Tout comprendre au RGPD, le règlement qui vise à protéger les données des Européens

Lucie : Corentin, voici une petite devinette pour toi. Qu’est-ce qui est né à Bruxelles, qui a huit ans et qui emmerde Mark Zuckerberg ?
COCO : [réponse]
L : La réponse, c’est le RGPD, l’acronyme du Réglement général sur la protection des données. Ce règlement européen a été adopté en 2016 par le Parlement européen, et entrera officiellement en application le 25 mai. Il était débattu depuis 2014. C’est un texte complexe mais crucial ! Son but est de mieux protéger les données en ligne des citoyens européens et de responsabiliser les entreprises qui traitent ces informations. Cela concerne toutes les sociétés du Web, en Europe comme aux Etats-Unis.
COCO : il n’existait pas de textes protégeant nos données en ligne jusqu’ici ?
L : Si ! Chaque Etat membre de l’Union européenne a déjà ses propres lois, qui sont plus ou moins strictes, pour protéger les informations personnelles de ses citoyens. Au niveau européen, jusqu’ici c’était une directive datant de 1995 qui faisait foi. Le RGPD reprend pas mal de principes déjà consacrés par les lois nationales et propose un cadre harmonisé pour tout le monde. Mais il consacre aussi des nouveaux droits originaux, et augmente la pression sur les entreprises. Je vous explique.
[Ode à la joie, parce que vive l’Europe bordel]
Vous venez d’entendre l’Ode à la joie, de Beethoven, qui est aussi l’hymne européen ! C’est important de rappeler que l’Europe nous est utile, y compris dans le domaine du numérique.
COCO : Alors concrètement.
L : Donc. Concrètement, le RGPD précise que la protection des données personnelles nécessite de prendre des «mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque». Cette responsabilité concerne toutes les entreprises. Jusqu’ici, en France, seules les sociétés aux activités sensibles, comme dans le nucléaire par exemple, étaient obligées de signaler aux autorités toute brèche de sécurité. A partir du 25 mai, ça sera le cas de toute société qui traite des informations personnelles. Et tout défaut de protection pourra lui coûter très cher. Les CNIL, les autorités européennes de protection des données, pourront condamner une entreprise qui ne respecte par le RGPD à une amende atteignant jusqu’à 4% de son chiffre d’affaires mondial annuel.
COCO : OK mais elles sont censées les protéger comment, ces données ?
L : Le RGPD met en place différentes obligations. Par exemple, le règlement insiste sur le concept de consentement : les utilisateurs d’un service en ligne doivent accepter de manière “explicite” et “positive” l’exploitation de leurs données. Vous avez peut être remarqué que Facebook vous a demandé, récemment, de réexaminer vos options de confidentialité, pour les accepter de nouveau. C’est pour se mettre en conformité avec le RGPD. En théorie, à partir du 25 mai, tout service en ligne devra consacrer la sécurité “par design”, c’est à dire donner par défaut les options les plus protectrices possibles de la vie privée.
[TU ME VOIS TU ME VOIS PLUS]
D’autres droits sont consacrés par le réglement. C’est le cas du droit à l’oubli, déjà pratiqué dans le droit européen. Il permet à tout citoyen de demander le déréférencement d’un moteur de recherche d’un contenu mettant à mal sa vie privée. Les entreprises doivent aussi, en théorie, faciliter la portabilité des données, c’est à dire le fait de pouvoir prendre ses informations d’un site et de pouvoir les transférer vers un autre service. Les mineurs feront aussi l’objet d’une protection particulière. Par exemple, le RGPD dit que toute personne de moins de 16 ans doit obtenir l’autorisation de ses parents pour s’inscrire à un service en ligne. En France, cette limite d’âge a été abaissée d’un an.
COCO : comment ont réagi les entreprises ?
L : Les réactions sont assez ambivalentes, et dépendent beaucoup de la taille des entreprises. Du côté des PME, en France, il y a pas mal d’inquiétude. Beaucoup affirment qu’elles ne seront pas prêtes à temps, et craignent les sanctions. La CNIL française a déjà annoncé qu’il y aurait une période de tolérance pour les entreprises les plus modestes. Même si, à bien y regarder, une grande partie des mesures du RGPD existaient déjà, sous une forme ou une autre. Il y a une vraie panique liée au RGPD qui n’est pas forcément justifiée. Et qui nourrit tout un business plus ou moins recommandable. Les entreprises de conseil ou d’audit en sécurité en rapport avec le RGPD se sont multipliées ces derniers mois.
L’enjeu, au final, est plutôt du côté des grandes entreprises, surtout les américaines. Elles sont concernées car elles traitent les données de citoyens européens. Google, Microsoft ou Facebook se préparent depuis plusieurs années au RGPD. Déjà, parce que ces sociétés ont financé des lobbys pour essayer d’influencer le texte à Bruxelles. Aujourd’hui, elles disposent toutes d’une armée de juristes qui leur donnent des conseils pour ne pas se faire piéger par le RGPD. Les grandes entreprises américaines savent très bien qu’elles seront les premières visées. L’association française La Quadrature du Net a déjà annoncé qu’elle allait déposer douze plaintes collective contre Apple, Google, Microsoft, Amazon ou Facebook le 26 mai, au lendemain de l’application officielle du RGPD. D’ailleurs, par un hasard du calendrier, l’affaire Cambridge Analytica, qui remet en cause le modèle économique de Facebook autour des données, a éclaté à peine quelques semaines avant l’application officielle du RGPD …
COCO : De nouvelles affaires devant les tribunaux en perspectives en tout cas. Tu viendras nous en parler le cas échéant ! Merci Lucie, et à très vite.