms, adresse pour une livraison, âge, etc…) ou que nous disséminons inconsciemment via nos ordinateurs, tablettes, téléphones, objets connectés — sites visités, applications utilisées, nombre de clics, vitesse de lecture d’une page web, géolocalisation, etc. — et qui font l’objet d’un « traitement » (constitution de fichiers clients, de dossiers médicaux, analyse des préférences des consommateurs, etc.).
Il faut préciser que ces données alimentent, entre autres, la vaste activité de « ciblage » des consommateurs : ceux-ci accèdent à des services dits gratuits, « en échange » de la collecte et de l’analyse de leurs données, au soutien de l’envoi de publicités de plus en plus ciblées et personnalisées.
Ce texte s’applique directement dans le droit de chaque État membre. Il a été discuté depuis 2012, voté le 27 avril 2016, et entre en application le 25 mai 2018, après une durée de 2 ans laissée à tous les acteurs traitant des données pour s’y acclimater : plateformes ou commerçants en ligne ; petites et moyennes entreprises ; personnes publiques. Tous ont normalement dû se mettre en conformité, précision étant donné que près de 70 à 80% des dispositions reprennent des obligations qui existaient déjà.
Le règlement remplace la directive de 1995, mais non notre loi française de 1978 dite « Informatique et Libertés » : celle-ci est maintenue pour certains traitements et va s’adapter au règlement au règlement (celui-ci laisse quelques marges de manœuvre aux Etats — par exemple quant à l’âge de la majorité numérique, concrètement l’âge pour pouvoir s’inscrire seul à un réseau social ou pour toute décision relative à ses données, la France ayant choisi 15 ans — et sa loi révision est en cours d’examen par le Conseil constitutionnel).
Que risquent les entreprises qui ne sont pas en conformité avec ce règlement ?
Les entreprises doivent « digérer » un changement complet de système : elles n’ont plus à faire de déclarations préalables à la Commission nationale de l’Informatique et des Libertés (CNIL) quand elles souhaitent mettre en place un traitement de données (par exemple un employeur qui mettrait en œuvre une vidéo-surveillance de ses locaux). Elles ont désormais à intégrer une logique de « conformité » (accountability) et à s’interroger, pour toutes utilisations de données, sur le respect de toutes les obligations du règlement, sur les risques qu’elles font courir aux personnes comme sur les mesures de sécurité qu’elles prévoient
Les entreprises doivent donc se responsabiliser et intégrer, dans leur organisation interne et pour toutes leurs activités en lien avec les données personnelles, cette préoccupation comme majeure (d’où, d’ailleurs, le rôle accru que vont tenir les personnes en charge de ces questions, les DPO pour Data Protection Officer).
Cette responsabilisation va avec un accroissement considérable des sanctions (qui, en France, seront prononcées par la CNIL) : selon les types de manquements, 10 millions ou 2% du chiffre d’affaires mondial ; 20 millions ou 4% du chiffre d’affaires mondial.
Ce sont ces seuils de sanctions qui sont appelés à entraîner un véritable changement de mentalité, et partant la place accordée à cette protection, à la mesure des enjeux considérables que leurs utilisations exponentielles ont fait émerger (cf. la récente affaire Cambridge Analytica traitée sur le Blog du Club des juristes)
Quels sont les nouveaux droits que le RGPD va octroyer aux citoyens européens ?
Pour les citoyens, les changements sont également importants, même si le RGPD reste un texte de compromis.
Ils continueront de bénéficier des droits « traditionnels » existant depuis 1978 : le droit d’accès, c’est-à-dire celui de toute personne de demander à un opérateur qu’il précise les données qu’il détient sur elle ; le droit de faire rectifier ses données lorsqu’elles sont erronées ; le droit de faire supprimer celles-ci si elles sont traitées de façon illégale ; le droit d’opposition, soit le droit de s’opposer à un traitement de ses données. Tout juste peut-on noter que, pour ces droits existants, l’augmentation du poids de la sanction — si celle-ci devait s’abattre — devrait pousser les opérateurs à un meilleur respect ; également, que l’entrée en application du texte et les derniers scandales concernant les données personnelles devraient conduire les personnes à s’en préoccuper davantage et à actionner leurs moyens de défense.
Les citoyens vont également disposer de nouveaux droits : celui à la portabilité de leurs données personnelles, d’un opérateur à un autre (pouvant ainsi faire jouer la concurrence sans craindre de les perdre, par exemple leurs listes de musiques, etc.) ; celui de s’organiser collectivement pour agir en justice, c’est-à-dire de mener une action de groupe, pour faire cesser les manquements ou demander une indemnisation du préjudice que chacun a subi. Les premières actions sont d’ailleurs en train de s’organiser et seront lancées dès le 26 mai contre certains GAFA…
Par Judith Rochfeld