Rechercher
Generic filters

Le RGPD pour protéger les données personnelles

Depuis le 25 mai, un nou­veau règle­ment européen, le RGPD, régit le traite­ment des don­nées à car­ac­tère per­son­nelle. Ce texte pro­pose plusieurs avancées intéres­santes pour pro­téger notre vie privée sur le Net. Juriste de for­ma­tion, con­ser­va­teur des bib­lio­thèques à l’u­ni­ver­sité Paris Lumières et mem­bre de l’as­so­ci­a­tion La Quad­ra­ture du Net, Lionel Mau­rel a réal­isé une con­férence sur le sujet à l’UTC en mai dernier. Il décrypte pour nous les enjeux prin­ci­paux de cette nou­velle législation.

Com­ment peut-on définir les don­nées per­son­nelles ?

« C’est l’ensem­ble des infor­ma­tions per­me­t­tant d’i­den­ti­fi­er un indi­vidu qu’il s’agisse de son nom, ses opin­ions, son numéro de sécu, compte ban­caire, de l’adresse IP de son ordi­na­teur, de clichés rétiniens, d’empreintes dig­i­tales ou d’une pho­to per­son­nelle… Dès 1978, la France a été pio­nnière dans la pro­tec­tion de ces infor­ma­tions avec la loi Infor­ma­tique et lib­ertés. Avec l’in­for­ma­ti­sa­tion des ser­vices publics, il s’agis­sait alors d’empêcher un fichage par l’E­tat. Depuis les années 90, cer­tains des principes de cette loi ont été repris dans des direc­tives européennes. Le RGPD uni­fie et ren­force ces dispositions. » 


En quoi le Règle­ment général sur la pro­tec­tion des don­nées (RGPD) mar­que t‑il une étape importante ?

« Aupar­a­vant, les entre­pris­es extra-européennes pou­vaient facile­ment con­tourn­er les lég­is­la­tions en vigueur. Main­tenant, tout traite­ment de don­nées per­son­nelles con­cer­nant des citoyens européens quel que soit l’ac­teur con­cerné est soumis à cette régle­men­ta­tion. C’est une pre­mière au niveau mon­di­al. Il a fal­lu plus de deux ans de débats au par­lement européen pour arriv­er à ce résul­tat. Les Google et autre Face­book ont fait un intense lob­by­ing mais la société civile s’est égale­ment mobilisée. » 

Quels sont les prin­ci­paux pro­grès en matière de pro­tec­tion de l’usager ?

« Ce nou­veau cadre juridique con­tient des points très impor­tants comme la néces­sité d’un con­sen­te­ment libre et éclairé. Cela sig­ni­fie que pour col­lecter, analyser ou échang­er une don­née per­son­nelle, une entre­prise ou une insti­tu­tion doit dans la plu­part des cas avoir l’ac­cord exprès de l’in­téressé. Par exem­ple, la sim­ple con­sul­ta­tion d’une page ne peut plus être con­sid­érée comme un con­sen­te­ment tacite pour recevoir des cook­ies. Con­di­tion­ner l’ac­cès à un ser­vice au fait de devoir accepter l’u­til­i­sa­tion de ses infor­ma­tions per­son­nelles est désor­mais illé­gal. Un paramé­trage des dif­férentes options de con­fi­den­tial­ité doit être pos­si­ble. Les choix par défaut doivent cor­re­spon­dre à la con­fig­u­ra­tion ren­dant le moins acces­si­ble ses don­nées per­son­nelles. Des fonc­tion­nal­ités comme la recon­nais­sance faciale pro­posée par Face­book à l’ou­ver­ture d’un pro­fil ne seront plus activées automatiquement. » 

Quel est le domaine qui mérit­erait d’être le plus appro­fon­di ?

« Le RGPD exige que les don­nées soient util­isées dans un but claire­ment défi­ni, jus­ti­fié par les besoins du ser­vice et trans­par­ent pour l’u­til­isa­teur. Le stock­age sans final­ité par­ti­c­ulière n’est pas autorisé. Cepen­dant, des excep­tions au nom de « l’in­térêt légitime » ont été prévues. Cette mesure con­cerne surtout les don­nées de con­nex­ion néces­saires pour assur­er la sécu­rité via des iden­ti­fi­ants. Mal­gré tout, il faut rester vig­i­lant. Le flou du con­cept est en effet la porte ouverte à des abus de la part des acteurs du marché. Ceux dont le mod­èle économique repose sur le fichage pub­lic­i­taire pour­raient facile­ment l’in­vo­quer au nom de la survie même de leurs presta­tions. »

Quelles sont les sanc­tions en cas de non-respect ?

« Jusqu’à aujour­d’hui, les sanc­tions de la CNIL étaient pla­fon­nées. Désor­mais, elles pour­ront attein­dre 4 % du chiffre d’af­faire, ce qui est loin d’être sym­bol­ique, surtout pour les grands du Net. Avant, l’u­til­isa­teur devait atta­quer indi­vidu­elle­ment en jus­tice les grandes entre­pris­es. Les recours col­lec­tifs ou actions de groupe sont désor­mais pos­si­bles. Dans ce cadre, l’as­so­ci­a­tion La quad­ra­ture du Net lance plusieurs actions en jus­tice con­tre les GAFAM qui ont déjà recueil­li l’ad­hé­sion de plusieurs mil­liers de per­son­nes. »

Le magazine

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram