Beaucoup plus strict, le nouveau règlement général européen sur la protection des données se veut surtout plus rassurant et sécurisant pour tous. Il vise ainsi plusieurs objectifs…

Harmonisation européenne

Au sein de l’Europe, en matière de traitement et de libre circulation des données à caractère personnel, chaque citoyen bénéficie déjà d’une protection commune. Les 28 pays membres appliquent en effet la directive 95/46/CE. En France, cette dernière a été transposée en 2004 dans la loi Informatique et Libertés du 6 janvier 1978. Mais aujourd’hui, elle présente des limites.

D’une part, en raison de son ancienneté : elle date officiellement de 1995, tandis qu’Internet n’en était qu’à ses premiers balbutiements, et qu’on ne parlait pas encore de Big Data, de réseaux sociaux, d’objets connectés, ou encore de Cloud.

Mais surtout, cette directive n’a pas été appliquée de la même manière dans tous les pays. C’est en effet le propre d’une directive : il s’agit d’un acte juridique pris par le Conseil de l’UE, lequel fixe un certain nombre d’objectifs à atteindre dans des délais impartis, mais laisse les Etats libres de le faire à leur manière. D’où de nombreuses disparités.

Le RGPD va avoir pour mission première de gommer les différences. Comme c’est une loi européenne, et non une directive à transposer, les Etats membres vont devoir l’appliquer telle quelle, de façon uniforme. Objectifs, délais et moyens pour y parvenir seront désormais les mêmes pour tous.

Renforcement du droit des personnes

Aujourd’hui, par le biais de la directive 95/46/CE, tout citoyen européen se voit octroyer un droit d’accès, de rectification et d’opposition portant sur les informations qui le concernent, et qui ont été collectées par un tiers, avec son consentement préalable.

Avec l’entrée en vigueur du RGPD en mai 2018, ces droits vont être étendus et renforcés, de manière à permettre aux intéressés d’encore mieux contrôler leurs traces numériques, et d’agir dessus si besoin.

Tous, même les mineurs, devront ainsi être clairement informés concernant l’utilisation de leurs données. Ils pourront aussi faire jouer leur droit à l’effacement ou à l’oubli, réclamer une limitation du traitement, demander à récupérer leurs données (droit à la portabilité des données), ou encore exiger réparation en cas de violation du règlement.

Développer la notion d’accountability ou de responsabilisation

L’idée du RGPD est d’instaurer un climat de confiance entre le collecteur de données personnelles et le collecté. Ce dernier doit pouvoir être assuré que toutes les informations recueillies qui le concernent seront sécurisées, soumises à l’obligation de confidentialité, et utilisées à bon escient, conformément à ce qui aura été stipulé préalablement, au moment du consentement.

Pour ce faire, la responsabilité de ceux qui collectent et utilisent les données est dorénavant clairement engagée.

Outre les aménagements organisationnels et techniques qu’ils vont devoir prévoir pour assurer au maximum la sécurité des systèmes informatiques, ils vont aussi avoir l’obligation de mettre en place un important système d’autocontrôle (nomination d’un Délégué à la Protection des Données, études d’impact, tenue d’un registre des traitements pour garantir leur traçabilité, etc.). A tout moment, ils auront à faire preuve de beaucoup de rigueur, de transparence, ainsi que d’une grande réactivité en cas d’éventuel dérapage ou piratage.

A venir : RGPD : qui est concerné par la mise en conformité ?

Nathalie Dentico

Rédactrice Web Ylneo

%d blogueurs aiment cette page :