La protection des données personnelles (3 minutes pour comprendre l’Europe – n°11)

Que font les entreprises avec mes données personnelles ? Alors que la question taraude de nombreux citoyens, l’Union européenne a défini, dès 1995, ce qu’était une donnée personnelle. En 2016, cette directive a été complétée par un règlement : le règlement général sur la protection des données (RGPD).

Qu’est-ce qu’une donnée à caractère personnel ?

Selon la directive européenne de 1995, une donnée à caractère personnel correspond à « toute information concernant une personne physique identifiée ou identifiable ». Que cette information permette donc d’identifier la personne « directement » (son nom, son prénom) ou « indirectement » (numéro d’identification, données de localisation, identifiant en ligne… ou encore « éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »).

Pourquoi il est important de les protéger ? 

Le croisement de plusieurs données personnelles peut rendre une personne identifiable. C’est le cas par exemple d’une base de données marketing qui contient des informations « sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y-compris si leur nom n’est pas stocké (…) dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations », explique la CNIL, l’agence française chargée de réguler les données personnelles liées au numérique.

Avec le développement du numérique, les données à caractère personnel sont devenues bien plus accessibles et utilisées par tous types d’acteurs.

Les entreprises commerciales, par exemple, peuvent proposer des publicités ciblées à un consommateur en fonction de ses recherches sur internet, ses achats enregistrés sur une carte de fidélité, son inscription à un club de sport ou même après avoir constaté, grâce à ses données de géolocalisation, qu’il se rend régulièrement dans un centre de santé…

Une connaissance de la vie privée qui peut s’avérer plus intrusive encore lorsqu’elle est mise à profit par des banques, des assurances ou des services de renseignement…

Que dit le RGPD ?

Il a fallu 4 ans aux Etats membres et aux institutions européennes pour se mettre d’accord, et deux années supplémentaires pour faire appliquer la nouvelle législation européenne sur la protection des données. Au final le règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans les Etats membres.

Celui-ci donne le droit aux citoyens de recevoir des informations claires et compréhensibles sur les personnes qui traitent leurs données, sur le type de données traitées, sur la raison pour laquelle elles sont traitées, ou encore d’obtenir l’accès aux données à caractère personnel qu’une organisation détient sur eux.

Il procure également le droit d’obtenir, de la part d’un prestataire de service (par exemple un opérateur mobile), la transmission de ses données à caractère personnel à un autre prestataire de service. C’est ce qu’on appelle la « portabilité des données ».

Il établit en outre le « droit à l’oubli » : toute personne peut dorénavant demander que ses données à caractère personnel soient supprimées.

Les entreprises doivent enfin obtenir un consentement univoque des individus avant d’utiliser leurs données et indiquer clairement l’usage qui en sera fait. Si les données sont perdues ou volées, et si la violation de données ainsi commise est susceptible de porter préjudice, l’entreprise d’origine doit informer les personnes concernées.

Et sinon ?

Lorsqu’une entreprise ne respecte pas le RGPD, elle peut se voir infliger une amende allant jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires mondial.

En janvier 2019, la CNIL a ainsi demandé à Google de débourser 50 millions d’euros pour non respect du RGPD. En cause : les informations fournies lors de la création d’un compte Google sur un téléphone Android n’étaient ni facilement accessibles, ni facilement compréhensibles, et le consentement des utilisateurs était présélectionné.