RGPD : on vous explique ce que la nouvelle législation européenne sur les données va changer pour vous
Destiné à remplacer la loi informatique et libertés, le règlement général sur la protection des données personnelles – ou RGPD pour les intimes – encadrera la manière dont les géants du numérique gèrent les informations dont ils disposent sur leurs utilisateurs.
Après quarante ans de bons et loyaux services, la loi informatique et libertés va prendre sa retraite. A compter du vendredi 25 mai, ce texte adopté en janvier 1978 pour protéger les Français des potentielles dérives du fichage, qui s'est développé en même temps que l'informatique, va disparaître. Son remplaçant est un texte européen qui uniformise les règles en vigueur dans les 28 pays membres de l'UE. Son nom : le règlement général sur la protection des données personnelles, ou RGPD pour les intimes.
Ce règlement va entrer en vigueur dans un contexte devenu électrique, avec l'utilisation indue des données personnelles de millions d'utilisateurs de Facebook par Cambridge Analytica, une société liée à la campagne de Donald Trump. Et il a été construit autour d'un principe majeur : son contenu s'appliquera à toute entreprise qui manipule des informations concernant des résidents européens, y compris si celle-ci est basée hors de l'UE.
Le RGPD pourra-t-il pour autant mieux protéger les données du demi-milliard d'habitants que compte l'Union européenne ? Voici en tout cas ce qu'il devrait changer pour vous.
Les entreprises pourront plus facilement collecter vos données…
C'est sans doute la modification législative que les chefs d'entreprise français attendent le plus. À partir de la fin du mois, les personnes morales qui récoltent des données pourront dans la plupart des cas se passer de déclarer leurs fichiers auprès de la Commission nationale de l'informatique et des libertés (Cnil), l'autorité administrative indépendante qui veille au respect de la loi dans ce domaine.
Auparavant, les associations, administrations et entreprises devaient prévenir la Cnil à chaque fois qu'elles créaient un fichier contenant des renseignements sur leurs membres, clients, employés ou administrés. "Selon le niveau de sensibilité des informations récoltées, les entreprises devaient effectuer soit une simple déclaration, soit demander une autorisation", explique à franceinfo Guillaume Desgens-Pasanau, maître de conférences au Conservatoire national des arts et métiers, qui dirige un cours en ligne sur le RGPD.
En contrepartie, ces organisations devront constituer une documentation précise concernant leur utilisation des données personnelles. On devra y retrouver le nom et l'objet des fichiers récoltés, le registre des personnes qui y ont accès, et les mesures prises pour protéger les données d'éventuelles attaques malveillantes.
Les administrations ainsi que les entreprises dont "les activités de base (...) consistent en un traitement à grande échelle" des données devront même obligatoirement désigner un délégué à la protection de ces fichiers, qui devra présenter toute la documentation à la Cnil en cas de contrôle, indique le règlement.
Un exemple ? Une marque de chaussures vient de se créer et souhaite vendre ses produits en ligne. Elle pourra désormais se passer de déclarer à la Cnil l'existence de son fichier client avant de se lancer, ce qui lui épargne une étape qui était parfois fastidieuse. Elle devra en revanche en documenter le fonctionnement et la sécurisation de manière détaillée.
Si son activité croît au point d'obtenir plusieurs dizaines de milliers de clients, ou que ceux-ci sont moins nombreux mais très fidèles, le règlement considérera que la marque traite des fichiers à "grande échelle", selon l'interprétation donnée par le G29 (PDF), qui regroupe les différentes "Cnil européennes". Elle devra alors désigner un délégué à la protection de ses fichiers.
… mais elles ne pourront pas vous demander tout et n'importe quoi
Rassurez-vous : ce n'est pas parce que les entreprises ne devront plus montrer préalablement patte blanche à la Cnil qu'elles pourront se permettre de faire n'importe quoi avec vos informations personnelles. Le RGPD consacre en effet le "principe de proportionnalité" déjà prévu par le droit français. "Il faut que la récolte des données soit en adéquation avec l'objectif recherché par l'entreprise", résume Jérémie Courtois, avocat au barreau de Lille, spécialiste des nouvelles technologies.
Si je collecte vos données dans un but publicitaire, je n'aurai par exemple pas le droit de vous demander votre numéro de carte bleue ou le prénom de vos enfants.Jérémie Courtoisà franceinfo
Un exemple ? Une entreprise organise des cours de soutien scolaire à domicile. A la fin de chaque intervention, les enseignants remplissent un fichier sur leurs clients avec plusieurs paramètres évaluant le déroulé du cours, et dans lequel se trouve une zone de commentaire libre.
La jurisprudence de la Cnil considère qu'il est légitime que cette case contienne des données en adéquation avec l'activité de l'entreprise, comme par exemple la présence d'un chien agressif au domicile d'un client. La direction doit en revanche veiller à ce que les enseignants n'utilisent pas le fichier pour y insérer des commentaires injurieux. En 2010, l'entreprise Acadomia avait été épinglée par la Cnil pour cette raison, rapportait à l'époque Le Monde.
Vous serez moins embrouillé(e) par d'obscures conditions générales d'utilisation
Autre principe consacré par le RGPD : la collecte dite "loyale" des données. Concrètement, les services en ligne sont tenus de vous informer de la manière la plus limpide possible de la manière dont sont récoltées et utilisées vos informations personnelles, et devront recueillir de votre part un consentement clair avant de le faire. Plusieurs géants du web ont ainsi revu leurs conditions générales d'utilisation et autres textes présentant leur politique de confidentialité pour les rendre plus compréhensibles par le commun des mortels.
Des exemples ? Dans un message publié sur le blog de l'entreprise, le délégué à la protection des données de Twitter a ainsi annoncé le 24 avril dernier une révision de la politique de confidentialité du service pour "la rendre visuellement plus claire et facile à utiliser" dans le cadre de l'application du RGPD. Fini les paragraphes austères et interminables, place à des phrases plus courtes et à des listes utilisant des puces. Facebook a opéré une démarche similaire début avril.
"Ces mentions existaient déjà la plupart du temps, mais les mettre à jour en les clarifiant permet surtout à ces entreprises de communiquer sur leur respect du RGPD", tempère Guillaume Desgens-Pasanau, par ailleurs ancien directeur juridique de la Cnil. Et d'ajouter que si ces géants du numérique sont tenus de vous donner la possibilité de vous opposer à la manière dont ils utilisent vos données, comme Facebook le fait actuellement avec la reconnaissance faciale, certains principes restent "non-négociables".
Facebook vous laisse désormais une marge de manœuvre sur la finesse du ciblage publicitaire, mais ne vous permet pas de vous opposer à l'affichage de publicité sur votre compte.Guillaume Desgens-Pasanauà franceinfo
Certains vont encore plus loin. Instagram a récemment mis à jour ses conditions d'utilisation pour se conformer au RGPD. Les utilisateurs n'ont eu d'autre choix que de les accepter... ou de supprimer leur compte, relève Numerama.
Vous aurez un accès facilité aux données que vous avez transmises
Le RGPD garantit également aux citoyens européens le droit à l'accès et à la rectification de leurs informations personnelles. Vous pourrez également réclamer aux organisations qui collectent vos données de vous transmettre "les destinataires (...) auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers", indique l'article 15 du texte.
Attention tout de même, ce processus ne sera pas forcément automatisé. Dans certains cas, il vous faudra fouiller dans la rubrique "mentions légales" du site de l'entreprise ou de l'administration concerné pour trouver les coordonnées de la personne à qui adresser votre demande.
Des exemples ? C'est dans cette logique que Twitter, Facebook ou encore Instagram laissent désormais à leurs utilisateurs la possibilité de télécharger un fichier regroupant l'ensemble des données envoyées sur leurs serveurs depuis la création de leur compte. Ce qui risque de vous donner le vertige lorsque vous retrouverez sur les messages publics laissés sur votre mur Facebook en 2009.
Vous pourrez transférer vos informations d'un service à un de ses concurrents
Point intéressant à noter : si vous téléchargez vos archives sur Instagram, vous constaterez qu'outre des fichiers d'images et de vidéos, le réseau social vous communiquera vos messages privés, mentions "j'aime" et autres commentaires dans des documents compilés dans le langage Javascript, qui n'est guère intelligible pour l'utilisateur lambda. Cela s'explique par la consécration d'un nouveau droit par le RGPD : celui de la portabilité des données. La nouvelle législation est en effet censée vous permettre de récolter vos données chez un prestataire de service pour la transférer facilement chez un concurrent.
Un exemple ? Cela signifie qu'un abonné à Spotify devrait pouvoir dans les prochains mois récupérer ses informations et les transférer à un autre service de distribution de musique, comme Deezer ou Apple Music, et y retrouver ses playlists. "Cela risque de prendre du temps, prévient tout de même Jérémie Courtois. Toutes les entreprises ne sont en effet pas dotées d'un système d'information qui permet l'extraction et l'export des données vers un tiers. Elles devront parfois le faire évoluer pour mettre en œuvre ces changements."
Votre droit à l'oubli sera renforcé
Outre le droit au déréférencement, consacré dans l'article 17, la nouvelle réglementation interdit la conservation des informations personnelles pour une durée illimitée. Dans son article 5, le RGPD indique ainsi que les données des citoyens européens doivent être conservées "pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées". Cette formulation est volontairement vague, car les cas de figure en la matière peuvent grandement varier. Les entreprises et services administratifs seront en tout cas tenus de fixer cette durée.
Des exemples ? Vous êtes féru(e) de pêche à la mouche et décidez de vous inscrire à la newsletter de passionmouche.com, un site spécialisé. Le site en question devra préciser dans sa documentation qu'il conservera votre adresse électronique dans sa base de données jusqu'au moment où vous déciderez de mettre fin à votre abonnement.
Vous vous offrez un abonnement téléphonique auprès de l'opérateur Violet. Celui-ci conservera vos données et vos factures durant la durée d'abonnement, mais également pendant une durée supplémentaire, au cours de laquelle vous pourriez par exemple engager des poursuites pour contester le montant d'un dépassement de votre forfait.
Vos données devront être mieux protégées des pirates
Le RGPD réaffirme l'obligation de sécurisation des données face aux attaques malveillantes. La nouvelle législation demande en outre des précautions particulières lorsqu'une entreprise ou une administration collecte à grande échelle des données sensibles, comme par exemple des informations relatives à la santé, aux opinions politiques ou religieuses, ou encore le passé judiciaire d'un individu. Dans ces cas-là, les organisations devront prévenir les autorités avant toute récolte de données, et leur fournir un document particulièrement détaillé.
Le texte prévoit également qu'une entreprise qui se ferait pirater ses données soit obligée de signaler l'attaque à la Cnil, voire à ses clients. "Cela n'est toutefois pas automatique", précise Guillaume Desgens-Pasanau. "Il faut pour cela que la faille de sécurité constatée conduise à un risque de réutilisation des données. Si l'entreprise arrive à démontrer que la brèche a été comblée, et que les données piratées ont été préalablement chiffrées, elle ne sera pas tenue de prévenir les autorités."
Un exemple ? Une application de rencontre devra mener ce que le RGPD appelle une "analyse d'impact relative à la protection des données" avant de récolter des informations sur l'orientation sexuelle de ses utilisateurs européens. Dans un document, elle devra consigner les sources de risques (comme par exemple un piratage, ou un employé soudoyé par un concurrent), identifier les cibles potentielles (son système de gestion des fichiers), et évaluer les risques pour la vie privée des personnes concernées (comme la révélation de l'homosexualité d'utilisateurs vivants dans des pays où elle est réprimée, par exemple). Elle devra ensuite déterminer les mesures existantes ou prévues pour répondre à ces risques. Cela peut prendre la forme d'un chiffrement des données sensibles, leur anonymisation, ou encore la mise en place d'outils permettant d'identifier précisément les personnes qui accèdent aux fichiers.
Les organisations qui ne respecteront pas la loi risqueront gros
Gare à ceux qui s'aventureraient à ne pas respecter les règles énoncées. Alors que la loi informatique et libertés ne permettait jusqu'à présent que de sanctionner les contrevenants d'une faible amende, le RGPD permet à la Cnil et à ses homologues européens de taper fort au portefeuille. Pour les infractions les plus graves, les contraventions pourront grimper jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'entreprise.
Interrogée par Les Echos, la présidente de la Cnil Isabelle Falque-Pierrotin a tout de même tenu à rassurer les entreprises qui ne se seraient pas adaptées à temps à cette nouvelle réglementation. Dans un premier temps, l'autorité administrative mettra surtout l'accent sur la pédagogie et fera preuve de "souplesse et de pragmatisme" lors de ses contrôles, a-t-elle indiqué.
Un exemple ? La société de transport Uber, dont les données non-chiffrées de 57 millions de clients avaient été piratées en novembre 2016, aurait été tenue de prévenir ses utilisateurs européens de cette faille de sécurité si le RGPD avait été en vigueur à ce moment-là. Si elle ne l'avait pas fait, elle aurait sans aucun doute été condamnée à une forte amende. A l'époque, l'entreprise avait préféré payer une rançon de 100 000 dollars aux pirates pour ne pas ébruiter l'affaire, d'après le Guardian (en anglais).