Depuis le 25 mai 2018, le web est en effervescence. En effet, le Règlement Général à la Protection des Données (RGPD) est entré en vigueur. Cette nouvelle règlementation a pour but d’encadrer de manière stricte les données à caractère personnel. En quoi consiste-t-il exactement ? Quelles sont les conséquences qui découlent de son entrée en application ?
RGPD : définition
Avec l’essor du numérique, les organisations possèdent désormais une pléiade d’outils qui permettent de traiter et d’analyser les données de chaque utilisateur d’internet (voir des sites spécialisés comme Planète Internet). Les consommateurs s’inquiètent alors de la sécurité de ces données d’autant que ces dernières années, les cyberattaques se sont multipliées sans parler des scandales comme Facebook-Cambridge Analytica. Face à ces inquiétudes, la Commission Européenne a décidé de dépoussiérer les normes autour de la protection des données personnelles. Jusqu’alors, c’était la directive européenne de 1995 qui prévalait sauf que celle-ci était jugée trop obsolète, car elle a été créée avant la naissance des réseaux sociaux, des objets connectés, du Big data ou du Cloud.
Après une mise en vigueur en mai 2016, le nouveau règlement de la protection des données est entré officiellement en application le 25 mai 2018. La mise en place de ce nouveau dispositif a nécessité presque 4 ans de négociations puisque les premiers pourparlers au sein du Parlement européen ont commencé en 2014. La loi est applicable à toutes les entreprises publiques ou privées qui opèrent dans les 28 pays adhérents à l’UE et qui récoltent les données personnelles d’utilisateurs européens. Elle est aussi valable aux entreprises qui ne sont pas situées dans ce domaine, mais qui font usage des données de citoyens européens. À titre de rappel, on entend par « données personnelles », les informations destinées à l’identification d’une personne physique à savoir son nom, son adresse, son contact téléphonique, etc.
Les principes régissant ce règlement européen
Le RGPD s’articule essentiellement autour de quatre grands principes. Le premier concerne le consentement. En clair, les entreprises n’ont pas le droit de traiter des données sans avoir reçu l’aval des individus concernés.
Le second principe porte sur le droit des personnes. Le règlement a fait ainsi apparaître de nouveaux droits comme celui à l’oubli. Après une demande, les entreprises ont un délai d’un mois pour effacer les traces de la personne. Un autre nouveau droit est celui lié à la portabilité des données. Un individu peut demander à récupérer ses données chez une entreprise et peut aussi les réutiliser. Le droit d’accès facilité à tous les utilisateurs et le droit à la limitation du traitement complètent ce volet.
Le troisième principe repose sur la transparence. L’entreprise est dans le devoir d’expliquer concrètement comment les informations personnelles d’un individu seront traitées. Il faut que les explications soient claires et compréhensibles de tous.
Le dernier principe a trait à la responsabilité. Ce dernier rassemble les mesures ayant pour objectif de responsabiliser les entreprises dans le traitement des données. À titre d’exemple, elles devront se contenir au concept de « Privacy by design » dont le but est d’identifier les techniques permettant de mieux protéger les données à caractère personnel au moment de créer un service ou un produit. Les entreprises sont aussi tenues de choisir uniquement des sous-traitants capables de bien protéger les données.
