Le règlement relatif à la protection des données personnelles entre en application le 25 mai 2018. Les entreprises s’y préparent petit-à-petit. Mais vous, êtes-vous prêt à faire valoir vos droits ? Savez-vous à quels défis le texte doit répondre ?
Le 25 mai prochain, entrera en application le désormais célèbre Règlement relatif à la Protection des Données (RGPD). « Célèbre » est probablement un abus de langage car la renommée de ce nouveau texte n’est en fait l’apanage que des professionnels des secteurs du droit et de l’informatique. Revenons donc un peu sur l’origine de ce texte, les enjeux auxquels il est censé faire face et, surtout, la façon dont le législateur européen entend répondre aux défis de la révolution numérique.
Une préoccupation ancienne
La protection des données personnelles est un sujet déjà ancien, en France, puisqu’elle a suscité l’intervention du Parlement en 1977. A l’époque, le Gouvernement espérait pouvoir mettre en place un fichage général de la population grâce au numéro de sécurité sociale. De la sorte, les autorités auraient pu prendre connaissance du casier judiciaire, des dépenses d’assurance maladie, des déclarations d’impôt, etc. de tout individu en tapant 13 chiffres sur son clavier. Apprenant l’existence de ce projet « SAFARI », Le Monde avait alors dénoncé une « chasse aux Français ». S’en est suivi la mise en place d’un groupe de réflexion au Parlement français qui a abouti à la publication de loi Informatique et Libertés, le 6 janvier 1978.
Ce texte ne vous parle pas ? jetez un œil aux petites lignes en bas de page, la prochaine fois que vous vous inscrivez sur un site internet. Vous devriez normalement voir une référence à cette loi, vous indiquant la raison pour laquelle vos nom, prénom, adresse email et autres informations vous sont demandés, mais également et surtout, vos droits.
Un droit anachronique
1978… Dire que l’informatique a évolué depuis serait une coquette lapalissade. Rassurez-vous, le législateur a su actualiser le texte pour tenir compte des évolutions progressives de la technologie.
Malgré cette veille, le dernier grand texte européen, avant le RGPD, date de 1995 et il a été transposé en France, le 6 août 2004. J’insiste sur la date. A l’époque, Facebook a six mois. Twitter n’apparaitra qu’un an et demi plus tard, Instagram plus de six ans après et Snapchat sept ! Autant dire que le droit de la protection des données est aujourd’hui un peu « dépassé » – pour ne pas dire totalement hors du coup – au plan technologique.
L’archaïsme se ressent également au niveau du champ d’application géographique du droit. Aujourd’hui, même si l’Union Européenne est intervenue en 1995, le droit de la protection des données reste un droit national. Chaque pays membre a sa propre loi et l’applique comme il le souhaite, contraignant toutes les entreprises à se conformer à la loi applicable aux personnes concernées par les données. Une telle façon de faire est totalement irrationnelle à l’heure où l’économique numérique ne connaît plus de frontières.
La réponse à la mondialisation du numérique
En 2012, la Commission Européenne a donc décidé d’actualiser le droit de la protection des données et, surtout, de l’uniformiser dans toute l’Union.
A compter du 25 mai 2018, vous bénéficierez donc des mêmes droits dans pratiquement tous les pays, et ce sans avoir à accomplir la moindre formalité. Imaginez. Dans pratiquement tous les pays. Lorsqu’un « GAFAM », un « BATX » ou un « NATU » utilisera des informations qui vous concernent, il devra respecter le Règlement Général relatif à la Protection des Données. Magique.
Et si l’une de ces fameuses entreprises décidait de s’en abstenir ? Des sanctions pourraient alors être prises, sanctions pouvant par exemple atteindre 20 000 000 d’euros ! et il n’y a pas d’erreur dans le nombre de zéros. Mieux, l’amende pourra dépasser ce montant astronomique pour atteindre jusqu’à 4% du chiffre d’affaires mondial du contrevenant. Si on prend le chiffre d’affaires de Google en 2016 – soit 89,46 milliards de dollars – cela représenterait « juste » 3 578 400 000 de dollars. Une somme astronomique, donc.
Pourquoi avoir prévu des sanctions financières aussi colossales ? Parce que le RGPD est extrêmement contraignant et protecteur des personnes.
Quels sont vos droits ?
Face à l’usage déraisonné des données personnelles par un nombre toujours croissant d’organisations et à la récente avalanche de failles de sécurité, le législateur européen impose le respect de principes fondamentaux. La collecte de données ne peut ainsi intervenir que dans un but clairement déterminé, dont les personnes doivent être informées. Pour atteindre cet objectif, seules pourront être utilisées les données strictement nécessaires. Et une fois qu’il aura été atteint, elles devront simplement être effacées. Pendant toute la durée de l’opération, le responsable devra veiller à la sécurité et à la confidentialité des données.
Et qui sera juge du respect de ces règles ? Vous. Vous et tous les autres utilisateurs, clients, usagers. Le RGPD vous autorise en effet à demander des comptes quant à l’utilisation des données vous concernant. Pour ce faire, vous pouvez ainsi demander à prendre connaissance de ces informations, à les rectifier si elles ne sont plus à jour, à les effacer si vous ne souhaitez pas qu’elles soient utilisées. Mieux. Vous estimez que la collecte ou l’usage des données est illicite ou vous avez besoin qu’un tiers les tienne à votre disposition le temps de faire valoir vos droits ? Le 25 mai prochain, il suffira de demander.
Dans la vie quotidienne, ce genre de situation ne se présente pas tous les jours, me direz-vous. Certes. Peut-être vous arrive-t-il plus fréquemment de vous dire que vous voudriez bien changer de modèle de smartphone. Mais vous ne le faites pas, parce que la « migration » devrait se traduire par la renonciation aux données stockées dans le « Cloud » ? et bien dans deux mois, vous pourrez demander à l’éditeur du système d’exploitation non seulement de vous remettre vos données, mais également de les « pousser » vers votre nouveau système.
Magique pour les utilisateurs. Infernal pour les industriels. D’où l’application du RGPD à ceux installés en dehors de l’Union – dans le cas contraire, il suffirait d’expatrier vos données pour échapper à la réglementation – et le montant colossal des sanctions financières.
Voilà pour le droit. Dans la pratique, ne vous attendez pas à quelque chose de brutal, le 25 mai. La transition vers le RGPD devrait se faire progressivement, sur toute l’année. Le temps pour vous de vous appropriez vos droits pour savoir comment les faire valoir.
Tribune réalisée pour l’Observatoire Mes Datas et Moi. À lire également ici.