Blog

Deux ans après son entrée en vigueur, focus sur le RGPD

Il y a tout juste deux ans, le 25 mai 2018, entrait en application le Règlement Général européen sur la Protection des Données personnelles (RGPD). L’occasion pour nous de revenir sur ce texte qui vise à changer les habitudes des acteurs du numérique, tandis que les enjeux autour de la protection et du traitement des données personnelles sont amenés à prendre encore plus d’ampleur.

Le RGPD, c’est quoi ?

Ce règlement européen a été pensé pour répondre aux défis de l’évolution rapide des technologies ainsi qu’à la fragmentation des données au sein de l’Union européenne. Il vise à renforcer les droits des personnes et à responsabiliser les acteurs traitant les données en uniformisant le cadre de ce traitement. La définition des données personnelles est longtemps restée floue.

La directive européenne 95/46/CE, qui constituait jusqu’au 25 mai 2018 (jour de l’entrée en application du RGPD) le texte de référence en matière de protection des données à caractère personnel, en définit l’essentiel : constituent des données à caractère personnel toute information concernant une personne physique identifiée ou identifiable directement ou indirectement. Le RGPD est venu préciser cette définition en donnant des exemples d’identification indirecte à l’image des données de localisation ou encore des données génétiques. En clair, la possibilité d’identification de la personne via une adresse IP, un email ou des cookies fait entrer le traitement des données dans le champ d’application du RGPD.

Le RGPD est donc pensé pour encadrer la collecte et toute manipulation de ces données personnelles. Concrètement, l’utilisateur final dispose de plus de visibilité et d’un droit de regard sur l’utilisation de ses données, ainsi que d’un droit à l’oubli. Quant au responsable de traitement, celui-ci devra se montrer plus vigilant sur les traitements qui gravitent autour de ces données utilisateur, sans quoi il engagera sa responsabilité en cas de dommage physique ou moral résultant de la violation du RGPD.

Application

Les entreprises de tous secteurs sont donc soumises à l’application du RGPD. En premier lieu, celles-ci doivent sécuriser les données personnelles qu’elles traitent en empêchant leur divulgation ou leur piratage. Si une violation de données personnelles est détectée, elle doit être signalée sous 72 heures maximum à la CNIL et l’utilisateur doit être prévenu dans les meilleurs délais. Les entreprises doivent également s’assurer du consentement de l’utilisateur lorsqu’elles récoltent ses données personnelles, d’où la multiplication de fenêtres parfois intrusives nous invitant à accepter la politique d’utilisation des cookies à chaque ouverture de site.

Enfin, le champ d’application du RGPD s’étend au traitement des données de tous les utilisateurs se trouvant sur le territoire de l’Union européenne, que le responsable de traitement soit établi ou non en Union européenne et quel que soit le lieu de traitement.

Contraintes

Beaucoup d’entreprises ne sont cependant pas conformes au RGPD, malgré des ressources financières et humaines dédiées à la mise en œuvre de cette réglementation, comme notamment la création de nouvelles professions telles que Délégué à la Protection des Données (DPD ou Data Protection Officer – DPO – en anglais). Les entreprises ont mis longtemps à s’adapter et le chantier est, pour certaines, toujours en cours.

Même si certaines entreprises peinent à se conformer au règlement, par faute de moyens, de compréhension des principes de mise en conformité ou par stratégie, l’ensemble des acteurs a néanmoins joué le jeu, renforçant le cadre des traitements de données personnelles, et cette réglementation a mis fin à de nombreuses pratiques abusives d’utilisation de données personnelles. Certaines entreprises dites GDPR compliant  (conformes au RGPD) communiquent davantage sur leur utilisation des données personnelles et s’en servent désormais comme un réel argument de valeur commerciale.

En outre, la mise en place de ces règles peut aussi modifier l’expérience utilisateur. Avec le droit à l’oubli, par exemple, un algorithme d’intelligence artificiel utilisera des données personnelles sur une durée plus restreinte ou via des techniques d’anonymisation plus poussées. De plus, le règlement aura représenté une opportunité pour certains de bien définir la chaîne de traitement des données personnelles à exploiter, et donc de mettre en place des chaînes de traitement plus vertueux.

What’s next ?

Si les utilisateurs sont de plus en plus désireux de transparence sur l’utilisation de leurs données personnelles, la mise en place du RGPD au sein des organisations en est seulement à ses prémices, bien que ce texte européen ait déjà eu un impact certain, à la fois positif et négatif : d’un côté, beaucoup d’entreprises ont joué le jeu et se sont conformées aux contraintes liées à cette nouvelle réglementation, tandis que d’autres ont écopé d’amendes records.

En définitive, les changements majeurs observés poussent à aller plus loin. En effet, l’Europe est désormais un modèle en termes de protection des données personnelles, c’est donc naturellement que certains états tels que le Japon ou le Brésil ont emboîté le pas à l’Europe avec la ratification de textes inspiré du RGPD ; une initiative encouragée par les géants de la tech ayant appelé à la mondialisation de ces bonnes pratiques.

Enfin, d’autres textes au sein de l’Union européenne dont l’objectif est de consolider notre législation quant à la protection de nos données personnelles sont déjà à l’étude : le règlement ePrivacy qui devrait bientôt entrer en vigueur aura pour enjeu de renforcer la protection de la vie privée en ligne des citoyens.