Impression personnalisée

Sélectionnez les paragraphes que vous désirez imprimer

Famille

Session de rattrapage – retour sur un thème d'actualité

Les données « perso » mieux protégées

Des droits renforcés ou nouveaux, plus de transparence et une responsabilité accrue pour les entreprises : défendre ses données personnelles devrait être moins compliqué à l'avenir, grâce à l'entrée en vigueur d'un nouveau règlement européen: le « RGPD ».

Le 25 mai 2018, le règlement européen sur la protection des données personnelles (RGPDP) va entrer en application. Le sujet est sensible. Qui ne s'est jamais senti agacé de recevoir des mails en lien avec son âge, ses derniers achats ou ses projets de déplacements ? L'impression d'être « profilé » en fonction de critères relevant de plus en plus de la vie privée et des choix personnels, afin d'être constamment bombardé de propositions commerciales tous azimuts, n'est pas très agréable. Elle est peut-être en partie à l'origine d'une inquiétude diffuse : 90 % des Français se disant préoccupés par la protection de leurs données personnelles en ligne (sondage CSA de septembre 2017). Le point sur les nouveaux droits des consommateurs, dont traite aussi une loi de transposition en cours d'adoption au Parlement.

Quelles sont les données concernées ?

Ce qu'on appelle « données personnelles » fait l'objet d'une définition très large, que ce soit dans la loi informatique et libertés de 1978 ou dans le règlement européen. Il s'agit de toute information relative à une personne physique (et non pas une personne morale telle qu'une entreprise), qu'elle soit identifiée par son nom ou simplement identifiable : adresse du domicile, adresse IP (Internet Protocol, NDLR), date et lieu de naissance, photographie, numéro de téléphone, empreinte digitale, etc. Les données peuvent être aussi bien objectives (groupe sanguin, numéro de sécurité sociale ou de carte bancaire) que subjectives, comme des avis ou des appréciations sur la personne concernée, figurant dans un logiciel de gestion client, par exemple. Elles peuvent être générées dans de multiples situations, quand on prend l'avion (dossier passagers), quand on est hospitalisé (données médicales), quand on utilise un objet connecté (voir encadré)...

Consécration du droit à l'oubli

« L'idée du règlement européen est de relever le niveau de protection des données, le système actuel n'étant pas assez contraignant ni effectif », résume Jérôme Deroulez, avocat aux barreaux de Paris et Bruxelles. « En contrepartie d'une meilleure circulation de ces données dans le marché intérieur européen, des droits fondamentaux sont affirmés du côté des consommateurs ».Le règlement renforce les droits des personnes (droit d'accès, droit de rectification, droit à la limitation du traitement), par la définition du consentement : manifestation de volonté univoque de la personne concernée qui accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement (article 4). Concrètement, cela peut être en cochant positivement une case (ce qui exclut les cases cochées par défaut) : le consentement doit être tracé. Il peut être retiré à tout moment.Par ailleurs, de nouveaux droits sont affirmés : droit à l'oubli (ou à l'effacement), droit à la récupération de ses données (portabilité). « C'est la notion d'empowerment (autonomisation, NDLR) qui est centrale », souligne Jérôme Deroulez. « J'ai le droit de savoir ce qu'on fait de mes données, et j'ai le droit aussi de les récupérer pour les transmettre, par exemple, à un autre assureur. Ou pour moi-même ».Le droit à l'oubli est pertinent, notamment, quand la personne a donné son consentement à l'époque où elle était enfant et n'était pas pleinement consciente des conséquences, et qu'elle souhaite par la suite supprimer ces données.

Majorité numérique, réelle ou supposée...

Le règlement a fixé la majorité numérique, c'est-à-dire l'âge à partir duquel un mineur peut consentir seul à un traitement de données personnelles qui le concernent, à 16 ans (article 8). « Mais il a laissé à chaque État membre une marge de manoeuvre pour fixer un âge inférieur », rappelle Jérôme Deroulez. Sans pouvoir descendre en-dessous de 13 ans, toutefois. En France, ce sera soit 15 ans (vote à l'Assemblée nationale en première lecture), soit 16 ans (Sénat). En-dessous, un mineur devra demander la permission de ses parents pour s'inscrire sur un réseau social. Et en-dessous de 13 ans, toute collecte de données est interdite. Reste qu'en pratique, les outils de contrôle font encore défaut. En juin 2017, une étude de la CNIL a montré que plus de 63,71 % des 11-14 ans sont inscrits sur un réseau social, et qu'ils sont plus de 4 sur 10 à mentir sur leur âge.

Entreprises responsables

L'affirmation de droits pour les consommateurs ne peut être efficace sans que soit instaurée une responsabilité des entreprises qui utilisent les données, assortie de sanctions dissuasives. En cas de problème, c'est à l'autorité centrale de protection des données personnelles qu'il faut s'adresser : la CNIL (Commission nationale de l'informatique et des libertés). Sauf pour les données « sensibles » (par exemple les données biométriques), le contrôle de cet organisme ne s'exercera plus a priori, par des déclarations lui étant adressées et des autorisations préalables, mais après coup. Un vrai changement de paradigme ! Les entreprises (privées ou publiques) qui détiennent des données en sont responsables. Elles doivent en envisager la protection, et seront obligées de prévenir la CNIL en cas de perte, de vol ou de divulgation. Par ailleurs, la loi ouvre la possibilité à des actions de groupe pour demander une réparation financière en cas d'utilisation abusive des données personnelles.

Objets connectés ou logiciels espions ?

Les objets connectés sont de plus en plus présents dans la vie quotidienne, et en partie responsables de l'accroissement vertigineux du volume des données brassées par Internet, le fameux big data. Ils ont de très multiples usages : mieux gérer ses trajets automobiles, optimiser ses séances de footing, contrôler à distance l'alimentation de son chat ou de son chien, et même analyser la qualité de son sommeil. Ce sont des montres, capteurs, lunettes, luminaires, thermostats, jouets, etc. Comment protéger les données personnelles des utilisateurs ? Le RGPDP, en consacrant le « privacy by design » (protection des données dès la conception d'un traitement ou d'un objet collectant des données), essaie de réduire les risques d'atteinte à la vie privée et de manipulation. Les sénateurs ont proposé que la CNIL puisse labelliser les objets connectés, pour garantir un bon niveau de sécurité et la confidentialité des données personnelles.

Parution: 05/2018
Droits de reproduction et de diffusion réservés © Groupe Revue Fiduciaire 2018. Usage strictement personnel. L'utilisateur du site reconnaît avoir pris connaissance de la licence de droits d'usage, en accepter et en respecter les dispositions.