A compter du 25 mai prochain, entre en vigueur le RGPD, Règlement Général sur la Protection des Données Personnelles, une loi européenne censée préserver la vie privée des citoyens de l'UE. Le texte concerne tous les acteurs du numérique. En comprendre les enjeux est crucial à l'heure où le net a envahi tous les domaines de notre vie quotidienne.

Qu'est-ce que le RGPD ?

Ce nouveau cadre réglementaire émane de l'Union Européenne, désireuse de doter la législation communautaire d'un texte qui serait à la hauteur des difficultés juridiques que représente l'économie numérique. La question des données personnelles est au cœur de cette réglementation. Les affaires de piratage de sites sensibles aux États-Unis ces dernières années (Wikileaks, Snowden) ont suscité au sein de l'UE la volonté de protéger la vie privée des quelque 500 millions de citoyens. L'UE veut réguler les dérives commerciales autour des données personnelles en permettant à chacun de s'opposer à leur exploitation.

Le RGPD en 3 points

Toutes les entreprises doivent se mettre en conformité avec la RGPD au plus tard le 24 mai prochain. Le texte comprend 99 articles. Retenons les 3 objectifs principaux de cette réforme sur la protection des données à caractère personnel :

1. un renforcement des droits des personnes par la création, entre autres, d'un droit à la portabilité des données personnelles, c'est-à-dire le transfert des données d'un opérateur à l'autre sur simple demande ;
2. une responsabilisation des acteurs traitant des données, y compris les sous-traitants ;
3. une meilleure coopération entre les autorités de contrôle chargées de la protection des données, implantées dans chaque pays membre et indépendantes.

Le texte permet en outre d'élargir la définition des données personnelles. Elles ne portent pas seulement sur l'identité de l'utilisateur, mais sur toutes les informations qu'il pourrait fournir comme les courriels et les identités numériques (cookies, adresse IP).

90% des Français se disent préoccupés par l'usage qui est fait de leurs données personnelles.

Quelle protection pour l'internaute ?

Avec le RGPD, chacun reprend le contrôle sur ses données personnelles. Chacun y a accès et peut les modifier à tout moment. Le traitement des données passe obligatoirement par le consentement de la personne concernée. Le responsable du traitement doit informer la personne si l'exécution d'un contrat (assurance par exemple) nécessite le traitement de données à caractère personnel. Pour les internautes de moins de 16 ans, le responsable du traitement des données doit obtenir le consentement d'un titulaire de la responsabilité du mineur. Le règlement s'appuie sur le principe de consentement explicite, également sur la preuve du consentement.

Est interdit le traitement des données concernant :

• l'origine raciale ou ethnique
• les opinions politiques
• les convictions religieuses
• l'orientation sexuelle
• l'appartenance syndicale
• les données génétiques et biométriques
• les condamnations pénales et les infractions.

Dès inscrit dans la loi Informatique et Libertés de 1978, le principe de minimisation des données est renforcé : un site ne pourra collecter que les informations strictement nécessaires. Pour vous abonner à une newsletter par exemple, on va vous demander uniquement votre adresse mail. Autre droit fondamental du RGPD, le droit à l'oubli: vous pouvez obtenir l'effacement de vos données personnelles, sauf si cela va à l'encontre de la sauvegarde des intérêts publics, de recherche scientifique ou historique, ou à des statistiques.

Les sanctions sont dissuasives pour les entreprises qui seraient prises en défaut. L'amende pour non-respect du RGPD peut atteindre 20 millions d’euros et surtout, 4 % du chiffre d'affaires mondial annuel de l'entreprise.