Le Règlement général sur la protection des données personnelles (RGPD) entrera en vigueur ce vendredi 25 mai à 0h01, avec des conséquences énormes au sein et en dehors de l’Union européenne.
La Commission européenne vient de frapper un grand coup. Les dispositions de son texte, inédites dans l’histoire de la protection des données, seront obligatoires et applicables pour les 511,8 millions de citoyens de cet espace géographique et au-delà.
«Le règlement général se caractérise par le fait qu'il distingue entre droits et devoirs et surtout qu'il attribue tous les droits à l'individu et tous les devoirs aux entreprises, administrations ou collectivités assujetties», anticipe Eric Gardner de Béville, co-directeur de HR Consulting Group et avocat à Madrid, dans le quotidien parisien des affaires Les Echos.(*)
Ce déséquilibre tiendrait à l’inventaire des droits et des devoirs impartis à chaque côté. Ainsi, pour l’individu revient une longue liste des droits : «Droit à la vie privée, droit à la protection, droit à l'oubli, droit d'accès, droit à la rectification, droit à l'effacement, droit à l'erreur, droit à la transparence, droit à connaître, droit de se faire communiquer, droit au déréférencement, droit à la portabilité, droit de faire rectifier, droit d'opposition, droit à la conservation, droit au transfert. De plus, le préambule du RGPD précise que la protection des données personnelles est un «droit fondamental», l'érigeant de ce fait sur un piédestal encore supérieur, même si le texte précise qu'il ne s'agit pas d'un «droit absolu».
A l’opposé, l'employeur n'a que des devoirs et obligations : «Devoir de non-évaluation, obligation de non-profilage, devoir de traitement équitable et transparent, obligation d'adopter des règles internes et mettre en œuvre des mesures qui respectent la protection, obligation de désigner un représentant responsable du traitement, obligation d'établir un contrat ou un autre acte juridique, obligation de tenir des registres, obligation d'effectuer une analyse d'impact, devoir de notifier à l'autorité de contrôle dans les meilleurs délais et 72 heures au plus tard... »
Outre qu’il penche en faveur des particuliers, le nouveau texte pénalise les PME au profit des grosses firmes. En effet, une charge considérable pèse sur les PME, notamment celles qui ont plus de 250 employés, «seuil à partir duquel le RGPD version ‘’dur’’ s'impose aux assujettis - mais aussi celles de moins de 250 personnes qui sont aussi soumises à la version ‘’légère’’, surtout celles qui néanmoins traitent des données personnelles».
La perspective est d’autant plus inquiétante que de lourdes sanctions attendent les contrevenants au RGPD : jusqu’à 4% du chiffre d'affaires de l'entité condamnée.
Le Forum économique mondial est, lui aussi, attentif aux développements induits par le nouveau Règlement de la Commission et recense «huit raisons de se préoccuper des nouvelles règles de protection des données de l'UE».(**)
Le Forum voit dans le RGPD «le plus grand changement apporté aux lois européennes sur la protection des données depuis plus de 20 ans» avec à la clé un «nouveau cadre (qui) vise à donner aux individus un plus grand contrôle sur leurs données personnelles et à simplifier l'environnement réglementaire, afin qu'ils puissent bénéficier plus pleinement d'une économie numérique inclusive et fiable».
Huit conséquences sont attachées au texte.
1. Il produit des effets bien au-delà de l’espace européen. En effet, le nouveau règlement s'applique à «toute organisation ou entreprise opérant sur le sol européen, ainsi qu'à ceux qui n'offrent pas de biens et de services aux citoyens de l'UE, y compris les entreprises en ligne».
Aussi, «compte tenu de la nature globale de l'internet, cela signifie que la majorité des services en ligne et des particuliers sont affectés d'une manière ou d'une autre».
2. Il couvre toutes les informations.
«La définition des ‘’données personnelles’’ a été élargie pour inclure tout : votre nom, emplacement, photos et coordonnées bancaires — ainsi que d'autres moyens dont vous pourriez être identifié individuellement en ligne, comme votre adresse IP. Vos informations personnelles sensibles, telles que les données génétiques ou les données qui révéleraient votre identité sexuelle, vos opinions politiques ou votre appartenance religieuse, sont également protégées par le GDPR.»
3. Il ouvre un «droit à l’oubli» ou à la mise à jour des données pour les particuliers.
4. Il soumet la collecte et le traitement des données à la permission, à l’avenir, de beaucoup plus de fenêtres «Cliquez pour continuer» ou «Etes-vous d'accord ? ».
5. L’employeur est également astreint à s’y conformer : tout résident de l’UE est en droit de demander à son employeur et de les obtenir dans les 30 jours, sous peine de sévères sanctions, toutes les données collectées sur lui en tant que travailleur : entrevues, évaluations de performance, fiches de paie et de présence, ainsi que tous les e-mails le concernant.
6. Il assure un transfert plus aisé des données : les particuliers pourront désormais télécharger toutes les données d'une organisation les concernant dans un format facilement utilisable, leur permettant de vérifier ce que les entreprises ont recueilli sur eux, ainsi que de transférer facilement leurs données entre les plates-formes.
7. Il assure un niveau de protection et de sécurité très élevé des données, «en utilisant le chiffrement et d'autres solutions de cyber-résilience», au sens de capacité de résister et de se remettre rapidement d’attaques délibérées ou suite à des perturbations subies.
8. Il assure aux particuliers d’être avertis en cas de violation de la confidentialité des données. Même si les cyberattaques et la cybercriminalité demeurent un risque, «les organisations sont tenues d'informer les autorités ou les individus dans les 72 heures suivant une violation de la sécurité».
Avec ce dernier règlement, l’Union européenne s’impose comme «pionnier mondial pour renforcer la fiabilité des données», avec des effets d'entraînement attendus dans le monde entier en matière d’élévation des normes de confidentialité.
Le Forum économique mondial y voit «l'émergence d'un écosystème numérique inclusif et digne de confiance».
Le nouveau Règlement aura le mérite majeur d’œuvrer à faire émerger une éthique numérique européenne pour une révolution numérique de plus en plus entachée par les piratages industriels, les cyber-attaques, les fuites de données, les manipulations politiques, les effets psycho-sociaux...
A. B.
(*) Eric Gardner de Béville, RGPD/GDPR : le Big Bang des données personnelles ! , Les Echos, 2 mai 2018.
https://www.lesechos.fr/idees-debats/cercle/0301618413439-rgpd-le-big-bang-des-donnees-personnelles-2172478.php
(**) World Economic Forum, «8 reasons to care about the EU’s new data-protection rules», 8 mai 2018.
https://www.weforum.org/agenda/2018/05/8-reasons-to-care-about-the-eus-new-data-protection-rules-gdpr
