Le règlement général sur la protection des données
En mai 2019, la CNIL a rendu un rapport sur un premier bilan du RGPD un an après son entré en vigueur. Dans l’ensemble, particuliers et professionnels se sont approprié le texte, au vu notamment du nombre de plaintes et de notifications. Au niveau Européen, près de 150 000 plaintes ont été déposé en l’espace de un an. En France, elles ont triplées et la CNIL est impliquée dans plus de 800 procédures.
Le RGPD est le nouveau texte de référence dans l’Union européenne au sujet des données personnelles. Il remplace une directive datant de 1995. Cette réforme apparaissait nécessaire au regard de son obsolescence provoquée par l’évolution de notre société ces dernières année : explosion du numérique, apparition de nouveaux usages et arrivé de nouveaux modèles économiques.
Il était également primordial d’unifier le panorama juridique européen en matière de protection des données personnelles afin de lutter plus efficacement contre les multinationales du numérique.
Une donnée personnelle est une information qui concerne une personne physique, identifiée directement ou indirectement. Cela peut être un nom, une date de naissance, une adresse, une photo, un numéro de téléphone, une empreinte ou encore adresse IP.
Il existe des données dites « sensibles », car elles touchent à des informations qui peuvent donner lieu à de la discrimination. Une situation médicale, une opinion politique, une orientation sexuelle, une sensibilité religieuse, un engagement syndical ou une appartenance ethnique sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.
Le RGPD met en place ou conforte de nombreuses protections pour les internautes. En voici deux exemples :
• Les entreprises ou associations doivent récolter au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de ses données personnelles,
• Les réseaux social doivent s’assurer que les enfants en-dessous d’un certain âge aient bien eu l’accord de leurs parents avant de s’inscrire.
• La reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée,
• Le droit à la portabilité, c’est à dire pouvoir passer d’un réseau social à l’autre, ou d’un site de streaming à l’autre sans perdre ses informations,
• Le droit d’être informé en cas de piratage des données.
Le RGPD s’applique à toute entité collectant ou traitant des données personnelles concernant des Européens, que cela soit une entreprise et un sous-traitant, une association ou même une institution publique. A noter que l’application du RGPD ne dépend pas de la nationalité de l’entité mais bien de la natinnalité des personnes dont les données sont utilisées.
Les GAFA (Google, Apple, Facebook, Amazon) ou encore Uber doivent donc tenir compte des exigences du RGPD s’ils veulent continuer sans risque à fournir des biens et des services aux Européens. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte.
En cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (montant le plus élevé des deux cas) sont prévues pour l’organisme fautif.
En France, la première sanction décidée sous l’égide du RGPD a été prise à l’encontre de Google en début d’année 2019. Saisie par deux associations, la CNIL estime que Google commet trois manquements : accessibilité, clarté de l’information et absence de consentement valable pour la publicité personnalisée. Pour ces erreurs, l’autorité administrative a décidé d’infliger une sanction de près de 50 millions d’euros.
Cela étant, le risque est plus élevé pour les TPE PME que pour les géant du numériques qui planchent déjà depuis des mois pour se conformer au RGPD.