BORIS SEMENIAKO

Lorsqu’ils se réveilleront le 25 mai, les Européens ne s’en apercevront sans doute pas, mais leurs données personnelles seront un peu mieux protégées. À cette date s’appliquera, en effet, le Règlement général sur la protection des données personnelles (RGPD), un texte européen ambitieux qui va instaurer des obligations et des droits dans toute l’Europe concernant la manière dont les données personnelles sont collectées et traitées.

Article réservé à nos abonnés Lire aussi Protection des données : le texte européen qui hante les nuits des patrons de PME français

Pour les entreprises, se conformer au RGPD est un bouleversement. Pour les Français en revanche, les changements seront moins visibles : le droit hexagonal, issu d’une directive de 1995 diversement transposée dans l’Union européenne, est déjà relativement complet en la matière.

Consentement des mineurs

Le RGPD a fixé à 16 ans l’âge à partir duquel un mineur n’a plus besoin de l’autorisation de ses parents pour utiliser un réseau social. En dessous de cet âge, un mineur ne peut pas consentir seul à voir ses données personnelles traitées par un service sur Internet, comme Facebook ou Instagram, par exemple. Les services en ligne devront recueillir l’autorisation des parents pour obtenir et traiter les données personnelles, dans la limite « des moyens technologiques disponibles ».

Le texte laisse cependant des marges de manœuvre aux Etats membres qui peuvent abaisser ce seuil à 13 ans.

Facebook, par exemple, ne prendra pas de mesure particulière pour empêcher les mineurs d’utiliser ses services, mais sans autorisation de leurs parents, ces derniers « verront une version moins personnalisée de Facebook avec un partage restreint et des publicités moins pertinentes ». Autrement dit, la plupart de leurs données ne seront pas traitées par le réseau social.

Portabilité des données

Le RGPD apportera un nouveau droit aux internautes : celui de pouvoir récupérer et transférer leurs données personnelles gratuitement d’un service à un autre. C’est ce qu’on appelle le droit à la portabilité des données, qui permettra, par exemple, de télécharger ses e-mails d’un fournisseur donné pour continuer à les utiliser chez une autre entreprise, un petit peu comme il est possible depuis quelques années de conserver son numéro de téléphone mobile lorsqu’on change d’opérateur.

Le règlement prévoit la possibilité que le transfert puisse être fait automatiquement entre fournisseurs de services, sans que l’internaute ait besoin de les manipuler.

Communication en cas de fuite

Pour tenter d’éviter que les données personnelles des Européens fuitent ou soient indûment transmises à des tiers, le RGPD prévoit, pour les entreprises gérant des données personnelles, de contraignantes obligations de sécurité.

Ces dernières devront aussi avertir « en des termes clairs et simples » leurs clients ou usagers en cas de « violation de données personnelles », par exemple en cas de piratage. Mais cet avertissement ne sera pas systématique : les utilisateurs seront prévenus seulement lorsque cette « violation » est « susceptible d’engendrer un risque élevé pour les droits et libertés ». De plus, si les données étaient protégées par de la cryptographie – donc illisibles par d’éventuels pirates –, l’entreprise n’aura pas l’obligation d’avertir ses clients ou usagers.

Recours, réparations et amendes

Si un Européen estime que ses données personnelles ont été utilisées ou collectées en contradiction avec la loi, il sera possible d’introduire un recours auprès des autorités de protection des données, la Commission nationale de l’informatique et des libertés (CNIL) en France. C’est déjà le cas, mais le RGPD ajoute une corde à l’arc des citoyens : la possibilité de lancer une action collective par une association ou un organisme ayant pour objectif la protection des données personnelles, et d’obtenir une « réparation du préjudice subi ». L’association française La Quadrature du Net a justement annoncé le lancement des premières actions collectives du genre, visant les géants du numérique américains.

Article réservé à nos abonnés Lire aussi Une association française lance des actions de groupe contre les Gafam

Les amendes que pourront infliger les autorités de protection des données changent de dimension : elles pourront atteindre, selon les cas, jusqu’à 4 % du chiffre d’affaires (ou 20 millions d’euros).

Un risque suffisamment important pour faire remonter cette question des données personnelles très haut dans la hiérarchie de l’entreprise et agir comme une véritable incitation à respecter les droits de ses utilisateurs en la matière.

Des conditions d’utilisation plus claires

En France, les entreprises étaient censées informer les individus sur la façon dont elles manipulaient leurs données personnelles et dans quel but. Désormais, gravé dans le marbre du droit européen, elles devront le faire « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Plusieurs entreprises du numérique ont annoncé une réécriture de leurs conditions d’utilisation, ces textes qui annoncent la manière dont les données personnelles vont être traitées.

La notion de consentement, déjà présente, est renforcée. Les entreprises devront, sauf exception, demander aux individus leur autorisation pour traiter leurs données personnelles, là encore, « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Article réservé à nos abonnés Lire aussi « Le but de la CNIL n’est pas la sanction tous azimuts »

Ainsi, Facebook a-t-il commencé récemment à demander à ses utilisateurs européens s’ils acceptaient toujours à partager leur croyance religieuse, qui est de surcroît une information plus protégée que les autres car sensible.

Enfin, dernière innovation de taille introduite par le RGPD : il sera applicable dès lors que les données sont collectées en Europe. Les entreprises dont le siège est situé hors de l’Union européenne ne pourront plus arguer de la non-applicabilité du droit européen.

Les grands principes déjà existants

De nombreux grands principes, déjà présents dans le droit européen et français, sont repris par le RGPD.

Les données doivent ainsi être traitées de manière « licite, loyale, transparente ». La « finalité », c’est-à-dire le but pour lequel les données sont traitées doit être « déterminée, explicite, légitime ». Les données collectées doivent être « adéquates, pertinentes, limitées, exactes, à jour », et conservées en sécurité.

Le consentement des internautes doit être respecté, sauf dans certains cas où le traitement des données est nécessaire, par exemple pour respecter un contrat (une vente en ligne) ou encore lorsque ce traitement est réalisé pour certaines missions de l’Etat en matière de sécurité (les fichiers de police par exemple).

Certaines données sont considérées comme sensibles et soumises à un cadre un peu plus restrictif, comme celles qui révèlent « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale », mais aussi les « données génétiques, […] biométriques » et celles relatives à la « santé ou [à] la vie sexuelle [et à] l’orientation sexuelle ».

Le RGPD ne concerne pas les traitements de données qu’une personne pourrait réaliser pour son usage strictement personnel.

Lire aussi Après quarante ans d’existence, la CNIL face à de nouveaux défis

Comme auparavant, un certain nombre d’informations doivent être communiquées à l’individu lorsqu’on lui réclame ses données, comme la nature des données demandées, l’identité de la personne ou de l’entité qui va les traiter, la raison pour laquelle elle les demande, combien de temps elles seront conservées… Ledit individu dispose également du droit d’y accéder, de les rectifier, de les effacer, et même de demander à ce qu’elles ne soient plus traitées, moyennant moult exceptions et conditions.

Le RGPD reprend aussi une notion déjà présente en droit français, celle qui interdit qu’une décision « produisant des effets juridiques » soit basée sur un « traitement automatisé » c’est-à-dire un programme informatique. Sauf si la loi l’autorise expressément et l’assortit de garanties « des droits et libertés » ou si l’individu donne son consentement.