Protection des données : l'Europe à l'heure de l'harmonisation

C'est un sigle qui fait du bruit : RGPD, pour Règlement général sur la protection des données. Voté en 2016, il entre en vigueur le vendredi 25 mai 2018 dans tous les pays de l'Union européenne. Son objectif : harmoniser les 28 législations européennes sur la question des données personnelles, en renforçant les droits des citoyens et en instaurant des obligations pour les entreprises et collectivités.

Des amendes jusqu'à 4 % du chiffre d'affaire mondial 

Cette harmonisation intervient dans un contexte. Les polémiques liées aux fuites de données personnelles se sont multipliées, à l'image du scandale Cambridge Analytica. Ce règlement a donc pour but d'assurer une protection optimale des données, en responsabilisant plus les organismes, entreprises en tête. "Si on devait résumer la situation, pour les petites et moyennes entreprises, le RGPD est vu comme une contrainte supplémentaire", confie Jean-Eudes du Mesnil, secrétaire général de la CPME. 

Un grand nombre d'entreprises ne sont pas au courant de cette nouvelle obligation, et considèrent que c'est réservé aux entreprises technologiques. Or, ça concerne toutes les entreprises, de tous les secteurs. Pour celles qui sont au courant, beaucoup ne sont pas prêtes car il y a des processus à mettre en place. 

En cas de non-conformité, les entreprises s'exposeront d'abord à des avertissements, avant une mise en demeure et enfin des sanctions. Des amendes qui pourront aller pour les gros contrevenants jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial,  cela ferait quelque chose comme 4 milliards d'euros pour Google, alors que les sanctions maximales s'élevaient jusqu'ici à 150 000 euros.

S'adapter à l'air du temps

De son côté, la Commission nationale informatique et Libertés (Cnil) calme le jeu. Ce règlement reprend beaucoup de choses déjà dans les textes, tout en s'adaptant à l'air du temps et à l'essor des réseaux sociaux.  Par exemple, la loi prévoyait déjà le rôle de correspondant informatique et libertés. "Le RGPD en a fait une obligation pour les entreprises qui traitent des données sensibles. Un hôpital qui traite des données de santé par exemple : la personne va avoir en charge de veiller à la bonne application du règlement. Mais l'immense majorité des petites entreprises, qui ne sont pas en lien avec la donnée, n'ont pas besoin de se doter d'un délégué à la protection des données", explique Thomas Dautieu, le directeur adjoint à la conformité à la Cnil.

Une douzaine d'actions de groupe lancées après le 25 mai

Les géants d'internet, les Gafam comme on les appelle, cherchent à se mettre en conformité. Vous l'avez sans doute remarqué, plusieurs réseaux sociaux comme Facebook par exemple, vous proposent d'accepter ses nouvelles conditions générales d'utilisation (CGU).  Mais, pour le collectif La Quadrature du Net, ce consentement ne peut être valide, car il n'est pas libre. "Les acteurs d'Internet se sont développés de façon très rapide en pensant que le droit n'allait pas les toucher. Aujourd'hui, la fête est finie", précise Arthur Messaud, membre de la Quadrature du Net. 

Le RGPD prévoit très clairement qu'il est interdit de céder ces données personnelles en contrepartie d'un service. Tout ça devient illicite. L'association prépare une douzaine d'actions de groupe contre ces géants du Net. Elles doivent être déposées dans la semaine suivant le 25 mai devant les autorités de protection des données de différents Etats européens, comme la CNIL en France.