Protection des données : les nouveautés du RGPD

Par Quentin Moyon - 11/05/2018

RGPD ou (règlement général de la protection des données) : Mode d’emploi !

Alors que les récents scandales tendent à faire changer les politiques de confidentialité, les données et leur gestion n’ont jamais été autant au cœur des débats.

« Les idées changent, les données restent ». C’est ainsi que la CNIL ou Commission Nationale de l’Informatique et des Libertés, tend à illustrer le problème des données aujourd’hui dans le cadre de sa campagne de sensibilisation à propos de la protection des données personnelles sur Internet.

Cette idée renvoie au fait qu’aujourd’hui, toute navigation sur internet, entrainera la récolte de données par les sites consultés par l’individu.

Ces données sont alors souvent conservées et parfois utilisées voir revendues sans que ce dernier n’en ait conscience ou n’est même donné son accord.

C’est bien là aujourd’hui que réside l’enjeu de la protection des données sur internet. Il s’agit de protéger les données des individus.

Mais que dit la loi aujourd’hui pour protéger les données des individus ? Quels sont les changements prévus par la nouvelle loi, RGPD ? Et enfin, qu’en est-il de la réglementation et des sanctions prévues dans le cas d’un non-respect de ces lois ?

Focus aujourd’hui sur la protection des données sur internet !

Sommaire :

1. Quelle est la règlementation actuelle ?

2. Quels sont les changements à venir avec le RGPD ?

3. Réglementation / sanctions dues au non-respect de la loi

Dossier : la protection des données quelles sont les nouveautés

Quelle est la réglementation actuelle ?

En France, la protection des données sur internet n’est pas une nouveauté. Les autorités nationales ont d’ailleurs décidé relativement tôt de se positionner sur le sujet.

Via l’établissement de la loi du 6 Janvier 1978, une Autorité Administrative Indépendante ou AAI dont le rôle est d’assurer et de veiller au bon respect de la loi mais aussi d’informer les citoyens français quant à leurs droits et leurs devoirs, a été créée : il s’agit de la CNIL.

Cette dernière est une interlocutrice privilégiée : ainsi en cas de non-respect de l'usage de ses données personnels sur internet par une tierce personne ou organisation, il est possible d’aller directement porter plainte sur le site de la CNIL.

Suite à cela, elle mènera une enquête afin de saisir si préjudice il y a ou non. Le Conseil d’Etat lui a même octroyé le statut de tribunal.

À noter aussi que l’article 9 du code civil français tend à protéger le droit à la vie privée et ainsi la protection des données personnelles sur internet.

Au niveau européen, la question a également été traitée avec la mise en place d’une directive le 24 octobre 1995

L'article 1 renforce l’idée selon laquelle « Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel ».

La CEDH ou Cour Européenne des Droits de l’Homme veille elle aussi à la protection des données personnelles en s’appuyant sur l’article 8 de la Convention de la CEDH, au travers d’une interprétation élargie du texte.

Pour finir, il existe également une coopération au niveau européen des CNIL nationaux.

Quels sont les changements à venir avec le RGPD ?

Le RGPD, qui sera applicable dans toute l’Europe à partir du 25 mai prochain, renforce allégrement le droit français et européen déjà protecteur.

Il s’agira en premier lieu également de responsabiliser les entreprises à la protection des données.

À ce titre :

  • Ces dernières se devront dans un premier cas de veiller à la bonne identification de l’intégralité des traitements de données personnelles afin de respecter des enjeux de traçabilité mais aussi de transparence. De ce fait, la tenue permanente d’un registre de traitement des données devra être réalisé.
  • De plus, les entreprises se devront d’être des acteurs de premier plan dans la lutte contre les risques pouvant impacter la vie privée des utilisateurs. Ainsi, les concepts de « privacy by design » qui correspond à l’instauration du plus haut niveau de confidentialité, mais aussi celui de « private by default » qui tend à assurer la protection de la vie privée des utilisateurs concernant le produit ou le service en question, seront centraux.
  • Le RGPD impose également pour la majorité des entreprises la nomination d’un Data Protection Officer ou DPO afin de faciliter le dialogue avec la CNIL et veiller au bon respect du texte.
  • La transparence et le respect des droits des personnes sont la priorité. Ainsi les utilisateurs doivent obligatoirement pouvoir choisir s’ils acceptent l’utilisation de leurs données par les entreprises, et celles-ci doivent s’assurer de la clarté des précisions données à l’utilisateurs quant à l’utilisation de ses données.
  • Enfin, en cas de violation de la vie privée, il est obligatoire pour toute entreprise de notifier la CNIL sous peine de sanction.

Pour les particuliers, les changements seront plus discrets :

  • Un âge légal de consentement à l’utilisation de ses données a été établi. Ainsi à partir de 16 ans, un mineur peut consentir et utiliser un réseau social sans l’aval de ses parents.
  • La loi va également permettre à l’utilisateur de réaliser la portabilité de ses données entre deux services, si et seulement si ce dernier le souhaite.
  • Enfin, des sanctions sont désormais possibles pour tout utilisateur qui verrait ses données utilisées contre sa volonté.

Réglementation / sanctions dues au non-respect de la loi

Il est important de préciser en premier lieu que des sanctions étaient déjà prévues au regard de la loi du 6 janvier 1978.

Malgré tout, ces dernières avaient un plafond et ne pouvaient dépasser un montant de 150 000 € pour une première faute et 300 000 € pour une récidive.

Le RGPD va déjà réaliser une nouvelle gradation des sanctions potentielles, extrêmement dissuasive.

En effet, une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel pour une entreprise pourra être demandée en cas de non-respect des « Privacy by Desin » ou « Privacy by Default », et 20 millions ou 4% du chiffre d’affaires en cas d’atteinte aux droits des personnes.

Des sanctions qui pourraient véritablement affecter le fonctionnement des entreprises.

En plus de ces sanctions administratives, des sanctions pénales pourront également exister, et seront vraisemblablement fixées en fonction des articles 226-16 et 226-24 du Code Pénal français.

En conclusion, et au vu des récents scandales comme Facebook – Cambridge Analytica par exemple, la protection des données personnelles sur internet devient un véritable enjeu qu’il était temps de voir saisi.

Domiciliez votre entreprise en ligne en moins de 5 minutes !
Je me domicilie