Protection des données personnelles en ligne : ce qui va changer

Protection des données personnelles en ligne : ce qui va changer
Le règlement européen sur la protection des données entrera en vigueur le 25 mai 2018 - © NicoElNino

Le gouvernement planche sur un projet de loi relatif à la protection des données personnelles en ligne en application d’un règlement européen. Il renforce les droits des particuliers et responsabilise les entreprises et les administrations. 

La garde des Sceaux, Nicole Belloubet, a présenté mercredi 13 décembre en Conseil des ministres le projet de loi relatif à la protection des données personnelles destiné à adapter la législation française au règlement européen sur la protection des données personnelles (RGDP) qui entrera en vigueur le 25 mai 2018 dans tous les Etats membres de l’Union européenne. Le texte vise à adapter la loi informatique et libertés de 1978 au règlement européen.

Le RGPD crée un cadre juridique unifié de protection des données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants fournissant des biens et services aux personnes résidant sur le territoire de l’Union européenne.

Création d’un droit à la portabilité des données personnelles

Le règlement instaure de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles. Cela signifie que vous pourrez :

  • récupérer pour votre usage personnel les données personnelles que vous avez fournies à un organisme et les stocker sur un appareil ou un cloud privé ;
  • ou bien demander à les transférer directement à un autre organisme.

Par exemple, si vous avez rempli un formulaire sur un site de recherche d’emploi, vous pourrez demander à récupérer les données fournies (nom, prénom, diplômes, expériences professionnelles, etc.). Si vous écoutez de la musique en streaming, vous pourrez demander à Deezer de transférer vos playlists directement à Spotify, ou inversement.

Les données doivent être transférées dans un format lisible. Ce droit à la portabilité concerne les données que vous avez volontairement fournies (lors de la création d’un compte en ligne par exemple) ou qui ont été générées par votre activité (l’historique des achats enregistrés sur une carte de fidélité, les recherches effectuées sur un site d’offres d’emploi, etc.). En revanche, les données personnelles qui sont générées par le traitement des données brutes initiales sont exclues puisqu’elles sont créées par l’organisme.

Consentement des parents pour les données des mineurs

Par ailleurs, les mineurs de moins de 16 ans seront mieux protégés. Le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles puissent être collectées, notamment sur les réseaux sociaux.

Contrôle de l’utilisation des données a posteriori

Pour les entreprises et les administrations, le contrôle a priori par la Commission nationale de l’informatique et des libertés (Cnil), basé sur les déclarations et autorisations préalables des traitements de données, sera remplacé par un contrôle a posteriori, sauf pour les données les plus sensibles (données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes par exemple). L’objectif est de responsabiliser les acteurs privés et publics. 

Concrètement, « les responsables de traitement devront mettre en œuvre toutes les mesures nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service et par défaut », explique la Cnil. « Ils devront veiller à limiter la quantité de données traitées dès le départ » en favorisant par exemple les cases à cocher plutôt que les zones de commentaires libres sur les formulaires de collecte.

Ils devront également être capables de prouver, en cas de contrôle, que les données sont bien protégées et prévenir les intéressés si celles-ci ont été dérobées.

Sanctions plus lourdes par la Cnil

En contrepartie de cette responsabilisation des entreprises et administrations, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées. Elle pourra prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou, pour une entreprise, 4 % du chiffre d’affaires annuel mondial.