En matière de protection des données, des évolutions significatives ont eu lieu ces dernières années avec l’entrée en vigueur du règlement général sur la protection des données (RGPD) en mai 2018. Son objectif : renforcer la confidentialité et la sécurité des individus au sein de l’Union européenne. Mais que contiennent les règlementations et à qui s’appliquent-elles ?
L’origine du texte
L’initiative du RGPD voit le jour en 2012 alors que la Commission européenne souhaite établir une réforme globale de la protection des données des individus. Il faut dire qu’en la matière, le dernier texte en date remonte à 1995. Pour l’instance européenne, il s’agit donc de moderniser la directive en vigueur et d’en rédiger une nouvelle qui inscrirait un volet policier et judiciaire. Après de nombreuses négociations, le règlement est adopté par l’Union européenne (UE) le 4 mai 2016. Celui-ci est transposé dans la loi française deux ans plus tard.
Plusieurs pays extracommunautaires se sont inspirés de ce texte. C’est le cas, par exemple, aux États-Unis avec le California Consumer Privacy ou en Chine avec la Personal Information Protection Law.
Que contient le RGPD ?
Parmi les multiples dispositions contenues dans le RGPD figurent :
- le principe d’un cadre harmonisé pour tous les États membres de l’Union européenne;
- l’application du règlement aux entreprises installées en dehors de l’UE;
- le consentement explicite et positif, notamment à travers l’acceptation des cookies, le contrôle de l’utilisation des données remplies dans les formulaires de contact, etc. ;
- le droit d’accès aux données à caractère personnel et le droit à leur rectification ;
- le droit à l’effacement des données dans les meilleurs délais ;
- le droit d’opposition de la personne concernée;
- la notification en cas de fuite de données;
- la responsabilisation des entreprises ;
- l’élaboration de codes de conduite et de certifications ;
- etc.
À qui s’adresse le RGPD ?
Le texte de loi concerne tous les organismes qui traitent les données personnelles. Cela inclut au premier chef les intégrateurs de logiciels, les hébergeurs de sites internet ou les agences de communication qui sont installés dans l’Union européenne.
Mais la législation s’applique également aux structures extracommunautaires qui fournissent des biens ou des services aux résidents européens.
Ce règlement de protection des données est effectif au moment d’une navigation sur internet via un ordinateur, une tablette ou un smartphone. Il l’est également lors de l’utilisation d’appareils domotiques ou d’objets connectés. C’est notamment le cas des montres mesurant l’activité physique ou la qualité du sommeil.
Des sanctions graduées
En France, c’est la CNIL (la Commission nationale informatique et libertés) qui veille à la protection des données personnelles sur les fichiers papiers et numériques. Parmi ses missions, elle est chargée d’accompagner les entreprises privées et publiques dans leur mise en conformité.
C’est elle aussi qui applique des sanctions lorsque des infractions au RGPD sont constatées. Les mesures prises sont graduelles en fonction de la gravité :
- première étape : l’entreprise reçoit un avertissement ou une mise en demeure avec un rappel des règles de mise en conformité ;
- deuxième étape : la CNIL envoie un ordre de cessation immédiate des violations ;
- troisième étape : la CNIL limite ou suspend temporairement le traitement ou le flux des données;
- quatrième étape : des sanctions administratives sont prononcées.
Les organismes privés qui violent l’une des normes du règlement sont donc sous le coup de sanctions administratives et même pénales. Les montants peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. Les sommes encourues ont un but dissuasif, d’autant que ces amendes peuvent être rendues publiques. Récemment, cela a été le cas de la société PAP qui édite le site pap.fr (de particulier à particulier). Celle-ci s’est vue condamnée, le 31 janvier 2024, à payer une amende de 100 000 euros. En 2023, la CNIL a prononcé 42 sanctions dont 36 amendes. Le montant cumulé des sanctions s’élève à plus de 89 millions d’euros !
Les nouveautés
À l’intérieur de l’Union européenne, le transfert de données entre les États peut se faire librement. En revanche, ce n’est pas le cas lorsqu’une entreprise utilise les données de résidents européens hors UE.
Pour simplifier les solutions juridiques, la Commission européenne a établi une liste blanche de pays disposant d’un niveau de protection des données similaire aux États de l’Union européenne. Vers ces pays, le transfert d’informations personnelles est jugé suffisamment sûr. Un accord entre les États-Unis et l’Europe devrait également bientôt voir le jour.
Depuis quelques mois, les sociétés proposant des services d’intelligence artificielle (IA) sont dans le collimateur du gendarme européen. La CNIL a récemment dévoilé ses premières réponses en la matière. La Commission nationale informatique et libertés considère que les IA peuvent utiliser les données publiquement accessibles sur internet à condition qu’elles aient été collectées de manière licite et que « leur réutilisation soit compatible avec la collecte initiale ».
Pour la CNIL, les enjeux de protection de la vie privée peuvent se concilier au développement des intelligences artificielles génératives. L’instance française estime même que cette utilisation des données pourra « faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes ».
Sources : https://www.cnil.fr/sites/cnil/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf
