Vous avez certainement reçu dernièrement des dizaines de mails de sociétés chez lesquelles vous avez un compte, vous demandant d’accepter leurs nouvelles conditions d’utilisation. La raison ? Un nouveau cadre légal européen relatif à la protection des données personnelles entre en vigueur ce vendredi 25 mai. C’est le RGPD.
1 - Qu’est-ce que le RGPD ?
Le “règlement général sur la protection des données” est destiné à remplacer la loi informatique et libertés, en application en France. C’est le nouveau texte de référence dans l’Union européenne en matière de données personnelles. Il uniformise les règles en vigueur dans les 28 pays membres de l’Union européenne.
Toute entreprise privée ou publique qui traite des données personnelles doit s’y conformer. Cela concerne les entreprises de l’Union européenne, mais aussi celles en dehors, dès lors qu’elles visent les citoyens européens. Le texte impose une série de règles strictes sur la récolte des données personnelles, leur traitement, leur utilisation, leur sécurisation, le tout avec le consentement clair des utilisateurs.
2 - Qu’est ce qu’une donnée ?
Une donnée est toute information à caractère personnel, récoltée par une entreprise ou une administration, qui permet d’identifier une personne. Cela peut inclure toute sorte d’informations, allant du nom d’une personne à son apparence physique.
Ces données peuvent être catégorisées comme “sensibles”. Il s’agit de l’origine raciale ou ethnique, des croyances religieuses ou philosophiques, des opinions politiques, de l’adhésion à un syndicat ou encore des données biométriques.
3 - Ce qui change pour les utilisateurs
Le principe reprend déjà des éléments qui étaient présents dans la loi française, avec quelques nouveautés. Le texte renforce le principe de consentement des utilisateurs et instaure la notion de “majorité numérique”. En dessous d’un certain âge, les mineurs doivent maintenant avoir l’accord de leurs parents pour utiliser un site. Ce sont les États membres qui décident de cette limite qui peut varier entre 13 et 16 ans. En France, elle est fixée à 15 ans. En dessous de cette limite, le site ne peut pas utiliser les données de l’utilisateur sans le consentement des parents.
Des conditions d’utilisation simplifiées. Toute entreprise doit détailler les conditions d’utilisation des données de ses utilisateurs, pour les informer de l’usage qui est fait de leurs données personnelles. Elle doit le faire dans des termes simples et clairs.
Le droit à la portabilité des données. Les utilisateurs doivent pouvoir récupérer leurs données d’un site, pour les transférer vers un autre service, notamment pour une plateforme de messagerie en ligne ou de streaming.
Le droit à l’effacement. L’utilisateur est en droit de réclamer l’effacement, dans les meilleurs délais, ses données personnelles. Il s’agit d’une version allégée du droit à l’oubli présent dans le droit français.
4 - Ce qui change pour les entreprises
Ce texte est un gros bouleversement pour les entreprises. Elles doivent désormais être capables de prouver que les données récoltées ont été recueillies légalement, avec le consentement de l’utilisateur. En particulier pour les données dites “sensibles”.
Les entreprises doivent :
· mettre en place un consentement clair, systématique et explicite.
· tenir un registre qui consigne toutes les données personnelles traitées dans l’entreprise.
· nommer un délégué à la protection des données qui fera le lien avec le régulateur français : la CNIL
Si les entreprises ne respectent pas le règlement, elles sont exposées à de lourdes sanctions : jusqu’à 20 millions d’euros d’amende administrative ou dans le cas d’une entreprise, jusqu’à 4% du CA annuel mondial. Le plus grand montant des deux étant retenu.
L’objectif est d’accorder aux citoyens plus de protection et de visibilité sur l’utilisation qui est faite de leurs données personnelles, mais aussi de responsabiliser les entreprises qui traitent des données d’utilisateurs.