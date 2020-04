Synthèse

Isaure Magnien / Vincent Lequeux

Que font les entreprises avec mes données personnelles ? Alors que la question taraude de nombreux citoyens, l’Union européenne a défini, dès 1995, ce qu’était une donnée personnelle. En 2016, cette directive a été complétée par un règlement : le règlement général sur la protection des données (RGPD). Evaluez plus bas vos connaissances sur le sujet en répondant à notre quiz !

Selon la directive européenne de 1995, une donnée à caractère personnel correspond à « toute information concernant une personne physique identifiée ou identifiable ». Cette définition englobe les informations permettant d’identifier la personne « directement » (son nom, son prénom) et « indirectement » (numéro d’identification, données de localisation, identifiant en ligne, ou encore tous les « éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »).

Pourquoi il est important de les protéger ?

Le croisement de plusieurs données personnelles peut rendre une personne identifiable. C’est le cas par exemple d’une base de données marketing qui contient des informations « sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y-compris si leur nom n’est pas stocké (…) dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations », explique la CNIL, l’agence française chargée de réguler les données personnelles liées au numérique.

Avec le développement du numérique, les données à caractère personnel sont devenues bien plus accessibles et utilisées par tous types d’acteurs.

Les entreprises commerciales, par exemple, peuvent proposer des publicités ciblées à un consommateur en fonction de ses recherches sur internet, ses achats enregistrés sur une carte de fidélité, son inscription à un club de sport ou même après avoir constaté, grâce à ses données de géolocalisation, qu’il se rend régulièrement dans un centre de santé…

Une connaissance de la vie privée qui peut s’avérer plus intrusive encore lorsqu’elle est mise à profit par des banques, des assurances ou des services de renseignement… En 2016 aux Etats-Unis, dans le cadre de la campagne présidentielle du candidat Donald Trump, l’entreprise Cambridge Analytica a exploité les données personnelles de 220 millions de citoyens américains afin de leur proposer des publicités politiques ciblées. La même pratique aurait été employée au Royaume-Uni, lors du référendum sur le Brexit : l’usage des données personnelles s’invite ainsi au coeur du processus démocratique.

Que dit le RGPD ?

Il a fallu 4 ans aux Etats membres et aux institutions européennes pour se mettre d’accord, et deux années supplémentaires pour faire appliquer la nouvelle législation européenne sur la protection des données. Au final le règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans les Etats membres.

Celui-ci donne le droit aux citoyens de recevoir des informations claires et compréhensibles sur les personnes qui traitent leurs données, sur le type de données traitées, sur la raison pour laquelle elles sont traitées, ou encore d’obtenir l’accès aux données à caractère personnel qu’une organisation détient sur eux.

Il procure également le droit d’obtenir, de la part d’un prestataire de service (par exemple un opérateur mobile), la transmission de ses données à caractère personnel à un autre prestataire de service. C’est ce qu’on appelle la « portabilité des données ».

Il établit en outre le « droit à l’oubli » : toute personne peut dorénavant demander que ses données à caractère personnel soient supprimées.

Les entreprises doivent enfin obtenir un consentement univoque des individus avant d’utiliser leurs données et indiquer clairement l’usage qui en sera fait. Si les données sont perdues ou volées, et si la violation de données ainsi commise est susceptible de porter préjudice, l’entreprise d’origine doit informer les personnes concernées.

Et sinon ?

Lorsqu’une entreprise ne respecte pas le RGPD, elle peut se voir infliger une amende allant jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires mondial.

En janvier 2019, la CNIL a ainsi demandé à Google de débourser 50 millions d’euros pour non respect du RGPD. En cause : les informations fournies lors de la création d’un compte Google sur un téléphone Android n’étaient ni facilement accessibles, ni facilement compréhensibles, et le consentement des utilisateurs était présélectionné.

Testez vos connaissances !

Toute l’Europe vous propose un quiz pour parfaire votre connaissance de l’histoire et du fonctionnement de l’Union européenne grâce à des réponses commentées. Avez-vous bien retenu les informations glissées dans le texte que vous venez de lire ? La réponse après ce quiz !