Le RGPD, cette loi sur les données personnelles à laquelle il faut vous intéresser

Le cabinet Xerfi vient de publier une étude sur les perspectives des réseaux de soins, en plein Le Règlement Général sur la Protection des Données Personnelles (RGPD) est un texte crucial pour la protection de la vie privée des citoyens européens. Mais qu’est-ce que cela change concrètement pour les utilisateurs ?
À partir du 25 mai prochain, un nouveau texte de loi, le Règlement général sur la Protection des Données Personnelles (RGPD) va redistribuer les cartes de l’économie numérique, sans que personne ne sache encore trop comment. Au-delà de ses méandres juridiques, ce texte représente un vrai changement pour le traitement des données des 500 millions d’habitants de l’Union européenne. Le Figaro fait le point.
D’où vient le RGPD ?
L’idée d’un nouveau cadre réglementaire pour l’économie numérique est née en 2012 du côté de Viviane Reding, alors Commissaire européenne à la Justice, aux Droits fondamentaux et aux Citoyens. La femme politique partait du constat partagé que les textes de l’Union européenne étaient devenus « has been » : à leur décharge, aucun ne pouvait anticiper la complexité des usages qui s’étaient développés avec Internet (réseaux sociaux, moteurs de recherche, géolocalisation mobile, publicité programmatique…) et aucun ne protégeait donc vraiment les citoyens ou les entreprises européennes. Pire : certains flous juridiques avaient même permis à des entreprises américaines de se soustraire aux lois contraignantes de l’Union européenne, et donc de gagner une irrattrapable longueur d’avance dans l’économie numérique.
L’affaire Snowden a donné le dernier coup d’élan nécessaire à la révision de nos vieilles lois. La question des données est apparue plus politique que jamais (puisqu’elle a permis l’espionnage en masse de millions de citoyens), et dès lors très liée à un droit fondamental européen qui consacre la vie privée comme une jouissance inaliénable et inviolable de chaque citoyen. En cela, l’Europe s’oppose aux États-Unis, qui en font un droit cessible et marchandable. Le RGPD émane donc de ces différents jeux de tensions, qui expliquent en partie le temps de sa conception: quatre ans.
Pour moi, simple utilisateur, qu’est-ce que cela change ?
Avec le RGPD, chacun peut désormais avoir accès à ses propres données et a le droit de les modifier, mais aussi de s’opposer à leur utilisation, notamment commerciale. Aux entreprises, donc, de demander la permission à chacun en expliquant la légitimité de leur utilisation. Il est donc fort probable que de nombreux sites fassent apparaître, à compter du 26 mai, de nouvelles fenêtres dites « pop-up » pour vous demander la permission d’utiliser des données, en spécifiant les raisons de la collecte. Cette collecte peut, par exemple, permettre de vérifier le nombre de fois où un article est consulté, afin de le mettre en avant sur un site. Cela peut aussi être pour recueillir des données plus précises de navigation, afin d’adapter la mise en forme de la page que vous visitez.
Enfin, et c’est la partie la plus critique, beaucoup de sites collectent des données à des fins commerciales. Cela veut par exemple dire qu’un utilisateur qui consulte plusieurs articles sur les données personnelles pourra retrouver dans les jours qui suivent de la publicité pour un ouvrage sur la question ou un T-shirt à l’effigie du RGPD. Sur certains sites douteux, cela signifie aussi céder une partie de sa vie privée. Le RGPD ne va pas empêcher toutes les dérives, mais il devrait permettre à ceux qui le souhaitent de reprendre le contrôle d’un système qui reste encore très complexe à légiférer.
Qu’est-ce que cela change pour les entreprises ?
Le RGPD reprend des principes qui ne sont pas nouveaux : le consentement, le droit à l’oubli, la suppression des informations au-delà d’un certain temps, le choix d’un responsable des données… Tout était déjà présent et discuté dans de nombreuses lois nationales liées à l’informatique et aux libertés. La principale nouveauté du RGPD réside d’abord dans son approche harmonisée à l’échelle européenne en matière de droit des données : avant, chaque pays pouvait établir ses propres règles, ce qui relevait du casse-tête juridique pour les entreprises ou bien d’un nouveau moyen de contourner les lois. La pratique du « forum shopping » ou choix de la juridiction la plus avantageuse a ainsi permis à de nombreuses entreprises technologiques de prétendre respecter le droit européen quand elles ne respectaient en fait que celui de l’Irlande, havre de lois beaucoup plus favorables en matière d’exploitation des données comme de réductions fiscales.
L’autre changement majeur du RGPD se trouve du côté des sanctions qu’il permet: on entend ainsi souvent parler de la plus grosse, qui consiste en une amende pouvant s’élever à 4 % du chiffre d’affaires mondial de l’entreprise déclarée coupable ou 20 millions d’euros en l’absence de revenus. Pourtant, avant d’en arriver là, le RGPD permet aux autorités des données personnelles un large éventail de mesures toutes autant redoutées. Les entreprises qui ne respecteront pas les efforts demandés en matière de cybersécurité des données pourront ainsi être épinglées publiquement pour leurs fautes, ce qui ne leur fait pas du tout bonne presse. Comme l’illustre le schéma du Clusif ci-dessous, les mécanismes du RGPD sont aussi complexes que la matière technique à laquelle ils s’attaquent: les autorités des données personnelles se sont ainsi données pour mission d’accompagner les entreprises les moins bien dotées pour la mise en conformité. Isabelle Falque-Pierrotin, qui préside l’autorité française, s’est ainsi souvent voulue rassurante, déclarant ainsi que la date du 25 mai ne sera pas un couperet.
Pourquoi a-t-on mis autant de temps à écrire cette loi et pourquoi n’en parle-t-on que maintenant ?
C’est à un jeune homme politique allemand, Jan-Philipp Albrecht, que la Commission européenne a confié la préparation de ce texte dès 2012. Plutôt classé à gauche, écologiste, son approche a souvent été critiquée pour être anti-business par les nombreux lobbies de Bruxelles, qui lui ont mené la vie dure, raconte-t-il dans le passionnant documentaire de David Bernet, Democracy. Plus de 4000 propositions d’amendements ont ainsi été enregistrées lors de la première présentation du texte, soit autant de propositions de modifications à prendre en compte dans le processus démocratique. En effet, les données sont au cœur de nos économies bureaucratiques depuis bien plus longtemps que les ordinateurs. Avec l’arrivée de ces machines, elles ont multiplié dans des proportions gargantuesques le nombre de données recueillies, tous secteurs confondus: transport, industrie pharmaceutique, énergie, assurance, banque… et bien sûr, technologie.
À travers leurs lobbyistes ou associations commerciales, tous ces acteurs ont voulu faire entendre leurs points de vue sur un texte qui allait clairement les obliger à revoir leurs pratiques. Au point où Viviane Reding, qui s’y connaît en la matière, a affirmé qu’il s’agissait du texte ayant fait l’objet du plus intense lobbying de l’histoire. Avec les multiples demandes de rendez-vous et autres tours et détours administratifs et politiques pour tenter de retarder la fabrique de la loi, le RGPD aura mis au total plus de 4 ans avant d’arriver à une version finale satisfaisant un maximum de parties. Jan-Philipp Albrecht, sorti éreinté de ce processus, a été salué pour son travail et sa persévérance, y compris par les lobbies qui l’avaient pourtant assez vivement combattu. Ceux-ci ont obtenu des législateurs deux ans pour se mettre en conformité avec les 47 articles du texte, ce qui nous amène donc au 25 mai 2018.
 
Source : Le Figaro

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *