Qu’est ce que le RGPD ?

Si vous avez ouvert votre boite mail au cours des dernières semaines, vous êtes au courant. Vous avez sûrement reçu une avalanche de messages vous prévenant que les services et newsletters auxquels vous êtes abonnés changent leur politique de confidentialité et leurs conditions d’utilisation pour se conformer au règlement général sur la protection des données (RGPD). S’ils respectent réellement la législation (c’est loin d’être le cas de tous), ces services vous ont même demandé de renouveler votre consentement à la réception d’email et au traitement de vos données. RGPD, consentement, données ? De quoi parle-t-on ?

Commençons par la base. Le RGPD est un règlement européen, cela veut dire qu’il est d’effet direct. Il s’applique directement sur tout le territoire de l’Union européenne (UE) et est directement invocable devant les tribunaux des Etats membres de l’Union par n’importe quel justiciable. Si des lois nationales ont également été votées récemment, c’est uniquement pour adapter la législation nationale en vigueur et préciser certains points du règlement.

L’objectif principal du RGPD est de protéger les individus à l’égard du traitement de leurs données à caractère personnel.

Qu’est-ce qu’une donnée personnelle ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, c’est à dire qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En français maintenant : toute information qui permet de retrouver un individu. Certaines informations qui ne seraient pas considérées comme données personnelles seules peuvent l’être si elles peuvent être recoupées avec d’autres informations qui permettent l’identification. Par exemple, une adresse IP (ce numéro que l’on nous attribue lorsque l’on surf sur internet) même dynamique peut être considérée comme une donnée personnelle lorsqu’elle est couplée avec une autre donnée telle qu’un horaire de connexion. [1]

Le RGPD a une portée très large. Il s’applique au traitement de données réalisé par toute personne morale (entreprise, association, etc.) exerçant une activité dans l’Union européenne (UE) et au traitement des données personnelles relatives à des personnes qui se trouvent dans le territoire de l’UE. Cela s’applique donc à tous les Européens se trouvant en Europe au moment du traitement des données, mais cela va plus loin. Par exemple, le RGPD s’applique aux données d’un citoyen chinois qui seraient stockées dans les data centers de Facebook en Irlande et non aux Etats-Unis. Un citoyen américain vivant à Paris bénéficie également de la protection accordée par le règlement lorsqu’il utilise des services en ligne.

Le « traitement de données » est lui définit comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données », par exemple : la collecte, l’enregistrement, le stockage, le partage, la suppression et même la simple consultation de données.

Le RGPD consacre plusieurs principes et droits relatifs au traitement de nos données personnelles.

Licéité, loyauté, transparence...

Les personnes concernées doivent autoriser la collecte de leurs données de manière libre, spécifique, active et non équivoque (opt-in). Elles peuvent à tout moment retirer leur consentement. L’individu aura d’abord été informé de quelles données seront traitées, quand elles le seront et pourquoi. Un mail vous informant simplement d’un changement de conditions d’utilisation du service n’est donc pas suffisant. Concrètement, il est nécessaire que vous cochiez des cases après avoir été informés des données que l’on collecte sur vous. De même, les conditions d’utilisation de 25 pages que personne ne lit devraient en principe être proscrites, car elles ne satisfont pas à l’obligation de clarté prévue par le règlement. Enfin, vous devriez pouvoir refuser les données collectées sur vous qui n’ont rien à voir avec le service auquel vous souscrivez. Par exemple, vous devriez pouvoir vous abonner à un service de streaming musical sans devoir communiquer les trois derniers concerts auxquels vous avez assisté.

Sécurité des données et réparation des dommages

Le traitement doit garantir la sécurité des données personnelles ce qui implique des obligations de confidentialité et des mesures de cybersécurité pour garantir l’intégrité des données. Cela implique également que vous pouvez obtenir réparation en cas de fuite de vos données ou autre infraction au règlement qui vous aurait été dommageable. Pour faciliter ce processus, le RGPD ouvre d’ailleurs la voie à des actions de groupe (via des associations agréées) pour obtenir réparation.

Limitation des transferts de données hors de l’UE

Les articles 45 à 50 du RGPD prévoient des conditions extrêmement restrictives concernant les transferts de données vers des pays tiers à l’UE, à moins d’une décision d’adéquation. Une telle décision est prise par la Commission européenne si elle constate que le pays tiers assure un niveau de protection des données adéquat. De décisions d’adéquations ont été prises pour des pays comme Andorre, l’Argentine, le Canada, Israël, la Nouvelle-Zélande, la Suisse ou l’Uruguay. Une décision d’adéquation a également été adoptée sur la base de l’accord Privacy Shield avec les Etats-Unis. Ces décisions étant prises de manière unilatérale elles peuvent également être révoquées de la même façon (hors accords internationaux les prévoyant).

Pour les sceptiques, le RGPD a un argument de poids, contrevenir à ses obligations peut s’avérer très couteux. Outre l’indemnisation que les individus peuvent réclamer en justice, les amendes administratives prévues pour non-respect du règlement sont extrêmement élevées. Elles peuvent atteindre jusqu’à 10 millions € ou 4% du chiffre d’affaires mondial de la société.

La mise en conformité avec le règlement est loin d’être acquise du côté des entreprises. Une période d’adaptation sera vraisemblablement nécessaire. Il faudra également du temps pour que les individus prennent conscience de leurs nouveaux droits. Cela se fera probablement en grande partie à travers la mobilisation des associations spécialisées. A terme, il s’agit cependant d’une avancée unique pour la vie privée des citoyens qui n’aurait pu être possible sans l’Union européenne.