RGPD : ce qui va changer pour les citoyens et les entreprises

Difficile d'y échapper ces dernières semaines. Le RGPD est sur toutes les lèvres. Fruit d'un long processeur entamé en 2012, le Règlement européen sur la protection des données personnelles voté en 2016 entrera en vigueur dans les États membres de l'Union européenne le 25 mai prochain en remplacement de l'actuelle directive 95/46/CE.

Le texte vise à harmoniser les 28 législations existantes afin d'éviter que des entreprises ne profitent de failles locales pour échapper aux règles de l'UE d'un pays à l'autre. Le Parlement français vient tout juste de donner son feu vert au texte qui révise la loi Informatique et libertés fondatrices de 1978 qui fixe le cadre d'application du règlement européen dans l'Hexagone.

À partir du 25 mai prochain, toute les entreprises, quelle que soit leur taille, européennes et non européennes, devront respecter de nouvelles règles juridiques pour la collecte, le traitement, la conservation et la sécurisation des données personnelles recueillies auprès des 500 millions de résidents européens. Les données personnelles désignent toutes les informations permettant d'identifier directement ou indirectement une personne physique. Elles comprennent le nom, le prénom, l'adresse postale, mail ou IP, les données de localisation, le temps de connexion, le numéro de téléphone, l'âge, le sexe ou les données biométriques comme les empreintes digitales.

Des collectes de données plus responsables

De la petite entreprise locale à la multinationale, en passant par les sociétés sous-traitantes, toutes les entreprises susceptibles de manipuler des données seront tenues à partir du 25 mai de ne collecter que les informations nécessaires à leur activité. Si un média veut adresser une newsletter à ses lecteurs, il n'a besoin que de leurs adresses emails.

Leurs listes d'amis Facebook et leurs âges n'ont pas à être renseignés par exemple. Les utilisateurs doivent savoir à quoi serviront leurs données, combien de temps elles seront conservées, si elles quitteront l'Union européenne et si elles seront partagées avec des tiers. 

Des conditions d'utilisation plus claires

Les entreprises devront s'assurer d'obtenir le consentement des utilisateurs pour utiliser leurs données. Cela signifie que l'utilisateur doit donner un accord éclairé pour la collecte et l'exploitation de ses données. Ces informations doivent être "claires et simples". C'est pour cela que Facebook, Twitter, Google et de nombreuses applications populaires demandent à leurs utilisateurs d'accepter leurs nouvelles conditions d'utilisation à grand renfort de messages depuis plusieurs semaines, dans des termes pas toujours très clairs cependant.

Des mineurs mieux protégés

Le texte fixe à 16 ans l'âge à partir duquel un mineur n'a plus besoin de l'accord d'un parent pour s'inscrire à un réseau social. Les entreprises qui s'adressent aux mineurs en-dessous de cette barre devront formuler le texte de consentement dans des termes facilement compréhensibles et recueillir l'autorisation des parents ou d'un tuteur pour traiter leurs données personnelles. WhatsApp va par exemple être interdit aux moins de 16 ans en Europe.

Les députés français ont fixé la limite à 15 ans. Sans autorisation des parents, les réseaux sociaux ne pourront pas traiter les données des mineurs utilisant leurs services. Facebook leur proposera ainsi une version moins personnalisée sans publicités ciblées.

Des droits renforcés

Le RGPD renforce plusieurs droits garantis par la loi informatique et libertés de 1978, notamment le droit à l'oubli qui permet aux internautes d'être déréférencés et de ne plus voir apparaître de liens lors d'une recherches de contenus leur portant préjudice. Le responsable du traitement des données de l'entreprise doit alors l'effectuer dans les meilleurs délais. Le texte renforce aussi le droit des usagers à accéder à leurs données, à les corriger et les supprimer. 

Le droit à la portabilité permet aux internautes de récupérer l'ensemble des données fournies à un service afin de les exporter vers un autre opérateur. Par exemple, dans le cadre d'un changement d'opérateur téléphonique ou de fournisseur d'électricité. Ces données doivent être fournies sous un format lisible pour l'usager et la demande traitée sous un mois.

Des recours et des amendes plus dissuasifs

Des actions collectives pourront être menées par des associations civiles si des citoyens estiment que leurs droits ont été violés afin d'obtenir réparation. L'association la Quadrature du Net a déjà annoncé le lancement d'un recours contre les géants du numérique américain. 

Les autorités pourront infliger aux entreprises contrevenantes des amendes pouvant aller jusqu'à 20 millions d'euros ou 4% de leur chiffre d'affaires annuel, le montant le plus élevé sera retenu. Avant d'en arriver là, les autorités pourront faire usage de tout un arsenal de mesures pour inciter les entreprises à rentrer dans les clous.

Le RGPD sera-t-il prêt le 25 mai ?

Le contrôle des entreprises sera effectué par une série d'instances de régulation nationales et régionales dans les 28 États membres. Mais l'application des mécanismes du RGPD pourrait cependant souffrir d'un certain retard. 17 des 24 régulateurs européens des données personnelles ont récemment indiqué à Reuters qu'ils n'auront pas les moyens financiers et législatifs de faire appliquer le RGPD le 25 mai. L'effectivité du texte en France pourrait aussi être retardée par la saisine du Conseil constitutionnel par les sénateurs pour trancher quelques derniers griefs.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info