Le 25 mai prochain, le règlement général pour la protection des données fournira aux citoyens européens de nouveaux droits pour protéger leurs informations personnelles et leur vie privée.
Après six ans de discussions parfois musclées, l’Europe va partager de nouvelles règles communes en matière de protection des données personnelles de ses citoyens.
Afin d’adapter le droit français, la ministre de la Justice et le secrétaire d’Etat au Numérique ont choisi d’enclencher une procédure accélérée au Parlement. Après son passage à l’Assemblée nationale mi-février, le projet de loi sur les données personnelles va être examiné par le Sénat au mois de mars.
Et le règlement général pour la protection des données (RGPD) entrera en application le 25 mai 2018 .
Tour d’horizon des droits et des contraintes apportés par le texte appelé à rétablir l’équilibre entre l’Europe numérique et les sociétés américaines et asiatiques du secteur.
Le RGPD, qu’est-ce que c’est ?
Le texte qui aura force de loi met à jour la directive européenne de 1995 qui avait jusqu’ici cours dans l’Union européenne (UE). A l’époque, les deux entreprises les plus influentes dans l’économie des données personnelles, Google et Facebook, n’existaient pas.
La France profite du RGPD pour réaffirmer sa propre législation en modifiant la loi « Informatique et Libertés » de 1978. La discussion est en cours au Parlement .
Le RGPD et la nouvelle loi française partagent le même objectif : concilier protection de la vie privée des citoyens et innovation, à l’heure où les géants du numérique analysent des masses de plus en plus grandes d’informations personnelles pour fournir des services personnalisés (publicité ciblée, assistant personnel, réservation de services à proximité). A Bruxelles, et dans une moindre mesure à Paris, la recherche d’un point d’équilibre a grandement mobilisé divers lobbys.
Qui est concerné par le RGPD ?
Tout le monde. En premier lieu, les citoyens européens pourront s’appuyer sur le texte pour défendre leurs informations personnelles s’ils estiment qu’une organisation est trop intrusive.
La protection des données va rapporter 1 milliard d’euros à la tech française en 2018
Par conséquent, toutes les entreprises qui s’adressent à eux sur le territoire européen – y compris les entreprises du Web installées hors UE – devront se plier aux règles de bonne conduite précisées par le règlement, en dépit des contraintes qu’elles engendrent. Les administrations publiques, par exemple l’école, sont aussi priées de s’adapter.
Le RGPD concerne toutes les organisations, même celles qui n’ont pas d’activité sur Internet. La liste des salariés d’une société est considérée comme un fichier de données personnelles.
Qu’est-ce que le RGPD va changer ?
Dans l’esprit des législateurs, les nouvelles dispositions contraignantes pour les modèles économiques actuels des géants américains du numérique doivent favoriser l’émergence de sociétés européennes respectueuses des données personnelles. Néanmoins, le RGPD réaffirme des principes protecteurs.
Données personnelles : une nouvelle règle qui ne fait pas que des malheureux
· Pour les citoyens :
Le RGPD ouvre de nouveaux droits aux citoyens. Par exemple, la portabilité de leurs données d’un service Web à un autre devra leur être assurée. Ainsi, un citoyen pourra récupérer les données le concernant auprès d’une entreprise ou d’une administration pour les transférer à un service concurrent sans devoir construire un nouveau profil de zéro.
Le RGPD instaure aussi dans la loi le droit à l’oubli : une entreprise devra effacer les données concernant un citoyen européen dès que celui-ci le demande .
La majorité numérique, c’est-à-dire l’âge à partir duquel un mineur peut s’inscrire sur les réseaux sociaux et donner son consentement au traitement de ses données personnelles sans l’autorisation de ses parents, a été fixée à 15 ans par l’Assemblée.
· Pour les entreprises :
Le RGPD entend responsabiliser les entreprises. Jusqu’ici, en France, elles devaient déclarer préalablement tout traitement de données personnelles mis en oeuvre. Cette formalité disparaît.
Mais les sociétés devront tenir en interne un registre des traitements de données personnelles dans lequel elles indiqueront la finalité de chaque collecte de données et le nom d’un responsable.
Pour chaque processus de traitement des données, elles devront mener une étude d’impact pour s’assurer qu’elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens concernés. Les garde-fous, notamment en matière de cybersécurité des données personnelles, devront être précisés.
En cas d’infraction à l’une de ces mesures ou au cas où des données personnelles se retrouveraient par mégarde dans la nature, les sociétés s’exposeront à des sanctions plus lourdes. Jusqu’ici limitée à 3 millions d’euros en France, l’amende pour non-respect du RGPD peut grimper jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise contrevenante. Soit des centaines de millions d’euros potentiels pour les plus grosses d’entre elles. Les citoyens pourront mener des actions de groupe contre une société qui ne respecte pas le RGPD. En France, ils devront passer par une association de consommateurs.
Le RGPD est-il si révolutionnaire ?
Pionnière de la protection des données personnelles, la France avait déjà intégré nombre de points clefs du RGPD dans sa propre loi .
Par exemple, la loi de 1978 oblige déjà, sauf exception, une entreprise à obtenir le consentement de la personne dont elle voudrait pouvoir collecter les données. C’est un élément central du texte européen.
Sur ce point, la force du RGPD en France sera d’alourdir significativement les sanctions. La crainte de l’amende a déjà poussé beaucoup d’entreprises à faire évoluer leur pratique.
Combien va coûter la mise en conformité avec le RGPD ?
Les études varient beaucoup. En mai dernier, le cabinet Sia Partners estimait la facture à 30 millions d’euros pour un groupe du CAC 40 . Pour une entreprise aux multiples activités et aux nombreuses filiales, Wavestone situait en août dernier le coût des programmes de mise en conformité RGDP dans une fourchette de 20 à 50 millions d’euros .
Ces programmes mobilisent plusieurs dizaines d’équivalent temps plein. Côté PME, les professionnels évoquent des montants en milliers d’euros.
Comment se préparer au RGPD ?
La date du 25 mai approchant, il est déjà urgent de commencer à s’y préparer pour ceux qui ne l’ont pas fait .
Première étape : se connaître. Les entreprises doivent répertorier tous leurs fichiers contenant des données personnelles et se demander si elles en ont toujours besoin et si le consentement des citoyens concernés a été obtenu dans les règles.
Dès le début de la démarche de conformité, la Commission nationale de l’informatique et des libertés (CNIL) peut aider. Le régulateur sort de son rôle de gendarme pour endosser celui de conseiller.
Obligatoire pour les grandes entreprises technologiques, mais vivement recommandée pour les autres, la nomination d’un délégué à la protection des données personnelles permettra de fluidifier les relations entre l’entreprise et le régulateur.
Pour les entreprises les plus technologiques, un travail informatique doit aussi être mené pour permettre les nouveaux droits à la portabilité et à l’oubli.
©Les Echos 2017