Le 25 mai 2018, un nouveau texte a été adopté sur le territoire de l’Union Européenne afin de renforcer la réglementation du traitement des données sur Internet. Il s’agit du RGPD : le règlement européen de protection des données. Cette réforme poursuit 3 objectifs principaux, qui sont les suivants :
Sont concernées par cette réforme, toutes les organisations publiques ou privées qui traitent des données personnelles pour leur compte ou non - en effet les sous-traitants sont également concernés par le dispositif mis en place par le RGPD-.
Ces organisations sont concernées dès lors qu’elles sont établies sur le territoire de l’U.E., et/ou que leur activité cible directement les résidents européens.
Par exemple, une entreprise française qui commercialise ses produits hors U.E. se doit d’appliquer le RGPD, tout comme une entreprise asiatique qui viendrait commercialiser un service en Allemagne.
Afin de mieux comprendre ce qu’est le RGPD, il faut comprendre ce qu’est la notion de données personnelles, puisque cette notion reste très large. Le texte prévoit que
“toute information se rapportant à une personne physique identifiée ou identifiable”
constitue une donnée personnelle. Dans les faits, cette personne peut être identifiée soit directement : par son nom et son prénom, soit indirectement : par des données directement liées à son identité (numéro de téléphone, adresse email, la voix, l’image, ou même des données plus spécifiques telles que des données psychiques, sociales, culturelles…). Cette identification peut être réalisée selon une ou plusieurs informations qui viendront préciser l’identité d’une personne physique. Par exemple : un homme de 40 ans, qui habite à Marseille et s’intéresse à l’automobile. Le traitement des données personnelles au sens large prévoit plusieurs dispositifs comme la collecte, l’enregistrement, l’organisation, la conservation, la consultation… Par contre, un fichier constitué uniquement d’informations liées à une entreprise telles que “Entreprise ABC, qui est située à Rennes” ne peut pas être considéré dans le traitement de données personnelles.
Le RGDP répond à 5 principes qui sont les suivants : Finalité, Pertinence, Conservation des données, Sécurité, et Droits des utilisateurs (que nous aborderons dans une seconde partie).
Selon le RGPD, il est énoncé qu’ “un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes”:
Jusqu’alors, les sites collectaient des datas avant même d’en déterminer l’usage. Aujourd’hui, si la collecte ne répond pas à une finalité, la collecte est illégale.
Avec le RGPD, la collecte et le traitement de ces données doit impérativement répondre à la finalité d’un objectif défini. Il existe cependant des catégories de données qu’il est interdit de traiter.
a) Les données sensibles : des éléments personnels tels que l’origine raciale, l’opinion politique ou religieuse, ou encore des données liées à l’état de santé d’une personne physique.Exceptions où le traitement de ces données est possible :
Une fois que l’objectif déterminé par la collecte de données est atteint, les sites se doivent de supprimer ces données. Leur durée de conservation est variable et dépend de leur nature et des finalités qui ont été poursuivies. Cependant, il existe des cas où l’archivage des données est possible. Les données peuvent parfois être archivées de manière définitive s’il y a un intérêt historique, scientifique, ou statistique.
Le responsable du fichier concernant des informations personnelles (dit aussi DPO : Data Protection Officer) doit pouvoir identifier quels sont les risques qui peuvent être engendrés sur la vie privée des personnes concernées par la collecte. Il est indispensable qu’il trouve en amont de la collecte, les moyens adéquats de réduire ces risques. C’est à lui d’évaluer le niveau de sécurité des données personnelles qui sont traitées ou sous-traitées dans son entreprise. Dans ses tâches il devra notamment :
Avec le RGPD, la responsabilité du DPO s’est renforcée.
Ces objectifs sont les fondamentaux du RGPD, ils concernent principalement les devoirs des sites, qui se sont vus renforcés après l’adoption de ce texte. Mais le RGPD n’a pas fait que renforcer les devoirs des sites. Il a également permis aux utilisateurs de bénéficier de plus de droits concernant le traitement de leurs données personnelles (qui correspond au 5ème grand principe du RGPD.
Le Règlement européen sur la protection des données personnelles (RGPD) garantit les droits des personnes dont les données personnelles sont collectées et conservées dans des fichiers.
Nous avons le droit de demander à un moteur de recherche de supprimer certains résultats de recherche associés à vos noms et prénoms. Le contenu original reste inchangé et est toujours accessible via les moteurs de recherche en utilisant d’autres mots clés de recherche ou en allant directement sur le site à l’origine de la diffusion.
Cette suppression ne signifie pas l’effacement de l’information sur le site internet source. Pour supprimer l'information sur le site source, il faut privilégier une demande d'effacement auprès du responsable du site.
« Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée. ». Le responsable d’un site qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées de l’identité du responsable du traitement.
Le RGPD renforce les conditions du consentement des personnes en demandant un acte positif et clair. C’est au responsable de traitement de prouver que le consentement a bien été donné. Si l’internaute peut donner son consentement au traitement des données le concernant au moyen d’une case à cocher, il est interdit de prévoir une case pré-cochée par défaut. Le responsable du traitement doit fournir une liste d’informations précises sur les modalités de traitement (identité du responsable, finalités, destinataires, durée de conservation…).
Avant de collecter nos données, un organisme doit donc faire preuve de transparence et nous permettre de savoir :
Le profilage consiste à utiliser les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, etc. Un traitement de profilage repose sur l’établissement d’un profil individualisé relatif à une personne : il vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle.
Le profilage est fréquemment utilisé, par exemple pour permettre à un employeur de déterminer les performances de l’un de ses salariés au travail, à une banque de définir la situation financière d’un client avant l’octroi d’un prêt, à une compagnie d’assurance de définir le coût d’une assurance voiture, à une régie publicitaire d’identifier des points d’intérêt pour adresser une publicité ciblée à un internaute.
Quels sont les droits des internautes concernant une décision automatisée ?
Nous avons le droit de ne pas faire l’objet d’une décision entièrement automatisée qui a un effet juridique ou vous affecte sensiblement. Un organisme peut néanmoins automatiser ce type de décision si l’une de ces conditions est remplie :
Dans ces cas, nous avons quand même la possibilité :
Qu’il s’agisse d’une photo gênante sur un site internet ou d’une information collectée par un organisme que nous jugeons inutile, nous pouvons obtenir son effacement si au moins une de ces situations correspond à notre cas :
Le Règlement européen sur la protection des données personnelles (RGPD) garantit les droits des personnes dont les données personnelles sont collectées et conservées dans des fichiers.
Le droit d’opposition permet à toute personne de s’opposer à ce que ses données soient utilisées par un organisme pour un objectif précis.
L'exercice du droit d’accès permet de savoir si des données nous concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.
L’organisme auprès duquel nous pouvons demander nos « droit d’accès » devra être en mesure de nous faire parvenir une copie des données qu’il détient sur nous et de nous renseigner sur :
Le droit de rectification permet de corriger des données inexactes nous concernant (âge ou adresse erronés) ou de compléter des données (adresse sans le numéro de l’appartement) en lien avec la finalité du traitement.
Le responsable du fichier doit également communiquer, aux autres destinataires des données, les rectifications apportées - par exemple aux partenaires commerciaux - sauf si une telle communication exigerait des efforts disproportionnés.
L’imprudence et la négligence des entreprises et organismes publics ou privés lors du traitement de données sensibles sont désormais directement et lourdement sanctionnées par le RGPD.
Après son entrée en vigueur le 25 mai 2018, les montants de ces sanctions sont extrêmement élevés et ont avant tout un rôle dissuasif.,C’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui est l’autorité chargée du contrôle du RGPD et de veiller au respect de son application.
L’article 83 RGPD liste les conditions permettant à une autorité de contrôle (la CNIL en France) d’imposer une sanction administrative à un organisme ayant violé une des règlementations du RGPD. Ces facteurs doivent être pris en compte pour fixer un montant d’amende proportionnel, dissuasif et effectif par rapport à la violation du règlement européen.
Selon la gravité du dysfonctionnement constaté et lié au RGPD, notamment lorsqu’il s’agit d’un des manquements aux obligations suivantes, une amende d’un montant de 2% du chiffre d’affaires pour les entreprises ou 10 millions d’euros d’amende peuvent être appliqué :
Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende de 4 % du chiffre d’affaires s’agissant des entreprises ou 20 millions d’euros d’amende. Les infractions en question doivent concerner les dispositions suivantes :
D’après l’article 84 du RGPD, les Etat Membres peuvent également mettre en place des sanctions supplémentaires en cas de violation du RGPD, en particulier pour compléter le RGPD. Il s’agit surtout de réprimander les violations qui ne font pas l’objet d’amendes administratives au sens de l’article 83 du RGPD.
On les retrouve en France à la section “Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques” (articles 226-16 à 226-24) du Code pénal. Il existe donc par exemple une sanction pénale en cas de détournement de la finalité des données personnelles lors d’un traitement de données (Article 226-21 du Code pénal).
Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal).
En novembre 2016, deux individus réussissent à dérober les données personnelles (les noms, e-mails, numéros de téléphone…) de 57 millions d’utilisateurs d’Uber (clients comme chauffeurs). Ce vol de données concerne près de 1,4 million de français. Un an plus tard, Uber propose aux hackers 100.000 dollars pour ne pas divulguer l’affaire et ne pas supprimer les données.
La CNIL, après une enquête au niveau européen, condamne le groupe Uber France SAS à 400.000 € d'amendes, en raison du manque de sécurité appliqué par Uber. Les faits ayant eu lieu avant l'entrée en vigueur du règlement général de protection des données, les sanctions plus lourdes prévues n'étaient pas applicables.
L’enquête a permis à la CNIL de comprendre comment ce vol a été possible, les hackers ont d'abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement. Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données.
Les autorités européennes ont eux aussi pris des sanctions :
Après diverses plaintes déposées par les associations None Of Your Business envers Google, la CNIL a mené un contrôle officiel en septembre 2018 et a constaté plusieurs manquements au RGPD. Elle a choisi d'analyser le parcours d'un utilisateur qui créer un compte Google lors de la configuration d'un smartphone sous Android, le système d'exploitation mobile du géant américain.
La Commission Nationale de l’Informatique et des Libertés estime, dans un premier lieu, que Google a manqué à ses obligations de transparence et d’information vis-à-vis du traitement des données des internautes européens. A la différence d’Uber, Google dispose d’un centre de sécurité permettant aux utilisateurs de ses services de limiter la collecte de leurs informations.
Cependant, la CNIL le juge trop flou et assez complexe. Elle explique que
“Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu'il est nécessaire d'activer pour prendre connaissance d'informations complémentaires”. La CNIL estime donc que les utilisateurs n’ont pas d’informations suffisantes afin de pouvoir comprendre l’ampleur des traitements des données par Google.
Enfin, la CNIL reproche au géant américain de forcer le consentement de ses utilisateurs, car, quand un compte Google est créé, le simple fait d’accepter les conditions d’utilisation, implique, par défaut, d’accepter les finalités poursuivies par Google dans le cadre du traitement de ses données. Celles-ci concerne notamment la personnalisation de la publicité.
Cela est en contradiction avec le RGPD qui exige pourtant, que le consentement à l’exploitation d’informations personnelles doit être explicite, l’utilisateur doit donc accepter clairement l’utilisation précise de ses données.
En vertu de l’article 83 du RGPD, même si elle peut aller jusqu'à 4%,la CNIL impose une amende d’un montant de 0,05 % du chiffre d’affaire annuel de l’entreprise. Google ayant en 2017, réalisé 96 milliards d’euros, son montant à payer s’est élevé à 50 millions d’euros. C'est la première fois que la CNIL impose une amende aussi importante à l'encontre d'une entreprise. Jusqu'ici, son record était de 400.000 euros, une sanction prononcée envers l'application de VTC Uber.
Pour les associations None Of Your Business, cette sanction n’est qu’un début de réponse à leurs plaintes. Ils souhaitent dénoncer la violation du consentement et le ciblage publicitaire imposé par les services Google. Ce qu’ils souhaitent désormais c’est que La CNIL réponde rapidement aux autres plaintes déposées à l’encontre de Google en imposant cette fois-ci une sanction d'un montant proportionné à cette entreprise ainsi qu'à l'ampleur et à la durée de la violation des droits des utilisateurs.
La CNIL annonce avoir reçu 742 signalements de fuite de données depuis l’entrée en vigueur du RGPD dans l’Union européenne le 25 mai 2018. Au total, 33,7 millions de personnes ont vu leurs données compromises. Les victimes ne sont pas toutes françaises mais les fuites sont basées en France. La RGPD précise que sur ces 742 fuites de données, 421 sont liées à des piratages informatiques :
Les erreurs humaines restent donc la cause principale de fuites de données derrière la cybercriminalité.
Ce contexte technologique engendre des situations rebelles à toute protection de données à caractère personnel, en raison notamment des difficultés de rattachement à une réglementation déterminée. Comment peut-on ne pas s’interroger sur la capacité de l’Union Européenne à protéger la vie privée des internautes ? Deux conceptions en outre s’opposent lorsqu’il s’agit d’envisager les modalités de protection des données personnelles. Aux États-Unis, certains souhaiteraient que l’on applique le copyright à ces fichiers alors qu’au sein de l’UE, ces données restent la propriété de la personne dont elles émanent, le créateur du fichier n’étant qu’un simple dépositaire. Ces divergences aggravent considérablement la possibilité d’un éventuel consensus en matière de protection de ces données.