Passer au contenu

RGPD : un nouveau droit à la portabilité des données pour toi, le citoyen

RGPD ou GDPR, vous connaissez ? Si vous ne savez pas ce que signifient ces deux nouveaux acronymes, ne vous inquiétez pas, vous allez l’apprendre rapidement.

Article rédigé par Maître Olivier Iteanu, Avocat, chargé d’enseignement aux Universités Paris I Sorbonne et Paris Saclay. Son dernier ouvrage “Quand le digital défie l’Etat de droit” (Ed. Eyrolles) est paru en octobre 2016..
Cet article s’inscrit dans notre rubrique “Paroles de Pros” dans laquelle des acteurs réputés du numérique prennent la parole sur des sujets liés à l’impact d’internet et des nouvelles technologies sur nos modes de vie.
>> En savoir plus sur Paroles de Pros et retrouver tous les articles de la rubrique.



Règlement Général sur la Protection des Données
pour RGPD et en anglais General Data Protection Regulation pour GDPR, il s’agit d’un nouveau règlement communautaire entré en vigueur en mai 2016, mais dont l’application a été différée de deux ans, au 25 mai 2018.

Il concerne la réglementation des données à caractère personnel ou données personnelles dans l’Union européenne. Comme il s’agit d’un Règlement, il va s’appliquer directement et automatiquement dans les 27 Etats de l’Union à la date fatidique du 25 mai 2018.

Pour rappel, une donnée à caractère personnel est une information qui est susceptible de, directement ou indirectement, identifier une personne physique. Il s’agit du nom patronymique ou d’une adresse électronique de type jean.martin@presse-citron.fr pour une information directe. Il s’agit de la plaque minéralogique de votre véhicule, éventuellement d’une adresse ip pour une information indirecte, car ces suites de chiffres et de lettres peuvent mener à l’identification d’une personne physique.

A l’inverse, une adresse électronique non nominative de type contact ou information ou abuse@presse-citron.fr qui est collective et accessible à tous, n’est pas une donnée personnelle.

La fin de la Loi informatique et libertés, mais pas de la CNIL

Le RGPD va ainsi venir se substituer en France, à la Loi informatique et libertés de 1978 qui a créé la CNIL, une des premières lois en Europe sur ce thème. Le RGPD est d’ailleurs une évolution majeure de cette Loi bien connue des français, plus qu’une révolution, car les objectifs, les grands principes restent inchangés et sortent renforcés. La CNIL, également, reste au centre du dispositif, comme elle l’est depuis près de 40 ans.

Le RGPD est un texte très lourd : 173 considérants pour son préambule, 99 articles, des dizaines de pages, des milliers de mots, 26 définitions à l’article 4, des nouveaux sigles et acronymes en pagaille… Autant dire que les quelques mois qui nous restent pour nous mettre au parfum ne seront pas de trop.

Un pouvoir de sanction de la CNIL renforcé qui fera réfléchir les GAFA…

Parmi les innovations qui entreront en application, on trouve le pouvoir de sanction de la CNIL qui s’est trouvé bloqué pendant de nombreuses années à 150.000 euros, et va s’élever désormais pour les infractions les plus graves, à 4% du chiffre d’affaires mondial total de l’exercice précédent, ce qui devrait faire réfléchir certaines grandes entreprises globales du digital, bien connues pour violer la loi et les droits des européens dans ce domaine de manière continue et massive depuis plus 10 ans.

On trouve aussi de nouveaux droits qui sont reconnus aux citoyens de l’Union européenne. Parmi ces droits, le droit à la portabilité des données.

En pratique cela signifie qu’une personne physique qui aura confié ses données personnelles à celui qu’on appelle le responsable de traitement, pourra exiger de ce dernier qu’il lui restitue ses données « dans un format structuré, couramment utilisé et lisible par la machine ».

Bien sur, le RGPD comme tous les textes de lois complexes d’aujourd’hui, comporte à côté du principe, des limitations, des exceptions, mais la très grande majorité des traitements est concernée.

Prenons le cas du e-commerce, celui par exemple d’un service de musique en streaming payant.

Si le client personne physique, le décide, il peut demander à son prestataire de lui restituer les données qu’il a collectées de lui. Il peut même, précise le RGPD, lui demander de transférer ses données à son nouveau prestataire de musique en streaming.

Le G29, qui regroupe tous les CNIL européennes, va encore plus loin, considérant qu’il peut exiger de son prestataire de lui restituer, et donc de se déposséder et même détruire, les données de trafic comme les historiques de navigation ou de géolocalisation si elles existent.

Nous irons même encore plus loin, en considérant que l’esprit du texte commande même que les données fabriquées par le prestataire à partir des données administratives et de trafic, comme la construction d’un profil par exemple, devraient être concernées par le droit à portabilité. Le non-respect de ce droit peut coûter l’amende administrative de 4% évoquée plus haut.

Pour que le RGPD entre dans les têtes, il revient désormais à chaque citoyen de faire son office et d’exiger son droit, saisir les tribunaux ou les autorités de contrôle pour faire sanctionner les récalcitrants.

L’Union européenne a offert un cadeau avec le RGPD mais il revient au citoyen européen de se prendre en mains et ne pas attendre que d’autres s’en chargent.

Avant l’arrivée massive de l’internet des objets, il est encore temps.

 

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Newsletter 🍋

Abonnez-vous, et recevez chaque matin un résumé de l’actu tech

3 commentaires
3 commentaires
  1. Les données de traffic ou administrative peuvent être anonymisées ou pseudonymisées, ce qui les désensibilise et les fait donc sortir du cadre des données personnelles. En outre, elle’s ne permettent normalement pas d’identifier une presinne, même indirectement. Elles ne sont donc pas concernées par le droit à la portabilité. Le RGPD est une grosse avancée pour le droit des citoyens, il ne faut pas lui faire dire n’importe quoi non plus…Quand à exiger que les données soient transmises, dans la pratique, il va y avoir autant de schéma de structure que de fournisseurs, je doute qu’il soit réellement utilisable dans la pratique (intégrer des bouts de xml/json exotiques, c’est pas marrant, surtout si l’expéditeur s’amuse à changer son format toute les semaines). Donc, là encore, on va limiter les fantasmes sur tout ce qu’on pourrait en faire…Ca fait des années qu’on peut changer de banques en faisant migrer ses comptes épargne… sur le papier. Dans la pratique, c’est toujours moins compliqué de tout fermer pour tout réouvrir de l’autre coté, sinon , ça prend des années…

  2. Quelqu’un a-t-il compté le nombre d’amendes que la CNIL inflige chaque année, j’ai l’impression qu’elles se comptent sur les doigts d’une main (mais je peux me tromper donc si quelqu’un a des données/statistiques factuelles je suis preneur) donc avoir le droit d’infliger une amende jusqu’à 4% du CA mondial ne va pas changer grand-chose si la CNIL reste aussi passive.

  3. Tout à fait, la portabilité des données est une utopie et il faut vérifier dans quel cas cela peut-être vraiment utile.L’exemple des données de pour le site de musique me laisse dubitatif, quelles données seraient à transférer vers le nouveau site ? la liste de ce que j’ai acheté sur l’autre ? mes coordonnées personnelles ? mes playlist ? encore faut-il que de l’autre côté cela ai un sens, par exemple si j’ai acheté un morceau de musique présent dans le catalogue de l’ancien site mais pas présent dans le nouveau on fait comment ? et encore faut-il que se soit le même musique (il peut exister en exister plusieurs version/enregistrements).Enfin bref cette directive en soit est intéressante mais je ne vois vraiment pas comment cela pourrait être mis en place dans la réalité (rien que pour des données médicales par exemple c’est la croix et la bannière pour les transférer d’un logiciel à un autre pour peu que ça soit possible).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *