RGPD : 10 questions pour comprendre la nouvelle réglementation sur la protection des données

Le RGPD entre pleinement en vigueur ce 25 mai. Plus question pour les sociétés privées et publiques de faire ce qu’elles veulent avec nos données personnelles. La nouvelle réglementation européenne donne un sérieux tour de vis pour les protéger.

Le Règlement général sur la protection des données sort tous ses effets dès ce vendredi 25 mai. Un événement. Pour comprendre la teneur et les enjeux de ce virage essentiel pour tous les citoyens, Le Vif/L’Express a rencontré Jean-Ferdinand Puyraimond, avocat spécialisé en droit d’auteur, vie privée et protection des données personnelles. Son cabinet, Gutmer & Puyraimond, connaît une hausse sensible de consultations de sociétés cherchant à  » digérer  » le redoutable RGPD.

C’est quoi, cette nouvelle réglementation européenne ?

En fait, c’est un règlement déjà entré en vigueur le 24 mai… 2016. Il concerne la protection des données privées de chaque citoyen de l’Union. L’Europe a laissé deux ans aux entreprises et administrations pour se conformer à 100 % aux changements parfois conséquents qu’il induit. Ce délai de grâce prend fin ce 25 mai. Dès ce vendredi, tout citoyen peut invoquer le RGPD. Ses 99 articles et 173 considérants renforcent le contrôle de l’utilisation et du traitement faits par les sociétés et institutions de vos données personnelles, assortis de sanctions dissuasives en cas d’infraction. En soi, c’est la modernisation, le renforcement de l’ex-directive de 1995, mais cette fois en version armée jusqu’aux dents.

Pourquoi fait-il trembler les sociétés tant privées que publiques ?

Il place devant leurs responsabilités ceux qui traitent nos données. Finie la négligence : ces  » responsables de traitement  » doivent nous informer de ce qu’ils en font, en tenir un registre et en assurer la sécurité. Chaque société est obligée d’enfin penser une véritable politique de protection de nos données. A l’ère de l’informatique ubiquitaire, c’est le minimum. Notre frigo fera bientôt nos courses à notre place, des voitures connectées sans chauffeur nous véhiculeront alors qu’une multitude de nos actions quotidiennes génèrent déjà en masse des data privées. Rien que la consommation alimentaire d’un ménage contient une foule de renseignements, sur son état financier, sur la santé de ses membres, voire sur leurs convictions religieuses… Personne ne veut voir ses infos partagées à son insu, n’importe comment avec n’importe qui.

Quelles protections offre le RGPD ?

Transparence, droit de regard, équité et information. Ce dernier axe est capital. Lors de la collecte de nos données, les responsables de traitement sont obligés de nous dire qui ils sont et dans quels buts ils vont traiter nos informations. Ils sont aussi tenus de répondre gratuitement à toute demande d’accéder à nos data. Un autre droit essentiel, car il nous permet d’exiger de savoir si une entité possède des données nous concernant et d’en recevoir copie… dans un langage compréhensible ! Le jargon juridique sur des pages et des pages est donc révolu. C’est ça aussi, la transparence : dire ce qu’on fait, mais de manière accessible à tous.

Ce virage est-il une menace u une chance à saisir pour le monde économique ?

Plutôt une fameuse opportunité. Après l’engouement ingénu pour le tout- numérique, le public en a peu à peu découvert les côtés sombres : profilage à tout-va, spamming, manipulations psychologiques d’individus voire, peut-être, d’élections entières… Ce contexte a suscité une salutaire demande du public de (re)prendre le contrôle sur ses données. Une entreprise qui le comprend et agit en ce sens s’attirera la confiance des clients et se distinguera de ses concurrents. La menace ne pèse que sur les entreprises qui n’adopteront pas les bonnes pratiques. Certes, le RGPD peut être ardu à manier pour les petites et moyennes structures sans services juridique et informatique solides. Mais la lecture des lignes directrices du RGPD émises par la Commission de protection de la vie privée peut déjà bien éclairer les PME.

Le particulier peut-il s’attendre à une application effective de la réglementation ?

Ses dispositions permettent une plus grande efficience avec, revers de la médaille, un côté technique plus accentué qui aurait pu compliquer l’appropriation de ce texte par les citoyens et les faire passer à côté de leurs droits. L’Union européenne a heureusement compensé cela par une extraordinaire publicité : tout le monde est aujourd’hui au courant de son droit à la protection de ses données personnelles. Ce qui laisse espérer que les citoyens prennent conscience de leurs prérogatives et en fassent usage, notamment devant les tribunaux. Des initiatives collectives voient aussi le jour, comme celle de Max Schrems (juriste autrichien qui avait obtenu, en 2015, l’invalidation de l’accord Europe – Etats-Unis d’échange de données personnelles). Il a récemment lancé l’association  » NOYB  » (pour  » None of Your Business « , traduisez :  » Ça ne te regarde pas « ) pour aider les citoyens à faire usage des droits fixés par le RGPD.

Au-delà de ses aspects juridiques et coercitifs, cette réglementation musclée a-t-elle aussi une portée éthique et morale ?

Assurément. Le droit à la protection des données personnelles et de la vie privée est l’un des plus fondamentaux de la société numérique. L’homme est mis en carte, l’individu est observé toute la journée, notamment lors de ses interactions avec les réseaux informatiques. Les divers acteurs numériques n’ont pas toujours des mobiles clairs. Ils sont parfois franchement obscurs (on pense au scandale Cambridge Analytica, du nom de la société britannique d’analyse de données qui a collecté les données personnelles, à leur insu, de plus de 80 millions d’utilisateurs de réseaux sociaux, pour les utiliser lors de campagnes électorales, aux dernières présidentielles américaines notamment). Pour nous prémunir contre toute manipulation et restituer à l’individu son autonomie, sa souveraineté numérique, rien de tel qu’une information améliorée et un droit réel de s’opposer à tout traitement abusif de ses données.

En cas de non-respect des nouvelles obligations (transparence, information des particuliers ou clients par les sociétés victimes d’une cyberattaque ou de vol de données), les sanctions peuvent-elles être très lourdes ?

Les amendes en cas de violation du règlement pourront aller jusqu’à vingt millions d’euros ou, dans le cas d’une entreprise voyou, 4 % de son chiffre d’affaires mondial. Le but est aussi de conscientiser certains géants du Web (qui monétisent nos data pour vendre de l’espace publicitaire). Jusqu’à présent, ils ne sentaient pas forcément l’impact des sanctions. Le RGPD change cela. Mais le but n’est pas de prendre les entreprises en défaut pour le seul plaisir de les sanctionner. Ni d’étouffer les petites et moyennes entreprises. Les autorités de contrôle devront faire autant preuve de fermeté que de discernement.

Bien des sociétés privées et même des publiques, ne sont toujours pas prêtes ou en conformité pour rencontrer leurs obligations. Comment expliquer ce retard ?

Le délai de deux ans (depuis 2016) accordé à toutes les structures pour se mettre en conformité avec le RGPD s’est révélé en réalité un strict minimum pour la  » digestion  » de ce grand texte très technique. Il faut en effet le comprendre, réaliser comment il s’applique à votre entreprise puis mobiliser des ressources capables de le gérer, de l’appliquer et de développer des procédures… Ça prend beaucoup de temps alors que les sociétés doivent continuer à bosser. La mise en conformité sera un processus qui s’étendra dans la durée. Mais on y arrivera. Peut-être plus vite qu’on ne le pense, sous la pression du public et de révélations de scandales comme celui de Cambridge Analytica.

La plupart des Google, Amazon, Facebook, Apple et autres acteurs du Web se sont mis à massivement envoyer, à leurs usagers, pour accord, leurs nouvelles « conditions d’utilisation » en ligne avec la transparence exigée sur l’usage des données. Faut-il applaudir ou rester vigilant ?

Les deux. Que ces géants tentent de se mettre en règle est plutôt positif et démontre que l’Europe peut les faire plier. Cependant, côté  » mise en conformité  » totale, il reste, hélas, de la marge. Mais le mouvement est lancé pour le respect effectif de ces droits. Reste surtout à les exercer ! Car les droits ne s’usent que si l’on ne s’en sert pas ! Plus il y aura de concurrence entre les grands acteurs du Web pour être  » clean « , plus l’individu sera en capacité de contrôle. L’Europe a aussi planté le germe d’un renouveau potentiel de la concurrence dans ce secteur avec le droit à la portabilité des données. Il prévoit que votre ex-fournisseur (par exemple, de réseau social ou de musique en ligne) est obligé de vous restituer toutes vos données sous un format réutilisable par votre nouveau fournisseur. L’idée est bien de favoriser le changement et la fluidité du marché alors que, jusqu’à présent, des tas de gens n’osent pas changer de fournisseur numérique. Ce droit à la  » portabilité des données  » est une prérogative géniale et très en pointe activée par l’Union.

Quelle incidence le RGPD aura-t-il sur le phénomène des LuxLeaks, Panamaleaks et autres affaires ? *Les lanceurs d’alerte, ou la presse qui relaie ces données, vont-ils pâtir des nouvelles mesures ?

Le but du RGPD n’est pas d’affaiblir la liberté d’expression et d’information. Il prévoit au contraire que les Etats de l’Union européenne concilient ces libertés avec la protection des données personnelles. Le traitement journalistique justifie certaines dérogations à cette protection. Comme le fait que les journalistes n’ont pas l’obligation d’informer des personnes dont ils traitent des données dans le cadre de leurs enquêtes. Par contre, tout organisme victime d’un piratage de données personnelles est désormais obligé de le déclarer… Ce qui accroît les chances de révélations supplémentaires.

Par Fernard Letist.