Le Règlement général sur la protection des données, ou RGPD, est appliqué depuis le 25 mai 2018. Ce texte, voté en 2016, reste mal connu. Voici une FAQ pour répondre à toutes vos questions.

Le Règlement général sur la protection des données, vous connaissez ? Aussi appelé RGPD ou GDPR (en anglais), il est entré en application le 25 mai 2018. C’est lui qui est à l’origine depuis quelques mois des nombreux mails de rappel vous demandant votre consentement sur l’accès et l’usage de vos données personnelles, et qui produit ces pop-up qui s’ouvrent à l’écran au moment d’accéder à un site web — tous, en effet, doivent être conformes.

Peut-être en avez-vous entendu vaguement parler. Peut-être savez-vous que ce texte est en lien avec une loi européenne sur les données personnelles. Mais si vous ne savez pas clairement de quoi il retourne, nous ne pouvons que vous conseiller de consulter notre foire aux questions, qui est là pour répondre aux interrogations que vous pourriez avoir.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.

Avant le RGPD — dont le nom plus solennel est le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données — existait une directive sur la protection des données personnelles qui date de 1995. Ce texte est abrogé par le RGPD.

europe-drapeau
Un texte qui met à jour le cadre européen.
CC Giampaolo Squarcina

Où en est-on ?

Plusieurs mois se sont écoulés depuis l’adoption du RGPD et les premiers bilans d’étape ont eu lieu. La CNIL en particulier en a fait deux : le premier livre un panorama général sur la façon dont les particuliers et les professionnels se positionnent face à ce cadre, encore très récent. Pour l’autorité, ces deux catégories d’individus se sont emparées, chacune à leur niveau, de ce nouveau cadre.

Le second se focalise sur les violations de données personnelles, en distinguant leur nature (est-ce un problème de confidentialité ? D’accessibilité ? D’intégrité ?). À cette occasion, elle a comptabilisé le nombre de notifications reçues depuis le RGPD, 742 (dont 695 incidents. Selon ses estimations, ces signalements concerneraient potentiellement 33,7 millions d’individus. Un nombre toutefois à prendre avec des pincettes.

Plus trivial, mais tout de même relativement significatif, Joseph O’Connor, un archiviste britannique, s’est mis en tête de recenser les sites d’actualité américains qui bloquent (ou non) les internautes européens pour éviter d’avoir à respecter les dispositions du RGPD.  En date du 23 octobre 2018, 1 127 sites sont détectés comme indisponibles, contre 234 qui sont accessibles.

new-york-times-presse-media-journal
Le New York Times. // Source : Sam Chills

Quel est l’objectif du RGPD ?

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa vétusté, révélée par l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.

Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne, ainsi que dans la vingtaine d’autres pays de l’Union. De cette façon, la fragmentation juridique sur le Vieux Continent s’en trouve atténuée.

parlement-europeen
Le RGPD, une initiative née au niveau européen.
CC Diamond Geezer

D’où vient le RGPD ?

L’idée initiale vient du constat fait par la Commission européenne que la législation d’alors, entrée en vigueur en 1995, avait besoin d’être actualisée pour tenir compte des évolutions technologiques. En 2012, Bruxelles a donc proposé un nouveau règlement, dont la carrière législative au niveau européen s’est étalée jusqu’en 2016, avec notamment le 15 décembre 2015, un accord entre le Conseil, le Parlement et la Commission.

Le parcours du texte au niveau européen s’est fait dans un contexte particulier : le 13 mai 2014, la Cour de justice de l’Union européenne rendait son fameux arrêt qui oblige essentiellement Google à donner satisfaction aux internautes du Vieux Continent qui demandent le retrait de résultats qui les concernent, consacrant ainsi l’existence d’un droit au déréférencement (sorte de droit à l’oubli light) sur le net.

Un an plus tard, le 1er octobre 2015, la même Cour de justice a invalidé le régime juridique dit du « Safe Harbor » qui permettait aux entreprises américaines d’importer aux USA des données personnelles de citoyens européens. Celui-ci a été jugé invalide en raison des révélations d’Edward Snowden sur le programme PRISM, par lequel la NSA accéderait aux données stockées aux USA.

cjue cour justice
Le RGPD survient dans un contexte juridique particulier.
CC Transparency International EU Office

Quand le RGPD est-il entré en vigueur ?

Le déploiement du RGPD dans l’espace européen s’est fait en deux temps : il y a d’abord eu, le 14 avril 2016, l’adoption définitive du texte par le Parlement, suivi quelques jours plus tard, le 27, de sa promulgation au Journal officiel. Cependant, son application ne s’est pas déroulée au même moment : il a été décidé de la décaler de deux ans, au 25 mai 2018.

Ce laps de temps a été fixé pour permettre aux législations nationales et aux entités procédant à la collecte et au traitement des données personnelles de s’y préparer, en transposant dans le droit des États membres les dispositions du RGPD et en adaptant les traitements déjà mis en œuvre pour qu’ils soient en conformité avec le texte. Depuis le 25 mai, tout traitement en infraction avec le RGPD peut déboucher sur des sanctions.

calendrier
Le RGPD a été approuvé en 2016 et il est appliqué depuis 2018.
CC PicJumbo

C’est quoi une donnée personnelle ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

Les géants du Net sont aussi d’immenses silos à données personnelles.

Que change le RGPD pour l’internaute ?

Du point de vue de l’internaute, le RGPD met en place ou conforte un certain nombre de protections. Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’elles s’assurent que les enfants en-dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.

Le RGPD inclut aussi une reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, le droit d’être informé en cas de piratage des données.

Les internautes peuvent aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.

Un accord parental est requis pour inscrire un jeune sur un réseau social.

Qui doit se conformer au RGPD ?

Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire du Vieux Continent. Un groupe américain, japonais ou chinois qui collecte et mouline des données personnelles européennes doit aussi s’y conformer.

Des géants comme Google, Facebook, Amazon ou encore Uber doivent donc tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte. Même une petite startup qui se lance dans de l’e-santé doit aussi être dans les clous.

femme-informatique-ordinateur-pc-travail
Startup, entreprise, sous-traitant, administration… Tout le monde est concerné.
CC Eric Bailey

On m’a contacté pour me mettre en conformité, est-ce légal ?

Depuis le 25 mai 2018, le RGPD est appliqué. Si vous gérez une entreprise qui traite d’une façon ou d’une autre des données personnelles, il est désormais temps — pour ne pas dire urgent — de mettre dès maintenant vos traitements informatiques en conformité. Mais attention, la précipitation peut être mauvaise conseillère : il faut prendre garde à ne pas faire appel à n’importe qui, pour ne pas tomber sur une arnaque.

La Commission nationale de l’informatique et des libertés a ainsi mis en garde sur les risques d’arnaques autour du RGPD : si les grands groupes sont immunisés à ce type de souci, parce que leur département juridique peut prendre en charge cette mise en conformité, les startups, les TPE et les PME sont plus exposés. Il vaut mieux se documenter en ligne avant de faire appel à tout prétendu expert.

Et si besoin, la CNIL peut vous conseiller par téléphone via une ligne dédiée : 01 53 73 22 22.

masque-cache-secret-anonymous
L’application du RGPD a fait apparaître des tentatives d’arnaque.
CC Andri

Comment le RGPD se traduit en France ?

En France, le cadre du RGPD est transposé dans la législation via un projet de loi relatif à la protection des données personnelles. Il a été présenté le 13 décembre 2017 par Nicole Belloubet, la ministre de la Justice. La procédure accélérée a été enclenchée par l’exécutif, pour aller vite, avec une seule lecture du texte devant chaque chambre parlementaire. Mais dans les faits, les choses se sont complexifiées.

L’Assemblée nationale et le Sénat ont en effet affiché leur désaccord sur le projet de loi, et les nombreux va-et-vient entre les deux chambres n’ont pas permis d’aboutir à une version commune du texte. Par exemple, un désaccord existe sur l’âge à partir duquel un jeune est majeur sur le plan numérique, c’est-à-dire le moment où un ado peut donner lui-même son accord pour le traitement de ses données personnelles.

Le Conseil constitutionnel.
CC ActuaLitté

Une commission mixte paritaire a été mise en place, mais elle n’a pas permis de rapprocher les points de vue. Le texte est alors repassé une deuxième fois devant chaque chambre et c’est finalement l’Assemblée nationale qui a eu le dernier mot, là où les députés de La République en marche sont majoritaires. Le texte a fait l’objet d’une saisine du Conseil constitutionnel de la part des sénateurs.

Les Sages de la rue de Montpensier ont rendu leur décision le 12 juin. On notera que la loi adaptant le droit français au RGPD a été validée pour l’essentiel, le Conseil ne censurant qu’un point relatif aux fichiers pénaux, lorsque les traitements sont « sous le contrôle de l’autorité publique ». Aucune réserve d’interprétation n’a été éditée par ailleurs.

Il a également précisé les prérogatives de la CNIL à travers ce texte et approuvé l’usage par une administration d’un algorithme, sans intervention humaine, pour établir des décisions individuelles, au motif que les garanties prévues dans la loi étaient assez nombreuses pour échapper aux abus et garantir « la sauvegarde des droits et libertés des personnes ».

Le texte a été publié au Journal officiel le jeudi 21 juin 2018.

Hémicycle de l'Assemblée Nationale
Le RGPD est adapté dans la loi française via un texte ad hoc voté au Parlement.
CC Bastien Abadie

Quelles sont les sanctions prévues par le RGPD ?

Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Il faut imaginer ce que cela peut représenter pour des géants du net si une procédure est lancée contre eux. L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage. Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les conséquences, du fait de sa qualité de responsable du traitement.

Cela  étant, les multinationales ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles ont des détachements de juristes et d’experts qui travaillent déjà à plein temps depuis des mois pour être absolument dans les clous du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.

Des sanctions importantes pourraient frapper les géants du net.

Quels moyens pour la CNIL ?

En France, la Commission nationale de l’informatique et des libertés (CNIL) est l’autorité de référence pour gérer le RGPD. Elle dispose d’un budget annuel supérieur à 17 millions d’euros et compte dans ses rangs environ 200 personnes. Sur le temps long, c’est-à-dire en regardant l’évolution des moyens et des effectifs de la CNIL sur plusieurs années, il y a une hausse qui est réelle.

L’arrivée du RGPD a toutefois convaincu le gouvernement de renforcer un peu plus les moyens de la CNIL, en permettant à l’autorité administrative indépendante d’ouvrir 15 postes supplémentaires afin qu’elle ait « les moyens d’assumer ses nouvelles missions ». Une mesure nécessaire pour absorber la hausse du volume des plaintes, qui a bondi de 56 % depuis l’application du RPGD.

isabelle-falque-pierrotin-cnil
Isabelle Falque-Pierrotin, la présidente de la CNIL. // Source : Mariano Bordon

Actions en cours

Depuis le 25 mai 2018, deux grands recours s’appuyant sur le RGPD ont été lancés : le premier a été enclenché par le juriste autrichien Maxilimilian Schrems, véritable bête noire des géants du Net pour son activisme en faveur de la protection des données personnelles. Dès le jour J, il a lancé des actions contre Google et Facebook (dont ses filiales WhatsApp et Instagram) pour une mauvaise collecte du consentement préalable.

L’autre action à relever est celle menée par La Quadrature du Net, même si l’approche est un peu différente. En effet, l’association française a annoncé en avril vouloir faire une action de groupe contre Google, Apple, Facebook, Amazon et Microsoft. Là encore, ces entreprises sont accusées d’obtenir incorrectement le consentement des internautes au regard du RGPD.

Dans un registre moins judiciaire, il y a aussi l’intervention de l’UFC-Que Choisir qui reproche aux grandes entreprises américaines (Google, Facebook et Microsoft) de faire usage de tactiques comportementales et de design pour orienter l’usager quand il se trouve dans les réglages des paramètres de confidentialité. L’association a alerté la CNIL sur ces pratiques.

Schrems
Noyb

Ailleurs dans le monde

Si le RGPD a fait l’objet de critiques, notamment du côté des États-Unis, pays qui n’a pas la même vision que l’Europe sur la donnée européenne, il semble toutefois que le texte ait une certaine influence sur d’autres législateurs. Ainsi, outre-Atlantique, un projet de loi est en discussion au niveau fédéral (mais le texte devrait toutefois être plus laxiste que celui en vigueur en Europe).

Notons aussi qu’il existe des projets au niveau des États fédérés américains, comme la Californie et New York. Un texte est même passé cet été dans le Golden State, siège d’un grand nombre de géants du web. Cependant, son application n’aura lieu qu’à partir du 1er janvier 2020 ; par ailleurs, elle est moins stricte. Par exemple, l’autorisation préalable des internautes à toute collecte de donnée personnelle n’est pas requise.

Plus inattendu, la Chine, dont le modèle de développement paraît assez distant des standards occidentaux, serait aussi en réflexion sur le sujet, selon Emmanuel Pernot, doctorant en droit spécialisé dans la protection des données personnelles. Des indices d’une évolution législative ont été remarqués. Mais il faut garder en tête que le texte gardera naturellement les spécificités du régime chinois.

Pixabay/CC0

Article publié initialement le 21 juin 2018

Partager sur les réseaux sociaux