RGPD : Définition
Le Règlement général sur la protection des données (RGPD) est le cadre réglementaire de l'Union européenne pour la protection des données et de la vie privée des personnes et des entreprises dans l'Union. Il a été adopté le 14 avril 2016 et est entré en vigueur le 25 mai 2018.
Exigence de consentement explicite :
Les entreprises ont l'obligation d'obtenir un consentement explicite pour traiter les données des personnes après avoir informé ces dernières de leurs buts (traitement, stockage et autres utilisations des données). Il ne suffit plus d'informer simplement les utilisateurs, ceux-ci doivent explicitement donner leur consentement.
Droit d'accès :
Tous les citoyens ont le droit de savoir si des entreprises possèdent et traitent leurs données personnelles. Si c'est le cas, elles ont le droit d'accéder à ces données et l'entreprise est obligée d'en fournir une copie et d'expliquer le but de ce traitement de données, les critères et la période pendant laquelle les données seront conservées. Le RGPD introduit également le droit à la correction des données personnelles.
Droit à l'oubli :
Celui-ci établit le droit de l'utilisateur à l'effacement de ses données dans certaines circonstances : si les données ne sont plus nécessaires pour l'objectif dans lequel elles avaient été collectées, si le consentement a été retiré, si les données avaient été collectées pour une offre de services limitée dans le temps, si elles avaient été obtenues de manière illégale, etc.
Droit à la portabilité :
Les utilisateurs ont le droit de demander que l'organisation qui détient leurs données personnelles les transfère ou en fournisse une copie à un tiers.
Responsabilités de l'entreprise :
De façon générale, les responsabilités des entreprises et des organisations se sont accrues. La nouvelle réglementation les oblige à mettre en oeuvre des systèmes pour surveiller le traitement des données ainsi que pour documenter les procédures de collecte, de stockage et d'utilisation des données.
Sanctions encourues
Le non-respect du RGPD peut donner lieu à quatre niveaux de sanctions ::
- 1. L'avertissement
- 2. L'injonction
- 3. La suspension du droit à traiter des données
- 4. Une amende.
Pour ce dernier cas, il existe deux niveaux : le premier niveau correspond à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel (selon le montant le plus élevé des deux) et le deuxième niveau à une amende de 20 millions d'euros ou 4 % du chiffre d'affaires annuel. À cela s'ajoutent d'éventuelles actions en justice ultérieures pour l'obtention de dommages-intérêts.
Ce que cela signifie pour les citoyens
Le droit à l'oubli.
Tout utilisateur a le droit de contacter toute entreprise et de demander que ses données personnelles soient effacées. L'entreprise a alors 30 jours pour effacer les données de cet utilisateur de ses systèmes.
Moins de matériaux publicitaires et de marketing.
La simple acceptation des termes d'un contrat de service a parfois été interprétée comme un consentement à recevoir de la publicité. Le consentement a été considéré comme implicite par la plupart des entreprises. Le RGPD oblige les entreprises à obtenir un consentement explicite et informé des consommateurs pour que leurs données puissent être utilisées à des fins publicitaires, etc.
Protection des mineurs.
Les adolescents et les jeunes adultes devraient recevoir une formation appropriée à une utilisation sans risque des réseaux sociaux, mais le RGPD renforce également leur protection en autorisant la suppression de messages potentiellement gênants. Dans des pays tels que le Royaume-Uni, les jeunes bénéficient aussi d'une protection supplémentaire : depuis 2018, les utilisateurs de Facebook, Twitter et Instagram peuvent supprimer les messages qu'ils avaient publiés avant d'avoir 18 ans.
