Le règlement général européen de protection des données personnelles (RGPD) est entré en vigueur. C’est un événement à ne pas négliger à l’heure où la défiance envers les géants du Net n’a jamais été aussi grande.

Ce nouveau cadre réglementaire va apporter plus de protection aux internautes européens en leur donnant davantage de contrôle sur leurs données numériques. L’entrée en vigueur de ce RGPD est d’autant plus importante qu’elle survient après plusieurs piratages d’ampleur qui ont affecté ces dernières années de grandes sociétés du Net comme Google, Yahoo ou Twitter qui se sont fait voler des données de leurs utilisateurs. Le RGPD arrive aussi alors que Facebook (réseau social aux plus de 2 milliards d’utilisateurs) est embourbé dans le scandale Cambridge Analytica. L’utilisation par cette société britannique des données de 87 millions d’utilisateurs Facebook sans leur consentement pour leur diffuser notamment des messages à caractère politique, a créé un choc puisqu’il a permis une réelle prise de conscience.

Une meilleure protection pour les citoyens européens

Beaucoup d’entreprises ou d’organismes qui collectent des données de leurs clients ou usagers se trouvent face à un casse-tête pour se conformer dans les temps aux nouvelles obligations, non seulement elles doivent nommer un délégué à la protection des données (Digital Protection Officer) qui veillera au bon traitement des données collectées, mais elles doivent aussi informer leurs propres salariés qui manient aussi des données. Certaines PME-TPE peuvent trouver la tâche insurmontable et elles craignent les sanctions en cas de non-respect du RGPD (4 % du chiffre d’affaires, ou 20 M€ maximum).

Ce texte de loi entend avant tout responsabiliser les acteurs de l’économie numérique, en instaurant des obligations pour les entreprises et collectivités territoriales. Désormais, ceux qui désireront utiliser les données personnelles des Européens devront obtenir leur consentement et être clairs sur leur utilisation. Les citoyens pourront, quant à eux, s’appuyer sur le texte, s’ils estiment qu’une organisation les utilise de manière abusive.

Défendez vous

Lorsqu’un internaute met à disposition une partie de ses données personnelles, il doit désormais savoir à quoi elles serviront, combien de temps elles seront conservées et si elles quitteront l’Union européenne. Aux entreprises, donc, de demander la permission à chacun en expliquant la légitimité de leur utilisation. Ces informations doivent être communiquées à l’utilisateur de manière « compréhensible et aisément accessible, et formulée en des termes claires et simples », précise le texte de loi.

Cette nouvelle loi introduit aussi le pouvoir récupérer et transférer une partie de ses données gratuitement d’un service (réseau social, messagerie, fournisseur d’accès à internet…) à l’autre « dans un format ouvert et lisible par machine ». Ce qu’on appelle le droit à la portabilité des données. Si un internaute souhaite changer de fournisseur de service de messagerie électronique, il peut télécharger ses e-mails afin de continuer à les utiliser chez un autre.

Si un internaute estime que ses données personnelles ont été utilisées ou collectées de manière abusive, en contradiction avec la loi, il sera possible d’introduire un recours auprès des autorités de protection des données, la Commission nationale de l’informatique et des libertés (CNIL) en France. C’est déjà le cas, le RGPD va plus loin, puisqu’il permet de lancer une action collective par une association ou un organisme ayant pour objectif la protection des données personnelles, et d’obtenir une réparation du préjudice subi. Les entreprises dont le siège est situé hors de l’Union européenne ne pourront plus arguer de la non-applicabilité du droit européen (l’entreprise responsable encourt une sanction pouvant s’élever à 4% de son chiffre d’affaires mondial).

Par YILMAZ M.