La protection des données personnelles est enfin une affaire d'État(s européens)

Forum International de la Cybersécurité (FIC), LILLE. – C'est une avancée considérable, osons même l'expression "changement de paradigme". Avec l'entrée en vigueur du RGPD – comprendre le "règlement général de protection des données", l'Union européenne prend enfin à bras-le-corps la question du sort réservé aux données personnelles des citoyens. Le fruit de quatre années de négociations entre les 28 États membres. Mais aussi, la preuve d'une "vision à l'européenne" des données personnelles, comme s'en félicitait Mounir Mahjoubi, secrétaire d'État chargé du numérique, au micro du Forum International de la Cybersécurité, qui a eu lieu à Lille les 23 et 24 janvier.

VOIR AUSSI : Pourquoi Facebook veut soudainement nous aider à mieux contrôler nos données personnelles

Alors, qu'est-ce que cette réforme change ? Pour faire simple, notons d'abord qu'elle renforce les droits des personnes (notamment en vous offrant la possibilité de réclamer à un organisme une partie de vos données personnelles, ceci par exemple pour les transmettre à un autre organisme – ce que l'on appelle le droit à la portabilité). Ensuite, qu'elle donne de nouvelles responsabilités aux personnes qui traitent ces données (quand autrefois la plupart des autorisations administratives étaient données a priori, aujourd'hui il y aura plutôt des contrôles a posteriori). Explications.

L'arrivée de nouveaux droits

Jusqu'à présent, on ne savait pas exactement ce que les organismes détenaient comme informations à notre propos. Avec le RGPD, transparence et clareté devront être de mise. La façon dont vos données sont traitées devra vous être présentée de façon limpide. Surtout, une nouvelle notion va faire son apparition : celle du consentement (décidément, c'est le mot de l'année et il y a de quoi s'en satisfaire). En gros, en tant qu'utilisateur, vous serez informé de l'usage qui sera fait de vos données et vous pourrez donner votre accord ou au contraire vous y opposer. La Cnil précise que "la matérialisation de ce consentement doit être non ambigüe" et qu'il sera de la responsabilité des organismes de pouvoir prouver à tout moment votre consentement.

En plus de cela, comme nous l'écrivions en introduction, vous aurez le droit à la portabilité de vos données. Une grande nouveauté, puisqu'il sera désormais possible de récupérer nos données sous un format facilement réutilisable, notamment dans le cas où l'on souhaiterait les transférer à un tiers. Là encore, ce droit va dans le sens d'un meilleur confort pour les citoyens puisque, comme l'explique la Cnil, "il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée".

D'un point de vue revendications, le RGPD offre également un nouveau cadre  : les recours collectifs (via des associations de protection des droits et libertés en matière de protection des données) seront désormais possibles tout comme le droit à la réparation des dommages matériel ou moral.

La responsabilité de ceux qui traitent nos données

L'entrée en vigueur de ce nouveau règlement signe également l'arrivée d'un "choc sur la sécurité globale des entreprises", s'est réjouit Mounir Mahjoubi, toujours lors de son discours au FIC. "Quand on possède les données personnelles d’individus, on a des responsabilités. Il est important que l'on progresse sur la question du niveau de conscientisation des leaders", a-t-il ajouté.

Désormais, les acteurs des traitements de données seront responsabilisés. Chaque organisme sera tenu de respecter "des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability", rapporte la Cnil. Grâce à un registre, chaque action sera documentée. Un responsable de traitement sera chargé de vérifier en interne la conformité au règlement. En plus de cette nouvelle organisation, un représentant légal sera nommé pour être l'interface avec les autorités. 

Lors d'une conférence de presse en mars 2017, Isabelle Falque-Pierrotin, la présidente de la Cnil alertait sur les retards des acteurs publics et privés, "qui devront être prêts pour mettre en œuvre opérationnellement" le RGPD. Alors que chaque entreprise est censée nommer un délégué à la protection des données (DPO), nombreuses sont celles qui ne sont pas encore en conformité. Certaines estimations avancent qu'avec le nouveau règlement, plus de 25 000 postes de DPO pourraient être créés en France. Nul doute que "le DPO va devenir, à n'en pas douter, un standard du marché dans les années à venir. En effet, en matière de protection des données personnelles, il sera un élément clé de la construction d'une relation de confiance entre l'entreprise et ses salariés, ses clients et ses fournisseurs", comme on peut le lire dans cette tribune de La Tribune, signée par Yann Padova, Partner chez Baker McKenzie.

"Ce texte va vers le haut et renforce le niveau de protection des données, tout en nous permettant d'avoir un modèle européen au leadership très observé à l'international", analyse Florence Raynal, chef du service des affaires européennes et internationales de la Cnil, au micro du FIC. "C'est un vrai changement de mentalité", ajoute-t-elle. Moduler notre présence numérique plutôt que la subir, reprendre le contrôle sur les données qui nous concernent : sous cet angle, il est évident que le RGPD est un juste prolongement, version numérique, de nos libertés fondamentales.

Quelque chose à ajouter ? Dites-le en commentaire.