Afin d’arrêter une bonne fois pour toutes les « dérives de l’économie des données », l’Europe met en place dès le 25 mai le RGPD, un règlement qui renforce les obligations des entreprises sur la protection des données personnelles sur internet.
Si en France la directive de 1995 transposée dans l’Union Européenne est déjà très complète en la matière, c’est surtout pour les entreprises que le grand bouleversement aura lieu. Analyse.
Nos empreintes numériques partout
Jusqu’à il y a quelques années, nous ne laissions d’empreintes numériques qu’en utilisant un ordinateur. Mais avec l’essor des smartphones et les applications mobiles, nous sommes ciblés en permanence : dans la rue, devant la télé, pendant notre jogging et même pendant que nous dormons.
Que nous soyons en ligne ou hors ligne, des capteurs, enceintes connectées, caméras enregistreuses et autres traqueurs d’activité nous surveillent.
Si le smartphone est le premier appareil concerné, il n’est pas le seul. Les objets du quotidien tels que le réfrigérateur, la voiture, le jouet pour enfant ou même le siège des toilettes deviennent intelligents, c’est à dire capables de collecter des informations et de les transmettre.
Chaque jour, les données collectées sont plus riches : les empreintes que nous laissons en ligne permettent de savoir si nous sommes célibataires ou en couple, quelles couleurs nous aimons, quels vêtements, quelle musique, mais également notre physionomie et notre personnalité.
Le pire, c’est que tout cela est de notre faute : en cochant la case “autoriser”, nous avons accepté de plein gré les conditions d’utilisation de ces services, sans même les lire ou même comprendre les implications de ce consentement.
L’Europe impose un nouveau règlement
En raison de manque de régulation de l’industrie, les conséquences directes de ce traçage permanent sont des violations de vie privée, “fake news”, failles de sécurité et scandale Cambridge Analytica. Face à ces dérives, l’Europe réagit et impose un règlement qui sera mis en place dès le 25 mai prochain, le RGPD.
Ce règlement général sur la protection des données personnelles va s’appliquer aux entreprises européennes, qui vont être bouleversées.
Les 5 grands principes du RGPD
1. La portabilité des données
Grâce au RGPD, les européens auront à présent le droit de transférer leurs données personnelles d’un service à un autre de manière gratuite. En outre, le transfert pourra être effectué entre fournisseurs de services directement, sans que l’internaute n’ait à faire quoi que ce soit.
2. Le consentement des mineurs
D’après le RGPD, un mineur n’aura plus besoin de l’autorisation de ses parents pour utiliser un réseau social à partir de l’âge de 16 ans. S’il a moins de 16 ans, il ne pourra pas consentir par lui-même au recueil de ses données personnelles par Facebook et Instagram par exemple.
Sans autorisation des parents, Facebook offrira aux moins de 16 ans une version moins personnalisée de son site, avec un partage limité et des publicité non ciblées.
3. La communication en cas de fuite
Afin d’éviter que les données personnelles ne soient transmises à des tiers, le RGPD prévoit des obligations de sécurité très contraignantes pour les entreprises. Tout d’abord, elles devront avertir leurs clients dans “des termes clairs et simples” en cas de “violation de données personnelles”.
Ces derniers ne seront toutefois avertis que lorsque ces “violations” seront susceptibles d’engendrer un risque élevé pour leurs droits et libertés.
4. Recours possible auprès des autorités
Dans le cas où un citoyen européen considère que ses données personnelles ont été utilisées en contradiction avec la loi, il aura une possibilité de recours auprès de la CNIL. Certes, c’était déjà le cas avant. Mais dorénavant, il pourra lancer une action collective et obtenir une « réparation du préjudice subi », avec des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires de l’entreprise.
5. Les conditions d’utilisation plus explicites
En France, il est obligatoire pour les entreprises d’informer les individus sur la manière et le but de l’utilisation de leurs données personnelles. Dorénavant, le règlement RGPD prévoit qu’elles doivent les informer « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ». La notion de consentement est ainsi renforcée.