ENQUÊTE

Données personnellesVotre protection renforcée

Depuis mai 2018, les données personnelles des Européens sont protégées par le RGPD, ou Règlement général sur la protection des données. Ce règlement aura fait couler beaucoup d’encre avant son entrée en vigueur. Le plus compliqué : garantir que les données personnelles des citoyens soient traitées de manière éthique et transparente.

Initié en 2012 pour remplacer une directive de 1995, adopté 4 ans après, le RGPD (Règlement général sur la protection des données) est entré en vigueur le 25 mai 2018. Ce texte repose sur plusieurs principes. D’abord, les individus ont le droit à la protection de leurs informations personnelles. Ensuite, les entreprises, les administrations et les associations – bref, toute organisation privée ou publique et ses sous-traitants –, quelles que soient leur taille et leur activité, ont la responsabilité de la garantir.

Ce texte définit clairement les contours légaux de la collecte, du stockage et du traitement des datas de chacun. Il fixe également un cadre juridique en matière de transparence, de confidentialité et de notification en cas de violation de leur sécurité. Tous les acteurs concernés sont contraints de s’adapter à ces exigences afin d’assurer les droits des citoyens de l’Union européenne (UE) dont les données sont récoltées.

Les règles qui doivent être suivies

Consentement exigé

Fini les cases précochées ou les liens vers des conditions d’utilisation en guise de consentement. Entreprises, administrations et associations sont tenues d’informer les individus concernés de la collecte et du traitement de leurs données personnelles, et obtenir leur consentement en ce sens. La demande de consentement doit être formulée « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples », précise le texte (article 7). Les données ne seront récoltées que dans la mesure où elles sont nécessaires, et traitées uniquement à des fins spécifiques et légitimes. Vous pouvez aussi retirer votre autorisation à tout moment, sans vous justifier, et cette procédure doit être simple. Chaque État détermine l’âge à partir duquel un enfant peut ouvrir un compte sur Facebook, Snapchat ou tout autre service en ligne sans ses parents. L’Europe exige qu’il soit compris entre 13 et 16 ans, la France l’a fixé à 13 ans.

Droit à l’oubli consacré

Depuis 2014 et une jurisprudence européenne, les internautes peuvent demander à Google (et aux autres moteurs de recherche) de déréférencer des articles les mettant en cause. Le RGPD consacre ce droit à l’effacement (art. 17). Il l’élargit même à toute structure détenant des données personnelles (moteur de recherche, mais aussi réseau social ou site marchand). Voici la marche à suivre sur Google, Qwant, TikTok ou encore Copains d’avant. Ces entreprises ne sont pas tenues d’accéder à votre demande : elles l’étudient et s’exécutent si elles la jugent fondée. Le texte confirme aussi que la liberté d’expression et d’information prime. Ainsi, Google a enlevé un lien vers un article de 2014 sur l’acquittement d’une personne pour violences conjugales car elle était non coupable, mais refusé de supprimer le lien vers un post de 2007 sur les activités passées d’une autre au sein d’une organisation terroriste.

Portabilité des données

Fournisseurs d’accès à Internet, e-commerçants, services de streaming… Tous les collecteurs doivent vous permettre de télécharger facilement vos données personnelles, « dans un format structuré, couramment utilisé et lisible » (art. 20). L’idée est que vous puissiez les confier à un autre service. Passer de Free à Orange ou de Spotify à Deezer est plus aisé (vos playlists ne seront pas transférées). Vous pourrez même demander que vos données soient transmises directement d’un responsable du traitement à un autre, si c’est possible techniquement.

Protection des informations

Ces organismes doivent aussi mettre en place des mesures techniques et organisationnelles appropriées pour garantir la confidentialité et la sécurité des datas, telles que l’anonymisation, le chiffrement des informations (illisibles sans une clé d’autorisation), la gestion des accès, la destruction…

Transparence

Le RGPD impose également à ces entités une totale transparence dans la manière dont les données seront traitées. Cela passe par la tenue d’un registre dédié (lire encadré) et par la possibilité, pour les personnes concernées, de contacter un délégué à la protection des données (DPO). Les sociétés qui ne respectent pas les exigences du RGPD peuvent faire l’objet d’amendes élevées, jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial.

Protection étendue à l’étranger

Le règlement européen dépasse les frontières de l’Europe. D’abord, il s’applique à toutes les organisations étrangères ayant une activité dans l’Union européenne (art. 3). Ensuite, il protège vos données hors de l’Union (art. 44). Lorsqu’il y a transfert de données vers d’autres pays, le niveau de garantie doit être « approprié ». Fini les déclarations de traitement, les entreprises devront mettre en place les outils permettant de vérifier qu’elles respectent leurs obligations. Reste à voir si les sociétés étrangères appliqueront cette disposition qu’elles pourraient interpréter comme une entrave à leur souveraineté.

Guichet unique

En cas de problème avec une entreprise étrangère, vous pourrez vous adresser à la Cnil (Commission nationale de l’informatique et des libertés), qui contactera son homologue dans le pays concerné et gérera la procédure.

Des géants sanctionnés

Le RGPD est considéré comme l’un des textes les plus stricts sur le sujet. L’Europe est bien plus concernée par les données personnelles de citoyens que ne le sont les États-Unis (lire encadré). Rien qu’en 2022, les commissions informatique et libertés des États membres de l’UE ont sanctionné, à hauteur de 800 millions d’euros, les entreprises ne le respectant pas (le site Enforcementtracker.com permet de connaître en temps réel leurs décisions).

En décembre 2022, Bing, la filiale européenne de Microsoft, a ainsi été sommée de payer 60 millions d’euros d’amende à cause de sa mauvaise gestion des cookies (dépôts pour de la publicité ciblée sans consentement, et problème d’équilibre entre les modalités d’acceptation et de refus). Ce même mois, Apple a écopé de 8 millions d’euros d’amende. Le géant américain n’avait pas recueilli le consentement des détenteurs français d’iPhone avant de se servir de leurs identifiants à des fins publicitaires… Auparavant, l’UFC-Que Choisir avait obtenu la condamnation de Google par le tribunal de grande instance de Paris, en 2019, pour la rédaction de 209 clauses abusives et illicites dans ses conditions d’utilisation et ses règles de confidentialité.

On notera que la notion de données personnelles évolue au fil des années, mais aussi au fur et à mesure des avancées technologiques qui permettent l’usage, l’échange ou la récupération d’informations de plus en plus variées et sensibles. Il est donc capital de surveiller ces développements (intelligence artificielle, apprentissage automatique…) afin d’adapter la réglementation et de continuer à protéger au mieux les individus.

La gestion des données aux États-Unis

Aux États-Unis, il n’y a pas de loi fédérale sur la protection des données personnelles. Cependant, certaines industries ont établi leur propre réglementation (notamment dans le secteur de la santé) et des États ont voté des textes similaires à notre RGPD, comme la Californie ou le Colorado. Ailleurs, on se réfère à des règlements locaux sur la protection des consommateurs, car les Américains n’aiment pas voir les pouvoirs publics intervenir dans leur vie privée, même si c’est pour la protéger… Plusieurs lois ont été votées en ce sens, tels l’Electronic Communications Privacy Act (ECPA, restrictions sur les écoutes téléphoniques par le gouvernement, 1986), le Privacy Protection Act (protection des journalistes, 1980) et le Right to Financial Privacy Act (confidentialité des fichiers financiers personnels, 1978).

Un registre, pour quoi faire ?

Afin d’être en conformité avec le RGPD, les entreprises doivent créer un registre des activités de traitement des données. Sous forme de cahier ou de fichier numérique, par exemple, ce dernier contiendra, outre les informations personnelles (identités, adresses, téléphones…), un certain nombre de renseignements tels que les coordonnées du délégué à la protection des données (DPO), les finalités de leur traitement (concours, abonnement…), le délai prévu pour leur effacement ou encore la description des mesures techniques et organisationnelles mises en place pour les sécuriser.

Camille Gruhier

Camille Gruhier

Lire aussi

Soutenez-nous, rejoignez-nous

La force d'une association tient à ses adhérents ! Aujourd'hui plus que jamais, nous comptons sur votre soutien. Nous soutenir

image nous soutenir

Newsletter

Recevez gratuitement notre newsletter hebdomadaire ! Actus, tests, enquêtes réalisés par des experts. En savoir plus

image newsletter