Au forum international de la cybersécurité de Lille, le 24 juin 2017. / PHILIPPE HUGUEN / AFP

Le règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai dans toute l’Europe. Il constituera désormais le cadre dans lequel les sociétés pourront exploiter les données personnelles en leur possession, qu’il s’agisse de celles de leurs employés, de leurs clients ou de leurs fournisseurs…

  • Une information claire et transparente

Premier changement introduit par le RGPD : il crée un cadre réglementaire unifié au niveau européen, là où chaque pays, précédemment, avait sa propre législation nationale sur le traitement des données personnelles. Ce projet participe de la volonté de créer un marché numérique unique au sein de l’Union, dont la Commission estime qu’il pourrait générer 415 milliards d’euros par an et créer des centaines de milliers d’emplois. Or les industries du numérique s’appuient de plus en plus sur les données pour créer de la richesse. En unifiant les pratiques dans chaque pays, la Commission souhaite permettre aux acteurs du numérique européen d’accéder plus facilement à ce marché de 500 millions de clients potentiels, et ainsi faciliter l’émergence de géants continentaux.

Mais ce coup de pouce va de pair avec une demande de plus de responsabilités. Afin de gagner la confiance des citoyens, pour qu’ils acceptent plus facilement de partager leurs données, le RGPD demande que tous les responsables de traitements garantissent aux utilisateurs un certain nombre de droits : une information claire sur l’utilisation qui va être faite de leurs données, une possibilité pour eux de consulter les données utilisées, de les modifier ou de les supprimer, etc. Même si beaucoup de ces droits existaient déjà, leur exercice par les utilisateurs était jusque-là fastidieux.

Enfin le RGPD vise également à rééquilibrer la concurrence avec les acteurs extraeuropéens, GAFA (Google, Apple, Facebook, Amazon) en tête, puisque ceux-ci seront soumis aux mêmes contraintes dès lors qu’ils voudront manipuler les données des citoyens européens.

  • Les entreprises responsabilisées

En matière de traitement des données personnelles, les entreprises françaises étaient soumises, jusque-là, à la loi Informatique et liberté de 1978, modifiée en 2004 pour intégrer des dispositions d’une directive européenne de 1995. Pour les entreprises, il s’agissait déjà de démontrer qu’elles ne procédaient pas à une utilisation disproportionnée des données personnelles. La loi imposait une déclaration préalable de ces traitements auprès de la Commission nationale de l’informatique et des libertés (CNIL), voire une autorisation préalable pour les cas les plus sensibles. Pour faciliter les démarches, elle prévoyait la possibilité de recourir aux services d’un correspondant informatique et libertés (CIL), chargé de vérifier la bonne application de la loi au sein de l’entreprise.

Avec le RGPD, ce fonctionnement disparaît. Plus de déclarations préalables : les entreprises sont censées être responsables. En cas de visite de la CNIL, elles doivent pouvoir démontrer qu’elles appliquent les bonnes politiques de gestion des données personnelles.

Pour ce faire elles doivent tenir à jour un registre expliquant toutes les données personnelles qu’elles exploitent, pouvoir prouver que celles-ci ont été obtenues avec le consentement éclairé des utilisateurs (en les informant précisément de la finalité pour laquelle les données sont exploitées), et démontrer qu’elles ont adopté les mesures de sécurité appropriées en fonction du caractère sensible des données, tout particulièrement contre les cyberattaques. Ces obligations s’appliquent aussi aux sous-traitants de l’entreprise impliqués dans le traitement des données (hébergeurs, etc.).

Les CIL eux aussi disparaissent, laissant la place à des délégués à la protection des données (data privacy officers, DPO), chargés de s’assurer de la bonne conformité de l’entreprise avec le règlement. Le DPO peut être un salarié de l’entreprise. Pour les plus petites structures, il peut être externalisé ou mutualisé, par exemple entre différents membres d’une même profession (comme les notaires). Le DPO n’est obligatoire que pour les entreprises se livrant à « un suivi régulier et systématique des personnes à grande échelle » (un réseau social, par exemple) ou manipulant à grande échelle des données dites « sensibles » (données de santé, données biométriques, etc..).

  • Des sanctions renforcées

L’innovation la plus frappante introduite par le nouveau règlement est le niveau inédit des amendes encourues pour les contrevenants. Jusqu’en 2016, la CNIL ne pouvait pas infliger d’amendes supérieures à 150 000 euros. Depuis la loi pour la république numérique, ce plafond a été relevé à 3 millions d’euros. Avec le RGPD, le pouvoir de sanction de la CNIL est très largement renforcé puisqu’il pourra s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Le niveau de l’amende est en rapport avec la gravité de l’infraction. Faute de jurisprudence, difficile de dire aujourd’hui quand la peine maximale pourra être appliquée.

  • De nouveaux recours pour les utilisateurs

Le RGPD donne désormais la possibilité à plusieurs particuliers d’intenter des actions de groupe pour obtenir réparation à la suite d’un préjudice dont se serait rendue responsable une entreprise traitant vos données personnelles. Jusque-là les actions de groupe n’étaient possibles que pour faire cesser le trouble (le partage non consenti des données avec une entreprise tierce, par exemple). Désormais, les plaignants pourront réclamer une indemnisation financière.