RGPD. Quatre lettres qui vont changer la vie des entreprises et la réflexion autour de l’usage des informations personnelles. En témoignent les nombreux emails reçus en ce sens.
Le Règlement général sur la protection des données est entré en vigueur le 25 mai 2018, il y a un an, dans tous les pays membres de l’Union européenne. Réseaux sociaux, sites internet, applis mobiles, objets connectés, tous les acteurs et appareils amenés à collecter et traiter des informations privées sont concernés.
Un véritable droit d’accès à ses informations personnelles
Ce règlement renforce un certain nombre de droits pour les citoyens européens. Ainsi, toute entreprise, même étrangère à l’UE, qui manipule des données sensibles, doit recueillir «le consentement écrit, clair et explicite» de ses clients ou utilisateurs.
Déjà accessible, le droit à l’oubli se voit renforcé et tout internaute peut exiger par exemple qu’un lien soit «déréférencé d’un moteur de recherche ou qu’une information soit supprimée, s’ils portent atteinte à sa vie privée».
Les particuliers doivent également pouvoir accéder facilement à toutes leurs données et pouvoir les rectifier.
De même, ils peuvent exiger d'une société (fournisseur d'accès internet, opérateur de téléphonie...) qu'elle leur transfert toutes les informations qu'elles possèdent sur eux pour les confier à un concurrent, par exemple.
Les mineurs de moins de 16 ans encore plus protégés
Les sociétés collectant des données personnelles devront également prouver que les moins de 16 ans ont reçu l’autorisation de leurs parents avant de s’inscrire à leur plate-forme. Ceci s’applique notamment à tous les services en ligne (réseaux sociaux, messageries, sites de streaming...).
En France, les députés veulent fixer cette «majorité numérique» à 15 ans. Ainsi, pour les réseaux sociaux, les adolescents âgés entre 13 et 15 ans devront recueillir le consentement explicite des parents. En deçà, leur accès est interdit.
Les données des salariés strictement encadrées
Le texte européen introduit de nouveaux droits dans la sphère des entreprises. Ainsi, la collecte de toutes données personnelles par l’employeur auprès de ses employés devra être justifiée et consentie. Il a aussi l’obligation d’informer les salariés sur leurs droits.
En outre, un employé peut obtenir de son employeur tous les emails parlant de lui, dans un délai maximal de 30 jours. Les messageries externes (Whatsapp, Messenger, etc.) doivent être conformes avec le RGPD et l’employeur doit donner son accord pour que les salariés les utilisent dans un cadre professionnel.
Parallèlement, les entreprises doivent désormais tenir un registre consignant et expliquant toutes les données personnelles qu'elles exploitent. Pour ce faire, elles peuvent employer un DPO, de l'anglicisme data privacy officer, délégué à la protection des données en France. Ce dernier est toutefois obligatoire pour les entreprises faisant de la manipulation de données privées à grande échelle, comme c'est le cas pour Facebook par exemple.
Des sanctions en cas de non-conformité
Comme tout texte contraignant, le RGPD prévoit des sanctions pour les sociétés qui ne se conformeraient pas à ses règles. Un organisme fautif peut ainsi être condamné à verser des amendes allant de 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise. Cette somme pourrait donc représenter plusieurs centaines de millions d’euros pour les géants du Web qui ne s’y plieraient pas.
Il est également à noter que la Cnil, Commission nationale de l'informatique et des libertés, peut être saisie pour toute question. Celle-ci peut effectuer des contrôles au sein des entreprises pour vérifier notamment la mise en conformité de celles-ci avec le RGPD. Son site internet se veut également informatif sur la question.