Qu’apporte le RGPD aux particuliers ?

Vous avez déjà entendu “RGPD” n’est pas ? Ou GDPR en anglais.

Le RGPD “Règlement Général sur la Protection des Données” est un règlement de l’union européenne qui consiste à unifier et protéger les données pour les citoyens d’Europe. Ses dispositions seront applicables à partir du 25 mai 2018.

Mais alors qu’est-ce que cela change concrètement pour vous ?

Au premier plan pas grand-chose. C’est au second plan que ça ce passe. Les entreprises devront respecter un certain nombre de règles concernant l’usage des données qu’ils récoltent sur vous. Même si ces dernières ne sont pas européennes.

En voici quelques exemples:

  • Le consentement de l’internaute
    Il ne sera plus question de supposer le consentement des internautes par un simple lien pointant vers une politique de vie privée ou par des cases d’acceptation pré-cochées par défaut. Et bien sur, il sera possible de retirer cette acceptation  à tout moment sans donner justification.
  • La portabilité des données
    Le droit à la portabilité des données permet en effet de télécharger ses données collectées, traitées et produites via un service en ligne. Ce qui est déjà possible avec Facebook ou encore Instagram. Le RGPD précise aussi que lorsque cela est techniquement possible, vous pourrez décider de transférer vos données d’un service un à autre. Par exemple si vous passez de Gmail à Protonmail. Cette dernière partie me parait bien compliqué à réaliser. Mais pourquoi pas.
  • Le droit à l’effacement
    Vous vous souvenez du droit à l’oubli qui existe depuis 2014 et qui concerne le déréférencement des moteurs de recherche ? C’est la même chose mais avec une évolution. Le droit à l’effacement permet à un particulier de demander la suppression des données qui lui sont liées, y compris chez les sous-traitants et les partenaires, à condition que leur conservation ne soit pas nécessaire pour un motif légitime (raisons historiques, scientifiques, statistiques, de santé publique, d’exécution d’un contrat, judiciaires…), y compris le droit à la liberté d’expression.
  • L’information en cas de piratage
    Si une entreprise ou une organisation quelconque est victime d’un piratage de données de ses clients ou de tiers, elle devra immédiatement en informer l’autorité de protection des données. En France, c’est la Cnil. Beaucoup de gros site ayant été piraté ne prévenaient pas leurs clients. Voir quelques années plus tard.

Ceci est une liste réduite contenant à mes yeux les règles les plus importantes. Mais ils en existent bien d’autres.

Que se passe t’il si une société ne respecte pas les règles ?

La ou les sociétés concernées, recevront une amende très salé. Les plafonds des sanctions prévues par le texte sont en effet particulièrement élevés : en cas d’infraction sur la protection des données, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Bien sur les amendes ne seront pas distribué comme des tracts à la sortie du métro. Plusieurs critères, comme la gravité de l’incident, la coopération du responsable du traitement, les actions correctrices, le nombre de personnes touchées, etc seront prises en comptes avant de prononcé la sanction.

Et si une société ne veut pas se donner les moyens de respecter ces règles ?

Il en existe oui. Certaines sociétés (hors union européenne) ne veulent tout simplement pas perdre leurs temps ou leurs argents à mettre en place ce genre de disposition. Et c’est très compréhensible. Beaucoup de société (basé en dehors de l’union européenne) qui propose des serveurs à la location, ne respectent pas ces règles. Imaginez des petites structures devant délocaliser une partie de leur hébergement juste pour satisfaire la clientèle européenne. Selon la marge de ces sociétés en dehors de leur continent ça ne vaut pas forcément le coup.
De ce fait de plus en plus de site bloque l’accès aux personnes ce connectant depuis un pays faisant partie de l’union européenne.

 

Il est important de retenir que le RGPD ne s’applique pas qu’aux sociétés fournissant un service en ligne.

Votre banque, votre club d’échec, votre boulangerie et même votre employeur sont soumis à ces règles à partir du moment où ces derniers traitent des données personnelles.

Il est important de souligner aussi que chaque société doit nommer un délégué à la protection des données. Ce dernier ne peut pas être un responsable du traitement.
En gros, les patrons et les RH ne peuvent pas être délégué.

En discutant avec beaucoup de client, je me suis aperçu que bien souvent c’était le directeur général qui était nommé délégué. Ce qui est contraire au règlement.

Vous aimerez aussi...