Depuis quelques jours, les boîtes e-mails sont inondées de messages provenant d’entreprises qui informent les utilisateurs d’une nouvelle politique de gestion des données personnelles. La raison : l’entrée en vigueur du RGPD 2018, le Règlement Général sur la Protection des Données. Pour comprendre l’enjeu lié aux sollicitations reçues, il faut clarifier le contexte de cette nouvelle règlementation. Quels sont ces nouveaux droits pour les usagers ?
RGPD 2018 : de quoi s’agit-il ?
Le RGPD 2018 est un règlement inédit applicable aux entreprises, aux administrations, plus généralement à toute structure de l’Union européenne, qui encadre les règles relatives à la protection des données personnelles des usagers.
Son objectif consiste à renforcer la sécurité de l’utilisation des données personnelles en octroyant aux utilisateurs de nouveaux droits. Parallèlement, de nouvelles obligations sont également imposées aux entités qui collectent, traitent ou enregistrent des données privées.
Le RGPD 2018 est entré en application le 25 mai 2018. Il permet de rénover le cadre législatif actuel français car il va beaucoup plus loin que la loi Informatique et Libertés. Une nouvelle loi sera d’ailleurs votée suite à l’entrée en vigueur de ce règlement.
Qu’entend-on par « données personnelles » ?
La notion de « donnée personnelle » est à aborder de façon très large. Il s’agit en effet de toute information, de quelque nature qu’elle soit, qui permet d’identifier une personne. Ce pourra être son adresse email, son numéro de téléphone, son adresse, son numéro de sécurité sociale, etc.
Quels droits crée-t-il pour les utilisateurs ?
Le contexte de la création de nouveaux droits pour les usagers
Cette nouvelle règlementation européenne a pour objet d’adapter les droits des personnes vis-à-vis de l’évolution numérique, notamment dans le cadre du développement du big data et de l’e-commerce. A ceci s’ajoute l’expansion des objets connectés, qui impliquent collecte et stockage de façon quasi-systématique et traitement de données personnelles.
Les nouveaux droits pour les personnes soumises au traitement des données
Le RGPD 2018 crée de nouveaux droits pour les utilisateurs. Ainsi par exemple, le responsable du traitement des données doit fournir un certain nombre d’informations à l’usager lors de la collecte de ces dernières, comme le mentionnent les articles 13 et 14 du RGPD 2018.
La personne concernée pourra dorénavant exiger la suppression des données recueillies sans justificatif mais aussi demander leur portabilité, c’est-à-dire demander à récupérer certaines données afin de les réutiliser ou de les stocker à des fins personnelles, voire même de les transférer à un autre prestataire ou responsable de traitement.
Enfin, l’usager possède désormais un droit d’opposition : l’article 21 du RGPD 2018 stipule que l’on peut s’opposer à l’usage des données à des fins commerciales.
Et pour les entreprises disposant de données personnelles : quelles obligations ?
Les entreprises impliquées dans la collecte ou le stockage de données personnelles voient également leurs obligations revisitées et c’est la raison pour laquelle les utilisateurs sont fortement sollicitées par ces dernières depuis l’entrée en vigueur du RGPD.
Le recueil des consentements des utilisateurs sur l’utilisation de leurs données
Chaque entreprise doit s’assurer d’avoir recueilli le consentement des utilisateurs en matière de traitement des données personnelles. En cas de contrôle, l’entreprise devra prouver avoir reçu cet accord de façon expresse.
La désignation d’un DPO
Des dispositions de protection renforcées de l’utilisation des données ont vu le jour, comme notamment l’obligation de désigner un Délégué à la Protection des Données (DPO) au sein de l’administration ou de l’entreprise. Il pourra également s’agir d’un intervenant extérieur.
Ce référent sera en quelque sorte le superviseur du traitement des données au sein de ladite structure. Il aura pour mission de s’assurer de la bonne mise en application des règles et du respect de la réglementation relative à la protection des données. Chef d’orchestre de la mise en conformité avec le RGPD 2018, le Data Protection Officer devra être consulté par la structure collectrice chaque fois que des données à caractère personnel devront être traitées.
Le DPO fait office d’autorité en matière de protections informatique et juridique. En plus de garantir que chaque information soit traitée dans des conditions de sécurité optimales, il prend aussi part à l’amélioration de cette dernière (en effet, cela constitue un enjeu important en matière d’innovation et de commerce).
Que devient la CNIL ?
Le RGPD n’a pas réduit les pouvoirs de la CNIL (Commission Nationale Informatique et Libertés), bien au contraire. Les modalités de contrôle de la CNIL évoluent : l’instance n’aura plus à s’occuper de données peu sensibles, en amont de leur traitement par les organismes et entreprises, mais devra déployer un contrôle a posteriori, c’est-à-dire ultérieurement dans le processus.
La CNIL conserve donc toute son autorité. Son pouvoir de sanction en ressort même accru puisqu’elle sera en mesure d’adresser des amendes aux organismes qui ne respectent pas le règlement, lesquelles peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires réalisé par l’entreprise à l’international.
A lire aussi :