RGPD : un nouveau droit à la portabilité des données pour toi, le citoyen

RGPD ou GDPR, vous connaissez ? Si vous ne savez pas ce que signifient ces deux nouveaux acronymes, ne vous inquiétez pas, vous allez l’apprendre rapidement.

Données personnelles

Olivier IteanuArticle rédigé par Maître Olivier Iteanu, Avocat, chargé d’enseignement aux Universités Paris I Sorbonne et Paris Saclay. Son dernier ouvrage « Quand le digital défie l’Etat de droit » (Ed. Eyrolles) est paru en octobre 2016..
Cet article s’inscrit dans notre rubrique « Paroles de Pros » dans laquelle des acteurs réputés du numérique prennent la parole sur des sujets liés à l’impact d’internet et des nouvelles technologies sur nos modes de vie.
>> En savoir plus sur Paroles de Pros et retrouver tous les articles de la rubrique.


rss-blog-icontwitter-iconlinkedin-icon


Règlement Général sur la Protection des Données
pour RGPD et en anglais General Data Protection Regulation pour GDPR, il s’agit d’un nouveau règlement communautaire entré en vigueur en mai 2016, mais dont l’application a été différée de deux ans, au 25 mai 2018.

Il concerne la réglementation des données à caractère personnel ou données personnelles dans l’Union européenne. Comme il s’agit d’un Règlement, il va s’appliquer directement et automatiquement dans les 27 Etats de l’Union à la date fatidique du 25 mai 2018.

Pour rappel, une donnée à caractère personnel est une information qui est susceptible de, directement ou indirectement, identifier une personne physique. Il s’agit du nom patronymique ou d’une adresse électronique de type jean.martin@presse-citron.fr pour une information directe. Il s’agit de la plaque minéralogique de votre véhicule, éventuellement d’une adresse ip pour une information indirecte, car ces suites de chiffres et de lettres peuvent mener à l’identification d’une personne physique.

A l’inverse, une adresse électronique non nominative de type contact ou information ou abuse@presse-citron.fr qui est collective et accessible à tous, n’est pas une donnée personnelle.

La fin de la Loi informatique et libertés, mais pas de la CNIL

Le RGPD va ainsi venir se substituer en France, à la Loi informatique et libertés de 1978 qui a créé la CNIL, une des premières lois en Europe sur ce thème. Le RGPD est d’ailleurs une évolution majeure de cette Loi bien connue des français, plus qu’une révolution, car les objectifs, les grands principes restent inchangés et sortent renforcés. La CNIL, également, reste au centre du dispositif, comme elle l’est depuis près de 40 ans.

Le RGPD est un texte très lourd : 173 considérants pour son préambule, 99 articles, des dizaines de pages, des milliers de mots, 26 définitions à l’article 4, des nouveaux sigles et acronymes en pagaille… Autant dire que les quelques mois qui nous restent pour nous mettre au parfum ne seront pas de trop.

Un pouvoir de sanction de la CNIL renforcé qui fera réfléchir les GAFA…

Parmi les innovations qui entreront en application, on trouve le pouvoir de sanction de la CNIL qui s’est trouvé bloqué pendant de nombreuses années à 150.000 euros, et va s’élever désormais pour les infractions les plus graves, à 4% du chiffre d’affaires mondial total de l’exercice précédent, ce qui devrait faire réfléchir certaines grandes entreprises globales du digital, bien connues pour violer la loi et les droits des européens dans ce domaine de manière continue et massive depuis plus 10 ans.

On trouve aussi de nouveaux droits qui sont reconnus aux citoyens de l’Union européenne. Parmi ces droits, le droit à la portabilité des données.

En pratique cela signifie qu’une personne physique qui aura confié ses données personnelles à celui qu’on appelle le responsable de traitement, pourra exiger de ce dernier qu’il lui restitue ses données « dans un format structuré, couramment utilisé et lisible par la machine ».

Bien sur, le RGPD comme tous les textes de lois complexes d’aujourd’hui, comporte à côté du principe, des limitations, des exceptions, mais la très grande majorité des traitements est concernée.

Prenons le cas du e-commerce, celui par exemple d’un service de musique en streaming payant.

Si le client personne physique, le décide, il peut demander à son prestataire de lui restituer les données qu’il a collectées de lui. Il peut même, précise le RGPD, lui demander de transférer ses données à son nouveau prestataire de musique en streaming.

Le G29, qui regroupe tous les CNIL européennes, va encore plus loin, considérant qu’il peut exiger de son prestataire de lui restituer, et donc de se déposséder et même détruire, les données de trafic comme les historiques de navigation ou de géolocalisation si elles existent.

Nous irons même encore plus loin, en considérant que l’esprit du texte commande même que les données fabriquées par le prestataire à partir des données administratives et de trafic, comme la construction d’un profil par exemple, devraient être concernées par le droit à portabilité. Le non-respect de ce droit peut coûter l’amende administrative de 4% évoquée plus haut.

Pour que le RGPD entre dans les têtes, il revient désormais à chaque citoyen de faire son office et d’exiger son droit, saisir les tribunaux ou les autorités de contrôle pour faire sanctionner les récalcitrants.

L’Union européenne a offert un cadeau avec le RGPD mais il revient au citoyen européen de se prendre en mains et ne pas attendre que d’autres s’en chargent.

Avant l’arrivée massive de l’internet des objets, il est encore temps.

 


Nos dernières vidéos