Aller au contenu principal

Entrée en vigueur du RGPD

Le règlement général sur la protection des données(RGPD) est entré en vigueur dans tous les Etats membres de l'Union européenne le 25 mai 2018, après un long processus commencé en 2012. Toute l'Europe nous aide à y voir plus clair.

Quel est l’objectif de ce règlement ?

Il permet de protéger ses données dans un espace globalisé. Il faut savoir que la protection des données est un droit inscrit dans la Charte des droits fondamentaux de l'UE. Ainsi, dès 1995, une première directive avait été adoptée. Le règlement qui entre en application cette année en est une réforme, qui tient compte des évolutions technologiques des dernières années et des problématiques qui sont apparues.

Combien de personnes utilisent internet au quotidien au sein de l’UE ?

En Europe, ce sont plus de 250 millions de personnes (soit un européen sur deux) qui utilisent internet au quotidien et qui échangent de plus en plus de données à caractère personnel : banque en ligne, achats, réseaux sociaux, déclarations d'impôts en ligne… Pouvoir protéger ces données est donc une nécessité, d'autant plus que les risques sont nombreux : divulgation non autorisée, vol d'identité, fraude…

Qu’est-ce qu’on qualifie de données à caractère personnel ?

Le RGPD définit les données à caractère personnel comme "des informations se rapportant à une personne physique identifiée ou identifiable". Il peut s'agir par exemple d'un nom, d'un prénom, d'une adresse mail, d'une localisation, d'un numéro de carte d'identité, ou d'une adresse IP. Les règles s'appliquent lorsqu'elles sont utilisées, conservées ou collectées numériquement ou sur papier.

Certaines données sont très sensibles. Par exemple, celles concernant la santé, l'origine raciale ou ethnique, les opinions politiques ou encore l'orientation sexuelle. Elles font donc l'objet de protections particulières. Elles ne peuvent ainsi pas être collectées ou utilisées, sauf en cas de consentement explicite de l'individu ou si la législation nationale l'autorise.

Que contient le règlement ?

La directive de 1995 avait déjà fixé les principes généraux ainsi que les droits liés à la protection des données personnelles. La réforme de ce texte clarifie notamment les règles applicables aux entreprises : quelles sont les données que les entreprises peuvent récolter, et pour quel usage ?

Quelles sont les autres nouveautés ?

Il prévoit une plus forte coopération entre les autorités nationales. Pour cela, un comité européen de la protection des données (EDPB) est créé, celui-ci est composé de représentants des autorités de protection des données de tous les Etats membres. Il vient compléter l'action du contrôleur européen de la protection des données. Ce comité s'assure que la loi sur la protection des données est bien appliquée par tous les Etats membres et que les autorités de protection des données coopèrent efficacement.

Le nouveau règlement donne enfin à l'Union européenne les armes pour lutter efficacement contre les fraudes qui seraient perpétrées par des entreprises multinationales. Il introduit des sanctions en cas de violation du règlement. Le RGPD s'applique de fait à toutes les entreprises ayant un exercice au sein de l'Union européenne, et ce même si leur siège se trouve en dehors de l'UE.

Quels sont les risques encourus par les entreprises en cas de non-respect du règlement ?

L'article 83 précise que les violations font l'objet "d'amendes administratives pouvant s'élever jusqu'à 10 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu". De plus, en cas de "non-respect d'une injonction émise par l'autorité de contrôle", des amendes administratives "pouvant s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu" également.

Concrètement, quels sont les droits dont disposent désormais les citoyens européens ?

- Le droit de savoir ce que l'entreprise fait avec les données, le droit à l'information

- Le droit d'accès aux données

- Le droit de s'opposer à la récolte des données

- Le droit de corriger des données

- Le droit à l'oubli et de faire supprimer ses données

- Le droit de regard en cas de décisions automatisées

- Le droit à la portabilité des données

- Le droit d'information en cas de mise en péril ou d'atteinte aux données

Quelles sont les exceptions prévues par le texte ?

Si dans les faits les règles devront être appliquées uniformément partout en Europe, quelques marges de manœuvre sont cependant laissées aux Etats membres. Ils peuvent par exemple décider de fixer l'âge à partir duquel un mineur peut consentir au traitement de ses données personnelles de 13 à 16 ans. Autre exemple : en cas de non-respect de la législation par une administration publique, les pays peuvent également choisir d'appliquer ou non des sanctions financières. Enfin, les entreprises privées ne seront pas toutes logées à la même enseigne : des exceptions sont prévues pour les PME de moins de 250 salariés. Pour éviter une trop grande lourdeur administrative, elles sont exemptées de désigner ou de recruter un délégué à la protection des données, ce qui est obligatoire dans les autres entreprises. Elles ne sont pas non plus tenues d'avoir un registre de traitement des données.

publié le

21 mai 2018

par :

Camille DJUROVIC