Synthèse

Isaure Magnien

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en vigueur dans tous les pays de l’Union européenne, remplaçant la directive précédente de 1995. En quoi consiste ce règlement ? Toute l’Europe fait le point.

Résultat d’un long processus commencé en 2012, le règlement général sur la protection des données (RGPD) est entré en vigueur dans tous les Etats membres de l’Union européenne le 25 mai 2018. Un accord avait été trouvé entre les Vingt-Huit dès 2016 et prévoyait un délai de 2 ans pour permettre aux pays d’adapter leur législation nationale.

Protéger ses données dans un espace globalisé

La protection des données est un droit inscrit dans la Charte des droits fondamentaux de l’UE. Ainsi, dès 1995, une première directive avait été adoptée. Le règlement qui entre en application cette année en est une réforme, qui tient compte des évolutions technologiques des dernières années et des problématiques qui en sont nées.

En effet, en Europe, 250 millions de personnes utilisent désormais internet au quotidien et échangent de plus en plus de données à caractère personnel : banque en ligne, achats, réseaux sociaux, déclarations d’impôts en ligne… Pouvoir protéger ces données est donc une nécessité, d’autant plus que les risques sont nombreux : divulgation non autorisée, vol d’identité, fraude…

Le RGPD définit les données à caractère personnel comme « des informations se rapportant à une personne physique identifiée ou identifiable ». Il peut s’agir par exemple d’un nom, d’un prénom, d’une adresse mail, d’une localisation, d’un numéro de carte d’identité, ou d’une adresse IP. Les règles s’appliquent lorsqu’elles sont utilisées, conservées ou collectées numériquement ou sur papier.

Certaines données sont très sensibles. Par exemple, celles concernant la santé, l’origine raciale ou ethnique, les opinions politiques ou encore l’orientation sexuelle. Elles font donc l’objet de protections particulières. Elles ne peuvent ainsi pas être collectées ou utilisées, sauf en cas de consentement explicite de l’individu ou si la législation nationale l’autorise.

Données personnelles : que prévoit l’Union européenne ?

Que contient le RGPD ?

La directive de 1995 avait déjà fixé les principes généraux ainsi que les droits liés à la protection des données personnelles. La réforme de ce texte, qui est entrée en vigueur le 25 mai 2018, clarifie notamment les règles applicables aux entreprises : quelles sont les données que les entreprises peuvent récolter, et pour quel usage ? Il renforce également les droits des citoyens, en leur octroyant un droit à l’oubli, un droit à la portabilité des données et le droit à l’information sur les failles de sécurité, qui n’étaient auparavant pas présents. Le règlement révisé réaffirme enfin le rôle de contrôle et de supervision des autorités nationales, comme la Commission nationale de l’informatique et des libertés (CNIL) en France.

Autre nouveauté mise en avant par le règlement : une plus forte coopération entre les autorités nationales. Pour cela, un comité européen de la protection des données (EDPB) est créé, composé de représentants des autorités de protection des données de tous les Etats membres. Il vient compléter l’action du contrôleur européen de la protection des données (EDPS). L’EDPB s’assure que la loi sur la protection des données est bien appliquée par tous les Etats membres et que les autorités de protection des données coopèrent efficacement.

Le nouveau règlement donne enfin à l’Union européenne les armes pour lutter efficacement contre les fraudes perpétrées par des entreprises multinationales. Il introduit en effet des sanctions en cas de violation du règlement. Le RGPD s’applique de fait à toutes les entreprises ayant un exercice au sein de l’Union européenne, et ce même si leur siège se trouve en dehors de l’UE.

Ainsi, en cas de non-respect du règlement, l’article 83 précise que les violations font l’objet « d’amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu« . De plus, en cas de « non-respect d’une injonction émise par l’autorité de contrôle« , des amendes administratives « pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » également.

Pour le reste, le texte renforce surtout la législation existante.

Le règlement prévoit plusieurs droits pour les individus :

– Le droit de savoir ce que l’entreprise fait avec les données, le droit à l’information

– Le droit d’accès aux données

– Le droit de s’opposer à la récolte des données

– Le droit de corriger des données

– Le droit à l’oubli et de faire supprimer ses données

– Le droit de regard en cas de décisions automatisées

– Le droit à la portabilité des données

– Le droit d’information en cas de mise en péril ou d’atteinte aux données

Quelques exceptions

Si dans les faits les règles devront être appliquées uniformément partout en Europe, quelques marges de manœuvre sont cependant laissées aux Etats membres. Entre autres, ils peuvent décider de fixer l’âge à partir duquel un mineur peut consentir au traitement de ses données personnelles de 13 à 16 ans. En cas de non-respect de la législation par une administration publique, les pays peuvent également choisir d’appliquer ou non des sanctions financières.

Les administrations publiques dans le champ de la justice et du pénal font elles aussi l’objet de dispositions particulières. Ainsi, une directive entrée en vigueur elle aussi le 25 mai précise le régime applicable à ces administrations.

Notons enfin que toutes les entreprises privées ne seront pas logées à la même enseigne : des exceptions sont prévues pour les petites et moyennes entreprises de moins de 250 salariés. Pour éviter une trop grande lourdeur administrative, elles sont en effet exemptées de désigner ou de recruter un délégué à la protection des données, ce qui est obligatoire dans les autres entreprises. Elles ne sont pas non plus tenues d’avoir un registre de traitement des données.