Le règlement général de la protection des données : De quoi parle-t-on ?

Le RGPD, est amené à prendre une place de plus en plus importante dans l'actualité. En effet, ce texte, voté en 2016, sera appliqué dans l'Union européenne à partir du 25 mai 2018.
Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits.
Ce texte couvre l’ensemble des résidents de l’Union européenne.

L’objectif du RGPD

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa relative vétusté, accentuée par l’explosion du numérique et l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.
Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne ainsi que dans la vingtaine d’autres pays de l’Union. De cette façon, la fragmentation juridique sur le Vieux Continent s’en trouve atténuée.

Pourquoi une telle initiative ?

L’idée initiale vient du constat fait par la Commission européenne, en admettant que la législation relative à la RGDP qui est entrée en vigueur en 1995, avait besoin d’être actualisée pour tenir compte des évolutions technologiques. C’est dans cette perspective qu’en 2012, Bruxelles a proposé un nouveau règlement, dont la carrière législative au niveau européen s’est étalée jusqu’en 2016, avec notamment le 15 décembre 2015, un accord entre le Conseil, le Parlement et la Commission.
Le parcours du texte au niveau européen s’est fait dans un contexte particulier : le 13 mai 2014, la Cour de justice de l’Union européenne rendait son fameux arrêt qui oblige essentiellement Google à donner satisfaction aux internautes du Vieux Continent qui demandent le retrait de résultats qui les concernent, consacrant ainsi l’existence d’un droit au déréférencement (sorte de droit à l’oubli light) sur le net.
Un an plus tard, le 1er octobre 2015, la même Cour de justice a invalidé le régime juridique dit du « Safe Harbor » qui permettait aux entreprises américaines d’importer aux USA des données personnelles de citoyens européens. Celui-ci a été jugé invalide en raison des révélations d’Edward Snowden sur le programme PRISM, par lequel la NSA accèderait aux données stockées aux USA.

L’applicabilité du texte

Le déploiement du RGPD dans l’espace européen se fait en deux temps : il y a d’abord eu, le 14 avril 2016, l’adoption définitive du texte par le Parlement, suivi quelques jours plus tard, le 27, de sa promulgation au Journal officiel. Cependant, son application ne s’est pas déroulée au même moment : il a été décidé de la décaler de deux ans, au 25 mai 2018. Dans à peine plus de trois mois.
Ce laps de temps permet à la fois aux législations nationales et aux entités procédant à la collecte et au traitement des données personnelles de s’y préparer, en transposant dans le droit des États membres les dispositions du RGPD et en adaptant les traitements déjà mis en œuvre pour qu’ils soient en conformité avec le texte. Après le 25 mai, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions.

Données Personnelles

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la Cnil et dont l’intérêt public est avéré.

Quesque le règlement change pour nous concrètement ?

Le RGPD met en place ou conforte un certain nombre de protections. Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’ils s’assurent que les enfants en-dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.
Le RGPD inclut aussi une reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, le droit d’être informé en cas de piratage des données.
Les internautes pourront aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.