25 mai 2018

Tout s'explique

L’Europe et les données personnelles

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) est un texte européen entré en application aujourd’hui dans l’ensemble des 28 pays de l’Union européenne. Voté en avril 2016 par le Parlement européen, il vise à mieux encadrer la collecte et l’utilisation des données personnelles sur Internet, en fixant un cadre juridique unique pour l’ensemble de l’UE. Il ne s’applique pas seulement aux entreprises européennes, mais à toutes les entités qui collectent des données concernant des citoyens européens. Les grandes entreprises américaines comme Google, Facebook, Amazon, Apple ou Uber sont donc également obligées de s’y conformer pour continuer à proposer leurs services en Europe.

Que change le RGPD pour les particuliers ?

Un certain nombre de mesures présentes dans le RGPD sont déjà mises en place en France depuis plusieurs années, comme l’obligation pour les entreprises de récolter un consentement explicite de l’internaute pour l’utilisation de ses données. Cette obligation est renforcée pour les enfants de moins de 15 ans, qui doivent désormais obtenir le consentement de leurs parents. Les conditions d’utilisation des sites doivent être rédigées « sous une forme compréhensible et aisément accessible et formulée en des termes clairs et simples ». En cas de piratage des données personnelles, les entreprises sont tenues d’avertir leurs clients ou usagers. Les utilisateurs doivent pouvoir récupérer et transférer gratuitement leurs données personnelles, pour passer d’un service à un autre par exemple.

Que change le RGPD pour les entreprises ?

Depuis aujourd’hui, les entreprises ne sont plus obligées de déclarer leurs fichiers auprès de la Commission nationale de l’informatique et des libertés (Cnil), l’autorité administrative indépendante qui s’assure du respect des lois relatives à l’informatique. En échange, elles doivent pouvoir démontrer en cas de contrôle qu’elles respectent bien les règles, notamment en matière de sécurisation des données contre les cyberattaques. En cas d’infraction, le pouvoir de sanction de la Cnil est largement renforcé. Limitées à 150 000 euros jusqu’en 2016, puis portées à 3 millions d’euros depuis deux ans, les amendes pourront atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.