Cela fait maintenant un an que le Règlement général sur la protection des données (RGPD) a été appliqué. Le texte, qui s’impose aussi aux entreprises situées hors de l’Union mais qui s’adressent quand même aux Européens, fixe les règles en matière de traitements destinés aux données personnelles. Sur Internet, bien sûr, mais pas seulement.
Certaines mesures s’adressent aux professionnels et aux juristes, comme les certifications de conformité au RGPD (article 42), la définition du consentement (4.11), l’obligation de faire des études d’impact en cas de risque (35), l’obligation de faire du « privacy by design » par défaut (25) et la mise en place du délégué à la protection des données (37 et suivants).
Il y a toutefois au fil des 99 articles du texte des dispositions qui revêtent une importance particulière du point de vue de l’internaute. À ce titre, elles méritent donc qu’on s’y attarde afin d’apporter quelques éclairages. C’est tout l’objet de ce guide, qui liste et décrypte les principales avancées ou consolidations juridiques au profit de l’internaute.
Le consentement de l’internaute
Il n’est plus question de supposer le consentement des internautes par des artifices juridiques, par un simple lien pointant vers une politique de vie privée ou par des cases d’acceptation pré-cochées par défaut. Toute entité qui procède à la collecte et au traitement de données personnelles doit obtenir au préalable un accord écrit, clair et explicite des individus.
Attention, toutefois : le recueil du consentement des personnes n’est absolument pas nécessaire dans tous les cas de collecte de données à caractère personnel. Si le RGPD insiste sur la question du consentement, c’est essentiellement sur les modalités de recueil de celui-ci, qui sont précisées : libre, explicite, spécifique, informé.
Cette collecte de données peut reposer sur d’autres bases juridiques, comme l’exécution d’un contrat, l’intérêt légitime du responsable de traitement, le respect d’une obligation légale, etc. Le recueil du consentement est seulement une des bases possibles pour collecter des données personnelles de manière légale, mais pas la seule et surtout pas nécessairement la plus utilisée.
Par exemple, si le consentement « est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples », explique le RGPD.
Bien entendu, outre la nécessité de matérialiser l’adhésion en laissant à l’internaute le soin de cocher lui-même la case requise (« opt in »), le Règlement rappelle que cette acceptation peut être retirée à tout moment, sans qu’il ne soit besoin de donner la moindre justification. Le fait de retirer son accord n’affecte en aucune façon le traitement qui a été opéré pendant la période où il a été donné.
La mesure est inscrite à l’article 7 du RGPD.
Inscription d’un enfant
En dessous d’un certain âge, l’inscription d’un enfant à un réseau social requiert une autorisation des parents. Le RGPD laisse une marge d’appréciation aux États pour déterminer l’âge adéquat à partir duquel un mineur n’a plus besoin de solliciter au préalable son père ou sa mère (ou la personne qui exerce l’autorité parentale) avant d’ouvrir un compte en ligne.
Cette mesure ne porte pas que sur les réseaux sociaux
Il peut donc exister des seuils différents selon les pays membres de l’Union. En France, l’Assemblée nationale a estimé que l’âge de 15 ans constitue le seuil adéquat partir duquel un jeune peut s’inscrire sans demander de compte à personne. En la matière, l’Union européenne exigeait simplement que ce seuil dût se trouver dans la tranche d’âge 13 – 16 ans.
Il est à noter que cette mesure ne porte pas que sur les réseaux sociaux. Elle couvre toute « offre directe de services de la société de l’information aux enfants ». Elle a été mise en place du fait de la collecte et du traitement de données personnelles relatives à un enfant. Par ailleurs, il est exigé du service qu’il mette en place des moyens permettant de vérifier ce consentement.
Cette disposition figure à l’article 8 du RGPD.
Emporter avec soi ses données
Vous ne voulez plus utiliser Spotify pour écouter de la musique, mais plutôt Apple Music ? Vous comptez délaisser Facebook au profit de Diaspora ? L’envoi de courriers électroniques avec Gmail, c’est terminé, place à ProtonMail ? Le Règlement général sur la protection des données prévoit un mécanisme de portabilité, qui vous offre la possibilité de passer d’un service à un autre.
Le droit à la portabilité des données permet en effet d’emporter avec soi ses données — celles qui ont été collectées, traitées et produites via un service en ligne — pour les importer vers une plateforme concurrente, sans avoir, dans la mesure du possible, à perdre quoi que ce soit au cours de ce déménagement. En principe, l’internaute n’a même pas besoin de se charger de cette migration.
Lorsque cela est techniquement possible, indique le RGPD, un individu « a le droit d’obtenir que ses données à caractère personnel soient transmises directement d’un responsable du traitement à un autre ». Naturellement, ces informations doivent être fournies « dans un format structuré, couramment utilisé et lisible par machine », afin que le transfert se fasse de façon automatisée et pas de manière manuelle.
L’article 20 du RGPD porte sur la portabilité des données.
Droit à l’effacement
Le RGPD prévoit un « droit à l’oubli », plus exactement un droit à l’effacement. Il est à noter que ce droit n’est pas né avec ce Règlement : il est reconnu depuis 2014, sous la forme d’un droit au déréférencement, faisant suite à l’arrêt rendu par la Cour de justice de l’Union européenne. En gros, celui-ci oblige Google à tenir compte des requêtes d’internautes demandant le retrait de certains liens les concernant.
Ici, la reconnaissance de ce droit à l’effacement permet à un particulier de demander la suppression des données qui lui sont liées, y compris chez les sous-traitants et les partenaires, à condition que leur conservation ne soit pas nécessaire pour un motif légitime (raisons historiques, scientifiques, statistiques, de santé publique, d’exécution d’un contrat, judiciaires…), y compris le droit à la liberté d’expression.
Ce droit doit être exécuté par le ou les responsables du traitement « dans les meilleurs délais » et la personne qui l’exerce a plusieurs motifs à disposition pour arriver à ses fins : il peut s’agir d’un retrait du consentement, de la constatation que les données personnelles ne sont plus requises pour les finalités pour lesquelles elles ont été recueillies, d’une obligation légale, d’un caractère illicite du traitement, etc.
C’est à l’article 17 du RPGD que l’on retrouve ce droit.
Profilage par algorithme
Il n’est pas admissible qu’une décision entraînant des conséquences sur un individu ne repose que sur des algorithmes. C’est ce qu’énonce le RGPD : une personne « a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».
Cependant, cette consigne générale a plusieurs exceptions : si par exemple vous donnez votre consentement explicite, alors il pourra vous être appliqué une décision individuelle automatisée, y compris le profilage. Idem si une détermination purement algorithmique est « nécessaire à la conclusion ou à l’exécution d’un contrat » ou si elle est « autorisée par le droit de l’Union ou le droit de l’État membre ».
Ce dernier point est contrebalancé par le critère de l’existence de « mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Il n’est donc pas question d’interdire purement et simplement ces décisions sur cette base, mais de les limiter et de les encadrer. La portée exacte de l’article reste toutefois à analyser en pratique, tant il semble souple.
L’article 22 du RGPD est consacré à cette disposition.
Actions de groupe
Avec le Règlement général sur la protection des données, les particuliers pourront être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données. Les individus pourront ainsi plus facilement se défendre en se regroupant sous une même bannière, plutôt que de partir dans une croisade solitaire. Tout le monde n’est pas Max Schrems.
Le RGPD précise que sont habilités à mener ces actions collectives les organismes, organisations et associations à but non lucratif « qui ont été valablement constitués conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et sont actifs dans le domaine de la protection des droits et libertés des personnes concernées », dans le cadre de la protection des données personnelles.
Il est à noter que ce type de recours est prévu depuis le 18 novembre 2016 par la loi de modernisation de la justice du 21e siècle. Plus exactement depuis mai 2017, car un décret prenant « les dispositions de coordination nécessaires à l’introduction d’un socle commun aux actions de groupe et à la création de l’action en reconnaissance des droits » était requis pour compléter le dispositif juridique.
L’article 80 du RPGD détaille ce mécanisme.
Information en cas de piratage
Vous vous souvenez du piratage de la société Uber, révélé fin novembre 2017 ? À l’époque, on apprenait que les informations de 57 millions de clients avaient été dérobées, dont 1,4 million de Français. De nombreuses critiques avaient alors été émises, notamment de la part du gouvernement français et des autorités de protection de la vie privée en Europe, parce qu’Uber n’avait procédé à aucun signalement.
Le RGPD inclut un droit d’information en cas de piratage des données
Le RGPD inclut un droit d’information en cas de piratage des données : si une entreprise ou une organisation quelconque est victime d’un piratage de données de ses clients ou de tiers, elle devra immédiatement en informer l’autorité de protection des données — en France, c’est CNIL — et dans le cas où cette divulgation ne pose pas de problème de sécurité, en informer les principaux concernés.
La notification aux particuliers n’est pas obligatoire. Elle dépend de certains paramètres, si par exemple « le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées », de sorte que les données dérobées sont « incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès », grâce au chiffrement.
Les articles 33 et 34 du RGPD encadrent l’impératif de notification.
Point de contact unique
Vous avez un problème avec une entreprise qui traite vos données personnelles, mais celle-ci ne se trouve pas en France ? Vous pouvez quand même vous adresser à la Commission nationale de l’informatique et des libertés (CNIL), qui portera alors votre réclamation auprès de l’autorité de protection des données du pays dans lequel l’entreprise a son établissement principal.
Un cas de figure est proposé par la CNILpour illustrer ce mécanisme :
Si une banque a son siège social en Allemagne, mais que son département assurance est localisé en Autriche, là où sont prises les décisions sur les traitements en matière d’assurance, alors c’est l’équivalent allemand de la CNIL qui sera missionné pour contrôler ces traitements en matière bancaire, tandis que leur homologue autrichien sera sollicité pour les traitements en matière d’assurance.
L’Union européenne étant une force politique de 28 États membres, il y a de fait une ribambelle d’autorités de contrôle. Si chacune incarnera à un moment où à un autre le rôle d’autorité de contrôle chef de file, en fonction de l’emplacement des établissements visés par les réclamations, le Règlement prévoit naturellement divers mécanismes de coopération, d’assistance mutuelle et d’opérations conjointes.
Ce mécanisme est organisé par les articles 56 et 60, 61 et 62 du RGPD.
Amendes revues à la hausse
Autrefois,le droit français n’autorisait la CNIL qu’à infliger des amendes de 150 000 euros maximum, ce qui est absolument insignifiant pour contraindre des grands groupes internationaux — on pense à Google, Facebook ou Amazon — à se montrer plus précautionneux envers les données personnelles qu’ils collectent et traitent. Avec le RGPD, on change complètement d’échelle.
Les plafonds des sanctions prévues par le texte sont en effet particulièrement élevés : en cas d’infraction sur la protection des données, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.
Naturellement, il est attendu du discernement de la part des autorités qui prononceront ces amendes. Pour décider s’il y a lieu d’imposer une amende administrative et, le cas échant, fixer le montant de la peine, il faudra prendre en compte divers critères, comme la gravité de l’incident, la coopération du responsable du traitement, les actions correctrices, le nombre de personnes touchées, etc.
L’article 83 du RGPD est consacré aux amendes administratives.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !