La première cause de la mise en place du RGPD est le développement exponentiel des nouvelles technologies depuis quelques années qui peuvent être utilisées, en nous proposant des biens et des services, pour nous surveiller, comme par la géolocalisation.
Une deuxième cause est liée au développement des enjeux sécuritaires: les problématiques de lutte contre le terrorisme, depuis une quinzaine d’années en Europe et dans le monde, font que les États ont développé des outils de surveillance de plus en plus performants. Ces nouveaux outils engendrent de nouveaux enjeux en terme de protection de la vie privée.
Le RGPD, le règlement européen, promulgué en 2016 en Europe, et transcrit pour la France en 2018, a pour vocation d’apporter des réponses à ces enjeux:
- La fin des déclarations à la CNIL.
Jusqu’à présent, le régime de protection des données, sur le plan réglementaire, s’appuyait sur l’obligation qu’avaient les entreprises ou les administrations de déclarer leurs fichiers. C’est fini et remplacé par l’obligation documenter sa conformité. Ce qui est appelé le principe de responsabilité. On n’a plus à déclarer ses traitements à la CNIL (dans la plupart des cas), mais en contrepartie on doit s’organiser pour vérifier qu’en interne on a mit en œuvre les procédures pour que les données personnelles ne soient collectées en respectant le cadre réglementaire. - Des sanctions administratives fortes
Jusqu’à présent, la CNIL disposait d’un pouvoir de sanctionner les responsables de traitement qui ne respectent pas la loi, mais il était limité, puisque la CNIL ne pouvait prononcer que des amendes d’un faible montant. À partir de mai 2018, la CNIL peut prononcer des amendes jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial d’une entreprise… De plus le risque de non-conformité est plus important qu’il ne l’était avant le RGPD. - La prise en compte de l’international, de la circulation des données, dans le cadre, par exemple, de la sous-traitance informatique. Une entreprise française va peut sous-traiter du traitement de données en Afrique du Nord, à l’Île Maurice, en Inde, en Asie, aux États-Unis… Ces flux de données doivent être protégés. Le RGPD apporte là aussi un certain nombre de réponses.
- Enfin, de nouveaux concepts figurent dans le règlement européen, comme de nouveaux droits, le droit à la portabilité, ou le droit à la limitation des données.
Depuis les années 1970, ces évolutions de la réglementation ont toujours eu pour but de mieux protéger la vie privée et les données des personnes dans ce contexte d’évolution rapide des technologies. Même si cela ne pourra pas garantir que la vie privée des personnes soit totalement protégée, et ces règles ne protègeront pas les personnes contre elles-mêmes… Jusqu’à récemment, on communiquait ses informations personnelles par besoin auprès d’une administration ou d’une entreprise. On y était tenu. Mais ces dernières années, les personnes livrent d’elles-mêmes de l’information nominative, parfois très confidentielle ou intime, des photos, des vidéos, parce qu’elles souhaitent s’exposer.
Ce qu’il faut retenir, c’est que certes, le règlement européen vise à protéger les internautes, mais que si la personne consent à la mise en ligne d’une information, le RGPD sera d’un faible secours en cas de problème.
Il y a donc un nouvel enjeu, au-delà du cadre juridique, de sensibilisation des personnes au numérique. Pour qu’elles soient en capacité de connaître les conséquences de l’utilisation des outils informatiques disponibles. Afin qu’elles puissent en connaissance de cause choisir de confier ou pas leurs informations personnelles, en toute connaissance de cause.
Enfin, dernier nouvel enjeu, toujours au-delà du cadre juridique, c’est le « privacy by design », c’est-à-dire comment est-ce qu’un outil informatique, de par sa conception même, va pouvoir nous aider à protéger nos données et notre vie privée ?
Par exemple, vous utilisez un navigateur pour surfer sur Internet.. certains de ces navigateurs seront prudents en matière de protection de la vie privée, par exemple vis-à-vis des cookies ou des traceurs de marketing ciblé… d’autres pas du tout…
L’idée, c’est, en tant que donneur d’ordre, qu’utilisateur, consommateur, la personne doit pouvoir choisir des outils “privacy by design”, qui ont été pensés dès leur conception pour intégrer les enjeux de protection de la vie privée.
Grâce au RGPD d’ailleurs, la CNIL va pouvoir certifier des logiciels qui respecteront ces règles de protection des données.
DPO
