Par Benoît Roch.
Le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur dans les États de l’Union Européennes le 25 mai 2018. Adopté par le Parlement Européen le 14 avril 2016, après 4 années de négociations législatives, ce texte remplacera la Directive de 1995 sur la protection des données personnelles. Il a pour ambition d’unifier et de renforcer la protection des données pour les individus au sein de l’UE.
Quel est l’objectif affiché ? À en croire l’UE, ce nouveau règlement veut rendre aux citoyens le contrôle de leurs données personnelles, en simplifiant l’environnement règlementaire des entreprises. Les principales dispositions font apparaître des points positifs : l’harmonisation du cadre réglementaire, l’application extraterritoriale, le droit à l’effacement (sorte de version allégée du droit à l’oubli), des principes de sécurité par défaut, mais aussi le droit à la portabilité ou le profilage.
Portabilité et profilage
Arrêtons-nous un instant sur ces deux derniers points. La portabilité permet à une personne de récupérer les données la concernant, traitées par un organisme, pour son usage personnel, et de les stocker sur le support de son choix. Elle permet aussi de transférer ses données personnelles d’un organisme à un autre. De son côté, le profilage consiste à traiter de façon automatisée les données à caractère personnel, et à les utiliser pour évaluer certains aspects d’une personne (pour analyser – par exemple – son rendement au travail, sa situation économique ou sa santé, ses préférences personnelles, etc…). Le RGPD obligera les entreprises à informer les personnes concernées par un profilage, lesquels disposeront d’un droit de s’opposer, selon des conditions particulières.
Enfin la mesure la plus emblématique concerne la nomination d’un délégué à la protection des données, le DPO (Data Protection Officer), selon des conditions définies, pour assurer le respect de l’ensemble des obligations dans le développement de nouvelles technologies, s’assurer de la conformité d’une technique impliquant la prise de décision automatisée, et faire le lien avec l’autorité de contrôle.
De nouvelles obligations pour les entreprises
Il ne s’agit pas ici de dresser un catalogue des nouvelles mesures, ni de se pencher sur l’analyse des procédures, mais de s’interroger sur la pertinence de ces nouvelles obligations à la charge des entreprises, au regard des sanctions encourues. D’importantes amendes administratives sont prévues, selon la catégorie de l’infraction, jusqu’à 20 m€ ou jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.
La CNIL tient à rassurer, en précisant que les sanctions seront encadrées, graduées et renforcées par rapport à la Loi Informatique et Libertés. Les autorités de protection pourront tout d’abord prononcer un avertissement, puis mettre en demeure l’entreprise de se placer en conformité. La suspension des flux de données hors UE pourra aussi être suspendue, ainsi que la limitation temporaire ou définitive d’un traitement.
Au regard de ces nouvelles mesures, on peut légitiment se poser plusieurs questions. Quel sera le sort des données non automatisées ? Les salariés pourront-ils s’opposer à l’utilisation de leurs données ? Les clients auront-ils le pouvoir d’empêcher le développement d’un projet d’entreprise ? On devine à travers ces interrogations que le champ d’application du RGPD est plus complexe qu’il n’y paraît à première vue Qui doit être nommé DPO ? Faut-il externaliser la fonction ? Quel sera son coût pour une PME ? À ce jour, les réponses sont loin d’être évidentes. Quel est le temps à passer pour se mettre en conformité ? Quelles sont les protections juridiques efficaces à mettre en place ? Qu’en sera-t-il de la responsabilité pénale du chef d’entreprise ?
On veut bien croire à la clémence de la CNIL, dans un premier temps, mais celle-ci n’a aucune autorité sur le juge pénal. Une fois de plus, de nouveaux coûts et de nouveaux risques vont peser sur les PME, qui ont déjà du mal à se mettre en conformité avec l’inflation des normes dans tous les domaines.
Alors que chacun répand les données de sa vie personnelle sur les réseaux sociaux, on demande paradoxalement aux entreprises de protéger les données personnelles qu’elles peuvent récolter. Est-ce vraiment leur rôle ?
Une chose est sûre, le choc de simplification annoncé n’est toujours pas d’actualité.
Benoît Roch est président de l’Institut pour le Travail en Europe.
le RGPD, ce règlement absurde où pendant 80 pages absconses on vous explique doctement que vous, vous devez expliquer de façon “claire et concise” comment vous employez les données personnelles des gens.
Cela prêterait à rire si cela n’entraînait un tel gaspillage de ressources pour un bénéfice à peu près nul pour les citoyens.
Le RGPD est une absurdité, par contre je ne suis pas d’accord avec l’argument principal de l’article. Du moment qu’une entreprise collecte des données personnelles, il est de sa responsabilité de protéger ces données. Elle doit avoir une politique de confidentialité disponible pour tous ses clients/utilisateurs et si elle ne respecte pas cette politique il est normal que ses utilisateurs puissent demander dédommagement. L’auteur de l’article ne semble considérer que les réseaux sociaux et en conclut que si les utilisateurs exposent toute leur vie sur la toile c’est leur propre faute. Les réseaux sociaux ne représentent qu’une petite partie des données collectées et ne sont que la partie visible. Le marché des données personnelles est un marché très juteux. Tout logiciel sur internet collecte des données sur leurs utilisateurs, par exemple Contrepoints collectent des données sur leurs utilisateurs (email, commentaires, etc.). Ce qui n’est pas une mauvaise chose en soi du moment que les utilisateurs sont informés de l’utilisation de leurs données et que les serveurs de Contrepoints de ne sont pas vulnérables à une attaque extérieure (au si peu vulnérable que possible). Du moment qu’un site internet à ne serait-ce qu’un formulaire demandant des informations sensibles et identifiant l’utilisateur, il est de la responsabilité du propriétaire du site de protéger ces données.
D’accord avec Adrien, d’autant que tout le monde n’expose pas sa vie sur les réseaux sociaux.
La France vient de dire qu’elle n’appliquerait pas cette directive européenne aux organismes “nationaux” : Sécu, Mutuelles, SNCF, RATP, Cartes grises etc etc etc… Conclusion : l’Europe veut vous protéger, la France vous espionner !!!