Depuis le 24 octobre 1995 en Europe il existe une directive du Parlement européen et du conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, la directive 95/46. La question de la protection des données personnelles et de leurs utilisations par des tiers a toujours été une question centrale des états-membres européens.
L’évolution d’internet à travers le « web 2.0 » en 2004, qui désigne l’évolution du web originel à travers de nouvelles interfaces permettant aux internautes de partager, d’échanger à travers des plateformes. L’apparition du web social, ou la richesse se trouve dans la donnée des utilisateurs laissant apparaître de nouveaux questionnements sur l’exploitation de ces données.
Les nouvelles possibilités du « web 2.0 » ont permis aux entreprises du web de saisir une nouvelle économie, avec un enrichissement fulgurant en quelques années. L’exemple des GAFA, des géants du web avec Google, Apple, Facebook et Amazon en est le parfait exemple. Ils représentent l’économie du début du XXIe siècle et incarnent le passage à l’ère du digital. Leurs économies résident essentiellement dans la revente des données personnelles des utilisateurs.
Selon François Barrault (président de l’Institut de l’audiovisuel et des télécommunications en Europe, IDATE) « le clic » est devenu central pour ces plateformes, chaque clic permet de définir en profondeur le profil de l’individu, le plus souvent à l’insu de l’utilisateur. En communiquant des éléments personnels à ces plateformes, l’utilisateur participe activement à développer les algorithmes de ces géants du web. Des megadonnées qui seront ensuite traitées par des professionnels à des fins commerciales.
De nouveaux droits pour les citoyens européens ?
Le RGPD (Règlement général de protection des données) vise à concilier vie privée des citoyens et innovation, à l’heure où le géant du numérique Facebook est plongé dans l’affaire « Cambridge Analytica » sur la revente des données de plus de 87 millions d’utilisateurs à une entreprise britannique spécialiste de l’influence politique. Le cadre législatif étendu à l’échelle européenne semble plus que jamais essentiel pour encadrer la protection des données des utilisateurs.
Le RGPD résulte du consensus des CNIL européennes sur le transfert des données personnelles des Européens vers les États-Unis. Un transfert entre entreprises « Privacy Shield » (bouclier de protection des données) entré en vigueur depuis le 1er août 2016. Ce mécanisme d’auto-certification offre un niveau de protection aux données à caractère personnel transféré par une entité européenne établie aux États-Unis. Ce mécanisme de protection est une certification supplémentaire pour les entreprises travaillant avec des données personnelles.
Le RGPD, qui entre en vigueur le 25 mai 2018, vient encadrer les pratiques individuelles (clients, utilisateurs, employés) face aux entreprises du monde entier qui collectent les données personnelles de citoyens européens. Il s’assure désormais de sanctionner en cas de non-respect de la loi, avec des amendes pouvant aller jusqu’à plusieurs millions d’euros pour les grands groupes.
Le rapport de la Commission européenne au parlement européen et au conseil, définit la volonté commune européenne en ces termes :
La protection des données à caractère personnel fait partie des fondements constitutionnels communs de l’Europe et est consacrée à l’article 8 de la charte des droits fondamentaux de l’UE. Elle occupe une place centrale dans la législation de l’UE depuis plus de vingt ans, de l’adoption de la directive sur la protection des données en 1995 (la « directive de 1995 ») à celle du règlement général sur la protection des données (RGPD)2 et de la directive « police » 3 en 2016.
Comme l’a souligné le président Juncker dans son discours du 14 septembre 2016 sur l’État de l’Union, « Être européen, c’est avoir le droit de voir ses données à caractère personnel protégées par une législation forte, une législation européenne. […] Car en Europe, la vie privée n’est pas un vain mot. C’est une question de dignité humaine. » La demande de protection des données à caractère personnel ne se limite toutefois pas à l’Europe.
Les consommateurs du monde entier accordent une valeur de plus en plus importante au respect de leur vie privée. Les entreprises reconnaissent pour leur part qu’une forte protection de la vie privée leur offre un avantage concurrentiel dans la mesure où la confiance dans leurs services se renforcent. Elles sont nombreuses, en particulier celles de dimension mondiale, à aligner leurs politiques de protection de la vie privée sur le RGPD, à la fois parce qu’elles veulent exercer leurs activités dans l’UE et parce qu’elles considèrent ce règlement comme un modèle à suivre.
La régulation sur plusieurs points ?
L’enregistrement des données personnelles telles que défini dans le RGPD concerne :
-La collecte
-L’enregistrement
-La modification
-L’extraction
-La mise à disposition et transmission des données des utilisateurs
L’ensemble de ces données immatérielles ou physiques constitue généralement les données sensibles que détient l’entreprise sur ses utilisateurs.
Le traitement des données sera désormais soumis à des conditions particulières : (Article 5, paragraphe 1, et considérant 39) du RGPD :
- Les données à caractère personnel doivent être traitées de manière licite et transparente, en garantissant la loyauté envers les personnes dont les données à caractère personnel sont traitées (« licéité, loyauté et transparence ») ;
- Il doit y avoir des finalités spécifiques pour traiter les données et l’entreprise/organisation doit indiquer ces finalités aux personnes concernées lorsqu’elle collecte leurs données à caractère personnel ; une entreprise/organisation ne peut pas simplement collecter des données à caractère personnel pour des finalités non déterminées (« limitation des finalités ») ;
- L’entreprise/organisation ne peut collecter et traiter que les données à caractère personnel qui sont nécessaires pour atteindre ces finalités (« minimisation des données ») ;
- L’entreprise/organisation doit s’assurer que les données à caractère personnel sont exactes et tenues à jour au regard des finalités pour lesquelles elles sont traitées et les corriger le cas échéant (« exactitude ») ;
- L’entreprise/organisation ne peut plus utiliser les données à caractère personnel pour d’autres finalités qui ne sont pas compatibles avec la finalité pour laquelle elles ont été initialement collectées ;
- L’entreprise/organisation doit s’assurer que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées (« limitation de la conservation ») ;
- L’entreprise/organisation doit mettre en place des mesures techniques et organisationnelles appropriées qui garantissent la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de la technologie appropriée (« intégrité et confidentialité »).
Les exigences du RGPD à l’égard des entreprises vont permettre désormais une collecte d’informations licite. Le RGPD impose aux entreprises le « principe de la responsabilité conjointe », l’ensemble des acteurs est désormais responsable d’appliquer le RGPD, sous peine de sanctions pouvant aller de 2% à 4% du chiffre d’affaires annuel mondial. Ce renfort législatif, qui vient renforcer le « Privacy Shield » à l’égard des utilisateurs est, une grande avancée, à la suite des récents scandales. L’Union européenne dévoile son offensive pour la protection de ses citoyens, avec de nouvelles mesures plus justes et équitables. Une offensive qui se poursuivra avec la volonté de proposer une taxe de 3% sur le chiffre d’affaires des géants du numérique. Entre combat idéologiques et économiques, l’Europe s’affirme dans les négociations.
BIBLIOGRAPHIE :
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
https://www.cnil.fr/fr/le-privacy-shield
http://ec.europa.eu/transparency/regdoc/rep/1/2017/FR/COM-2017-7-F1-FR-MAIN-PART-1.PDF
https://www.buzznative.com/blog/rgpd/
https://www.alteo.fr/actualite/rgpd-dispositions-entreprises-securiser-donnees
https://www.donneespersonnelles.fr/rgpd
