« Redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des organismes », tel est l’objectif du Règlement Général sur la Protection des Données (RGPD), mis en place en France et dans les 28 pays de l’Union Européenne depuis le 25 mai 2018.
C’est le moyen pour la Commission Européenne de modifier en profondeur la réglementation envers l’ensemble des organismes (à l’échelle mondiale) qui enregistrent, hébergent ou manipulent des données personnelles de citoyens européens.
La gestion des données personnelles facilitée
Aujourd’hui, le numérique fait partie intégrante du quotidien de chacun. Chaque jour, des centaines de milliers de données personnelles sont collectées dans le monde, dans un but de profilage, de personnalisation et de monétisation.
Avec la loi informatique et liberté française (depuis 1978), un certain nombre de droits aux individus étaient déjà mis en avant :
- Transparence des informations et des communications
- Droit d’accès à la donnée de la personne concernée
- Droit de rectification
- Droit à la limitation du traitement
- Droit d’opposition
Avec la RGPD, 2 nouveautés entrent en jeu et donnent accès aux personnes concernées à la gestion de leur données personnelles :
- Le droit à l’oubli permet maintenant à chaque utilisateur de demander l’effacement de ses données par l’organisme qui les détient.
- Le droit à la portabilité des données permet à la personne de récupérer les données la concernant, traitées par un organisme, pour son usage personnel et de les transférer à un autre organisme.
De nouvelles obligations pour les entreprises et organismes
La Commission européenne attire l’attention de tous les organismes sur leurs nouvelles obligations :
- Principe d’auto-responsabilité :l’organisme doit être en mesure de démontrer sa conformité.
- Principe d’information :les individus doivent être informés de leurs droits et accepter explicitement la collecte et le traitement de leurs données personnelles.
- Principe de licéité :les données personnelles ne peuvent être collectées et exploitées que pour un usage donné et légitime, correspondant aux missions du responsable de traitement.
- Principe de minimisation :les entreprises ne peuvent conserver que les données strictement nécessaires à l’exercice de leurs activités. Il est complété par le principe de conservation limitée : la durée de conservation des données est limitée à l’exécution du contrat (ou aux obligations légales de conservation).
- Privacy by Design & Privacy by default :la sécurité et la gouvernance des données doivent être prises en compte en amont de la conception de produits/services. En outre, la sécurité n’est plus optionnelle, mais activée par défaut : l’utilisateur ne doit plus cocher une case pour protéger ses données.
- Nomination d’un DPO(Data Protection Officer, ou Délégué de la Protection des Données) : dès lors que l’organisme exploite des données à caractère personnel à grande échelle. Ceci est par ailleurs obligatoire pour le secteur public.