Protection des données personnelles : une évolution majeure le 25 mai 2018.

Date de publication: 
04/03/2018 - 11:50

Le cadre législatif de la protection des données personnelles va connaître une évolution majeure le 25 mai prochain avec la mise en application du règlement européen (RGPD) adopté en avril 2016.Le sujet a été évoqué à l’occasion du colloque du 14 décembre 2017 « La donnée au cœur de nos modes de consommation » organisé par l’UFC Que Choisir à l’Assemblée nationale. Si ce règlement concerne en grande partie les entreprises et les services publics, il n’est pas sans intérêt  pour les consommateurs.En voici quelques illustrations :

  • Certains professionnels utilisaient des filiales ou sous-traitants situés hors Union européenne pour échapper aux lois nationales sur les traitements de données personnelles. Le règlement étend la protection à tout traitement qui cible un citoyen de l’Union quelque-soit l’établissement du professionnel. Il élargit également ses obligations aux sous-traitants.
  • Un nouvel interlocuteur du consommateur apparaît dans chaque entreprise ou service public qui traite des données personnelles : le délégué à la protection des données personnelles  (DPO pour Data Protection Officer). Il a la responsabilité de vérifier la conformité des traitements informatiques aux exigences du règlement. Il instruit notamment toute réclamation des usagers.
  • Parmi les exigences du règlement qui intéressent les consommateurs, les applications informatiques doivent recueillir explicitement le consentement de l’usager pour le traitement de ses données personnelles. Il faut donc s’attendre à quelques cases à cocher supplémentaires pour accepter ou refuser ce traitement, cases qui ne soient pas noyées dans les conditions générales de vente et ne conditionnent pas l’utilisation du service.
  • Le consentement peut être donné par les parents d’un mineur de moins de 16 ans. Il devra être renouvelé une fois cet âge limite atteint.
  • Autres cases à cocher supplémentaires, le droit à l’oubli et la portabilité des données personnelles. Il s’agit de pouvoir demander l’effacement de ses données ou de les récupérer pour les transmettre à un autre professionnel, par exemple dans le cas d’un changement de fournisseur (téléphonie, assurance, etc.).
  • Pour les associations de consommateurs comme la nôtre, une possibilité de recours collectif est ouverte. De plus la réparation des préjudices peut être réclamée.
  • La CNIL (Commission Nationale Informatique et Libertés)  va délivrer des labels ou certificats de conformité aux professionnels qui démontrent une capacité à concevoir des applications informatiques conformes aux exigences du règlement. Pour les consommateurs, une préférence pourra être donnée aux sites des entreprises ainsi certifiées.
  • Enfin, la même CNIL devient le chef de file en France du nouveau comité européen pour la protection des données institué par le règlement. Tout litige concernant un traitement en France peut lui être soumis, même s’il s’agit d’un professionnel établi à l’étranger.

Il a souvent été reproché aux législations nationales de ne pas être respectées en raison des faibles montants de sanctions appliquées à des groupes internationaux comme Google, Facebook, Amazon ou Apple. En effet, ces amendes étaient limitées à 150.000 € dans la loi française de 1978. Avec le nouveau règlement, les sanctions pourront atteindre 20 millions d’Euros ou 4% du chiffre d’affaire mondial. Beaucoup plus dissuasif !