Données personnelles : des droits pour les citoyens, des obligations pour les entreprises
Paris - Le règlement européen de protection des données personnelles (RGPD), entré en vigueur il y a un an, a renforcé les droits des citoyens européens, et établi une série d'obligations pour les entreprises, variables selon leur taille et l'usage qu'elles font des données.
Voici les principaux droits intégrés au RGPD:
- Le droit à être informé: si un internaute met à disposition une partie de ses données personnelles, il doit désormais savoir à quoi elles serviront, combien de temps elles seront conservées et si elles quitteront l'Union européenne, autant d'informations qui doivent être "claires et simples".
- Le droit d'accéder à ses données, à les corriger et les supprimer: l'utilisateur d'un service doit pouvoir demander facilement une copie de ses données personnelles. En cas d'erreur, en particulier en cas de préjudice potentiel, l'organisme ou l'entreprise doit rectifier dans les plus brefs délais les informations détenues. Il est également possible de demander la suppression des données.
- Le droit à l'oubli: déjà connu des internautes, ce droit permet le déréférencement, c'est-à-dire le fait de ne plus voir apparaître des liens lors d'une recherche de contenus portant préjudice à une personne. Cependant, ce droit ne concerne théoriquement pas la liberté d'expression ou d'informer, et ne s'applique pas si l'intérêt public prévaut.
- Le droit de transférer ses données: changer de fournisseur d'adresse électronique sans perdre son courriel passé est normalement possible. Mais cela peut également concerner le fournisseur d'électricité ou une banque par exemple. L'entreprise dont l'utilisateur se sépare doit pouvoir transférer les données à la nouvelle entreprise prestataire ou, à défaut, remettre l'ensemble des données à l'utilisateur.
- Le droit d'intervenir dans un système automatisé: si les algorithmes jouent un rôle de plus en plus important dans les processus de décision, par exemple pour l'accès aux universités, une possibilité de contestation doit être offerte.
- Une possibilité de recours en cas de non respect de ces droits, auprès de la Commission nationale de l'informatique et des libertés (Cnil) de chaque pays d'Europe. La décision finale sera prise par le "G28", le regroupement des Cnil européennes, s'imposant à tous les pays européens.
Le RGPD concerne toutes les entreprises traitant des données de citoyens européens, qu'elles soient ou non établies en Europe.
L'objectif général imposé aux entreprises est de "limiter la quantité de données traitées dès le départ" .
Cela implique pour elles de bien déterminer les données dont elles ont réellement besoin, et de bien savoir comment elles les protégent, notamment contre les pirates informatiques.
Elles doivent les mettre à jour régulièrement, mais aussi informer les clients ou sous-traitants des données récoltées et dans quel but, ainsi que de tous les outils nécessaires à la garantie de leurs droits.
Les entreprises devront aussi définir qui a la charge des fichiers de données et définir qui y a accès en leur sein; et il leur faudra mettre en place toutes les mesures nécessaires de protection, en particulier des données sensibles.
Lorsque les entreprises demandent à un internaute ses données personnelles, elles doivent lui donner les moyens de donner un consentement "libre" et "éclairé".
Les manquements des entreprises à leurs obligations peuvent être sanctionnés de très lourdes amendes, pouvant aller jusqu'à 4% de leur chiffre d'affaires ou 20 millions d'euros.
Mais les entreprises ne sont pas toutes concernées au même niveau, selon le type de données qu'elles collectent, l'usage qu'elles en font ou, tout simplement, leur taille.
Pour l'essentiel des petites et moyennes sociétés, il s'agit avant tout de protéger leur fichier clients ou fournisseurs, des "règles de bon sens", comme l'a répété la Cnil, plus que des obligations lourdes.
"Si vous êtes un coiffeur avec seulement une liste de clients dans votre ordinateur, assurez-vous d'avoir un bon anti-virus, c'est tout", conseille ainsi la commissaire européenne à la Justice Vera Jourova.
Voici les principaux droits intégrés au RGPD:
- Le droit à être informé: si un internaute met à disposition une partie de ses données personnelles, il doit désormais savoir à quoi elles serviront, combien de temps elles seront conservées et si elles quitteront l'Union européenne, autant d'informations qui doivent être "claires et simples".
- Le droit d'accéder à ses données, à les corriger et les supprimer: l'utilisateur d'un service doit pouvoir demander facilement une copie de ses données personnelles. En cas d'erreur, en particulier en cas de préjudice potentiel, l'organisme ou l'entreprise doit rectifier dans les plus brefs délais les informations détenues. Il est également possible de demander la suppression des données.
- Le droit à l'oubli: déjà connu des internautes, ce droit permet le déréférencement, c'est-à-dire le fait de ne plus voir apparaître des liens lors d'une recherche de contenus portant préjudice à une personne. Cependant, ce droit ne concerne théoriquement pas la liberté d'expression ou d'informer, et ne s'applique pas si l'intérêt public prévaut.
- Le droit de transférer ses données: changer de fournisseur d'adresse électronique sans perdre son courriel passé est normalement possible. Mais cela peut également concerner le fournisseur d'électricité ou une banque par exemple. L'entreprise dont l'utilisateur se sépare doit pouvoir transférer les données à la nouvelle entreprise prestataire ou, à défaut, remettre l'ensemble des données à l'utilisateur.
- Le droit d'intervenir dans un système automatisé: si les algorithmes jouent un rôle de plus en plus important dans les processus de décision, par exemple pour l'accès aux universités, une possibilité de contestation doit être offerte.
- Une possibilité de recours en cas de non respect de ces droits, auprès de la Commission nationale de l'informatique et des libertés (Cnil) de chaque pays d'Europe. La décision finale sera prise par le "G28", le regroupement des Cnil européennes, s'imposant à tous les pays européens.
Le RGPD concerne toutes les entreprises traitant des données de citoyens européens, qu'elles soient ou non établies en Europe.
L'objectif général imposé aux entreprises est de "limiter la quantité de données traitées dès le départ" .
Cela implique pour elles de bien déterminer les données dont elles ont réellement besoin, et de bien savoir comment elles les protégent, notamment contre les pirates informatiques.
Elles doivent les mettre à jour régulièrement, mais aussi informer les clients ou sous-traitants des données récoltées et dans quel but, ainsi que de tous les outils nécessaires à la garantie de leurs droits.
Les entreprises devront aussi définir qui a la charge des fichiers de données et définir qui y a accès en leur sein; et il leur faudra mettre en place toutes les mesures nécessaires de protection, en particulier des données sensibles.
Lorsque les entreprises demandent à un internaute ses données personnelles, elles doivent lui donner les moyens de donner un consentement "libre" et "éclairé".
Les manquements des entreprises à leurs obligations peuvent être sanctionnés de très lourdes amendes, pouvant aller jusqu'à 4% de leur chiffre d'affaires ou 20 millions d'euros.
Mais les entreprises ne sont pas toutes concernées au même niveau, selon le type de données qu'elles collectent, l'usage qu'elles en font ou, tout simplement, leur taille.
Pour l'essentiel des petites et moyennes sociétés, il s'agit avant tout de protéger leur fichier clients ou fournisseurs, des "règles de bon sens", comme l'a répété la Cnil, plus que des obligations lourdes.
"Si vous êtes un coiffeur avec seulement une liste de clients dans votre ordinateur, assurez-vous d'avoir un bon anti-virus, c'est tout", conseille ainsi la commissaire européenne à la Justice Vera Jourova.