Dossier Données personnelles : qui a accès à quoi ? #entreprises
⏱ 3 minEntreprises, chercheurs, État… De nombreux acteurs récupèrent et utilisent nos données personnelles. Mais quelles sont les règles en la matière ? Le citoyen-consommateur peut-il garder la main sur ses propres données ?
ENTREPRISES : UN RÈGLEMENT EUROPÉEN POUR 2018
Le 25 mai prochain, le nouveau Règlement général pour la protection des données personnelles entrera en vigueur. Quels changements pour les entreprises ? Quels nouveaux droits pour les citoyens-consommateurs? Nos données seront-elles mieux protégées ?
Nom et prénom, adresse et email, CV et centres d’intérêt, RIB et numéro de sécu, contacts et agenda… Sans toujours bien nous en rendre compte, nous divulguons une foule de données personnelles à des entreprises. Il faut dire que les canaux de collecte sont toujours plus divers : des applis smartphones aux réseaux sociaux, en passant par les démarchages téléphoniques, les enquêtes d’opinion, les fichiers clients, l’accueil en magasin, etc. Mais concrètement, à quelles conditions les entreprises peuvent elles accéder à nos données ? La réponse tient en quatre lettres : RGPD pour Règlement général pour la protection des données personnelles1. À partir du 25 mai 2018, toute société européenne qui collecte, stocke ou traite des données pouvant permettre d’identifier une personne devra en effet appliquer ce nouveau texte. Le règlement s’applique également aux entreprises non européennes qui traitent des données de personnes établies dans l’Union Européenne.
Consentement renforcé… et portabilité
Le RGPD renforce d’abord la notion de consentement éclairé et informé des individus sur lesquels les entreprises collectent des données : un consentement obligatoire qu’elles devront pouvoir prouver à tout moment, sans ambigüité. « Malgré les réseaux sociaux et les nombreux services basés sur la collecte des données personnelles en contrepartie de la gratuité, la notion de consentement de l’utilisateur reste en effet très importante, estime Francesca Musiani, chercheuse à l’Institut des Sciences de la Communication du CNRS. D‘où l’enjeu de créer des termes d’utilisation et des « privacy policy » vraiment accessibles et compréhensibles pour le public ! »
Le nouveau règlement crée aussi un nouveau droit : la portabilité. « Concrètement, tout individu devra pouvoir récupérer les données personnelles qu’il a fournies à une société dans un fichier informatique au format lisible, de quoi lui permettre de les transmettre à une autre s’il le souhaite », précise Stéphane Grégoire, Responsable données personnelles à la MAIF. En parallèle, les droits de rectification et d’accès à nos données personnelles seront facilités et le droit à l’oubli renforcé. « Toute entreprise sera aussi tenue d’avoir un délégué à la protection des données2 qui devra notamment documenter tous les traitements effectués sur des données personnelles dans un registre », complète son collègue Erik Arnaud, Chef de projets Data à la MAIF. Véritables chefs d’orchestre de l’application du RGPD dans leur entreprise, ces délégués se substitueront aux actuels Correspondants informatique et libertés (CIL).
Analyses d’impacts et protection accrue
Désormais, avant tout traitement de données personnelles pouvant s’avérer sensibles, les entreprises devront aussi analyser les impacts possibles sur la vie privée. « Au cas où l’analyse d’impact révèlerait un grave risque d’atteinte aux données personnelles, le responsable du traitement devra obligatoirement consulter la Cnil (Commission nationale de l’informatique et des libertés) avant toute mise en place« , précise Sandrine Mondin-Simon, juriste « Nouvelles technologies et propriété intellectuelle » à la SNCF.
Mais le RGPD renforce aussi la sécurisation des données via plusieurs possibilités de protection : chiffrement, anonymisation, traçabilité, gestion rigoureuse des accès, etc. Enfin, toutes les entreprises – et non plus les seuls opérateurs de communication électronique – devront notifier à la Cnil toute violation de données personnelles : destruction, perte, altération, révélation ou accès non autorisé à ces données de manière intentionnelle ou accidentelle ; en cas de grave risque d’atteinte à leurs droits et libertés, les personnes concernées devront être informées.
Une opportunité ?
Autant de mesures à prendre très au sérieux : en cas de manquement au règlement, les amendes pourront aller jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise. D’où l’importance de développer des codes de bonne conduite et des démarches de certification pour favoriser le respect du règlement… Mais ce règlement pourrait aussi constituer une opportunité. Pour la juriste de la SNCF, il va notamment améliorer la collaboration entre les métiers et les Directions des services informatiques (DSI) au sein des entreprises, et renforcer les relations avec fournisseurs et partenaires. « Pouvoir encore mieux garantir le respect des droits et de la sécurité des données de nos clients et salariés constitue aussi un gage de confiance valorisable », conclut-elle.
Jean-Philippe BRALY
Notes
1 GDPR en anglais pour General Data Protection Regulation
2 DPO en anglais pour Data Protection Officer