Les nouveaux droits et devoirs de la protection des données personnelles

2018-05-24T17:03:00+02:00

24.05.2018, 


imprimer

Le RGPD entend redonner aux personnes le contrôle sur les informations qu'ils partagent avec des entreprises en instaurant le droit au consentement éclairé, le droit à l'oubli et le droit à la portabilité des données.

Une pluie de courriels appelant à « accepter » de nouvelles conditions générales d'utilisation des réseaux sociaux, plates-formes de streaming et sites de e-commerce. Les citoyens européens ont sans doute chacun reçu une dizaine de ces messages indiquant que les services en lignes auxquels ils sont inscrits se sont adaptés au règlement européen sur la protection des données personnelles (RGPD) qui entre en application ce vendredi 25 mai. Ce texte ouvre des nouveaux droits aux citoyens et responsabilise les entreprises.

Qui est concerné par le RGPD ?

Tout le monde. En premier lieu, les citoyens européens pourront s'appuyer sur le texte pour défendre leurs informations personnelles s'ils estiment qu'une organisation est trop intrusive. Par conséquent, toutes les entreprises qui s'adressent à eux sur le territoire européen - y compris les entreprises du Web installées hors UE - devront se plier aux règles de bonne conduite précisées par le règlement,  en dépit des contraintes qu'elles engendrent. Le RGPD concerne toutes les organisations, y compris celles qui n'ont pas d'activité sur Internet et les administrations publiques.

Quels sont les nouveaux droits des citoyens ?

Le texte entend redonner aux personnes le contrôle sur les informations qu'ils partagent avec des entreprises. Elles doivent être informées en des termes clairs de l'usage qui sera fait de leurs données et les entreprises doivent obtenir leur consentement explicite avant toute collecte. Nouvelle à l'échelle européenne, cette mesure est mal appliquée en France depuis... quarante ans. Par ailleurs, la portabilité de leurs données d'un service Web à un autre doit être assurée aux citoyens. Ce terme barbare ouvre le droit à un individu de pouvoir récupérer les données le concernant auprès d'une entreprise ou d'une administration pour les transférer à un service concurrent, sans devoir construire un nouveau profil de zéro. Le RGPD instaure aussi également le droit à l'oubli : une entreprise doit effacer les données concernant un citoyen européen dès que celui-ci le demande. En cas de perte ou de vol de données personnelles, les personnes doivent obligatoirement être alertées. Si l'un de ces droits n'est pas respecté, les citoyens pourront lancer des actions de groupe.

Quelles sont les nouvelles obligations des entreprises ?

Pour assurer que le citoyen puisse exercer ses droits, les législateurs européens ont remplacé la formalité consistant pour les entreprises à déclarer préalablement tout traitement de données personnelles mis en oeuvre par le devoir de tenir en interne un registre des traitements de données personnelles. Ce document répertorie la finalité de chaque collecte de données et le nom d'un responsable. Pour chaque processus de traitement des données, elles devront mener une étude d'impact pour s'assurer qu'elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens concernés. Les garde-fous, notamment en matière de cybersécurité des données personnelles, devront être précisés. En cas d'infraction au RGPD, l'amende pour non-respect du RGPD peut grimper jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise contrevenante,  ou 20 millions d'euros pour les PME .

Florian Dèbes, Les Echos, le 24/05/2018

 

Dernières actualités