VIDEO. Protection des données personnelles: Que va changer la nouvelle loi européenne pour les internautes?

VIE PRIVEE Le règlement européen de protection des données personnelles (RGPD) entre en vigueur ce vendredi 25 mai dans tous les pays de l’Union Européenne…

Helene Sergent

— 

Une recherche Google de votre nom renvoie les internautes vers une photo ridicule qui porte atteinte à votre privée? Avec le RGPD, le droit à l'oubli est définitivement consacré.
Une recherche Google de votre nom renvoie les internautes vers une photo ridicule qui porte atteinte à votre privée? Avec le RGPD, le droit à l'oubli est définitivement consacré. — JOSH EDELSON / AFP
  • Le texte voté en avril 2016 par le Parlement européen a été adopté et adapté par les députés français le 14 mai 2018.
  • Les 99 articles du texte vont considérablement renforcer les droits des internautes au sein de l’UE en matière de protection et de gestion des données personnelles.
  • Les récents scandales de piratage ou d’exploitation de ces données sensibles ont conforté la position des autorités européennes.

Le mensonge aura duré près d’un an. Une année pendant laquelle la société de voitures de tourisme avec chauffeur (VTC) Uber a délibérément caché à ses utilisateurs un piratage massif de leurs données. Ce scandale, survenu à la fin de l’année 2017 a été éclipsé quelques mois plus tard par la retentissante affaire «Cambridge Analytica» visant le géant Facebook. Alertés par un ancien salarié de cette société d’analyse de données, plusieurs médias ont révélé une utilisation frauduleuse des informations de 87 millions d’utilisateurs de Facebook pour peser sur la campagne politique de Donald Trump.

Au sentiment d'impuissance suscité par ces révélations de plus en plus fréquentes s’ajoute l’impunité dont jouissent les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), ces géants insubmersibles du numérique. La mise en place ce vendredi 25 mai du nouveau règlement européen de protection des données personnelles (RGPD) dans tous les pays de l’Union européenne pourrait changer ce rapport de force.

Droit à l’oubli, consentement obligatoire pour utiliser nos données ou création d’un âge minimum pour s’inscrire sur un réseau social, le texte adopté en France le 14 mai dernier offre aux internautes un panel de droits renforcés.

  • Le droit à l’oubli consacré

Rendu accessible aux internautes européens par Google dès 2014, le droit à l’oubli est généralisé et encadré par cette nouvelle loi. Consacré par l'article 17 du RGPD, ce « droit à l’effacement » permet « d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données ». Cette possibilité est toutefois limitée à certaines conditions.

L’effacement de ces données (numéro de téléphone, âge, sexe, adresse, profession, orientation sexuelle ou politique, etc.) laissées sur un site peut être exigé si cette collecte n’est plus « nécessaire au regard des finalités », si la personne retire son consentement à cette collecte, si le traitement de ces données s’est fait de façon illicite ou si elles doivent être effacées pour respecter une obligation légale.

En revanche le responsable aura le droit de refuser d’effacer ces informations si elles participent à « l’exercice du droit à la liberté d’expression et d’information », pour des raisons d’intérêt public lié à la santé ou si ces éléments participent à « la constatation, à l’exercice ou à la défense de droits en justice ».

  • Un consentement obligatoire renforcé

Lorsque vous vous connectez sur certains sites, une fenêtre ou un bandeau peut apparaître avec un texte défini en France par la fameuse loi «informatique et libertés» créée dès 1978. Les plateformes qui utilisent des « cookies », ces traqueurs de données personnelles, doivent le préciser aux internautes qui ont aussi la possibilité de les paramétrer. Dans bien des cas, la poursuite de la navigation n’est possible que si l’on accepte les conditions générales d’utilisation.

Juriste pour La Quadrature du Net, Arthur Messaud précise l'évolution apportée par le RGPD : « Les GAFAM font leur beurre sur la collecte de données et sur la base de notre consentement à cette collecte. Le RGPD va changer plusieurs choses : le consentement doit être explicite et libre. C’est-à-dire que l’accès au service ne peut plus être conditionné à ce fameux consentement. Que l’on accepte ou pas ces conditions d’utilisation, cela n’aura plus de conséquences sur l’accès au service ».

  • Un âge minimum requis

Le règlement adopté par les pays de l’Union européenne stipule qu'« en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ». En France, le parlement a fixé finalement cette limite d’âge à 15 ans au lieu de 16.

« De manière pratique, un responsable de traitement devra d’une part s’assurer que le consentement est valablement recueilli mais également vérifier que la personne qui donne son consentement est bien majeure ou titulaire de l’autorité parentale. Une double traçabilité devra donc être prévue », précise Garance Mathias, avocate spécialiste de la protection des données personnelles et du droit de la propriété intellectuelle.

  • Transparence exigée en cas de piratage

Désormais, les sites ou entreprises auront 72 heures pour prévenir la Commission Nationale de l'Informatique et des Libertés (Cnil), le gendarme du Web en France, en cas de violation des données de ses utilisateurs ou de ses clients. Cette notification ne concerne que les cas où le piratage ou la violation des données peut engendrer un risque pour les droits ou les libertés des personnes. Les députés européens ont également rendu obligatoire la communication aux individus concernés de cette violation et ce dans les « meilleurs délais ».

« Une fois informés, les utilisateurs pourront être plus vigilants notamment en cas de piratage. En revanche, cela signifie que les entreprises devront s’organiser pour mettre en place des procédures d’information spécifiques pour contacter leurs clients et peut-être investir davantage dans la communication de crise », analyse Nicolas Arpagian, auteur de Que sait-je sur la cybersécurité (PUF, 2018).

  • Des amendes très importantes et des plaintes collectives

« Jusqu’en 2016, les sanctions maximales que pouvait infliger la Cnil s’élevaient à 150.000 euros. C’était dérisoire pour des géants comme Facebook. Ensuite, le plafond a été fixé à 3 millions d'euros. Avec le RGPD, ce sera 20 millions ou jusqu’à 4 % du chiffre d’affaires », précise Arthur Messaud de la Quadrature du Net, qui prépare par ailleurs une action de groupe visant les GAFAM.

Au-delà des sanctions « préventives », les internautes pourront désormais mener des actions collectives en cas de violation de leurs données personnelles. « Les particuliers pourront se regrouper au sein d’une association habilitée comme les associations de consommateurs, engager des procédures et obtenir réparation », ajoute Gérard Haas, avocat spécialisé dans le droit des nouvelles technologies et auteur de Le RGPD expliqué à mon boss.

Si certains craignent que les citoyens européens peinent à s’emparer de ces nouveaux droits, l’avocat voit en cette modification de la loi un réel bouleversement du rapport de force : « Le RGPD renforce indéniablement les droits des personnes. Il serait symbolique s’il ne permettait de ne s’attaquer qu’aux sociétés européennes. Or ce sont les géants du Web qui sont ici visés. C’est la reconnaissance de la souveraineté numérique du citoyen européen ».

>> A lire aussi : L'application WhatsApp sera-t-elle vraiment interdite aux moins de 16 ans en Europe?

>> A lire aussi : Les trois points à retenir du projet de loi sur la protection des données personnelles

>> A lire aussi : Protection des données personnelles: Trois questions pour comprendre le projet de majorité numérique à 15 ans

>> A lire aussi : L'affaire Cambridge Analytica va-t-elle faire tomber Facebook?

>> A lire aussi : Piratage des données Uber: Que peuvent faire les utilisateurs français?