Que retenir du nouveau Règlement européen sur la protection des données ?

Un vaste règlement qui entrera directement en application le 25 mai 2018 et qui fait frémir toutes les entreprises. Mais concrètement, quelles vont être les répercussions de ce règlement sur les entreprises ?

Pour y voir plus clair sur le Règlement général sur la protection des données (RGPD) adopté par le Parlement européen en avril 2016, Maître Catherine Forget était l'invitée de MEC Belgium. Avocate au Barreau de Bruxelles, Maître Forget est spécialiste des Droits de l'homme, du Droit au respect de la vie privée, de Criminalité informatique et de Cybersécurité. Elle est également chercheuse au CRIDS (Centre de Recherche Information, Droit et Société) de l'Université de Namur. A moins d'un an de l’entrée en application de ces nouvelles règles européennes, encore beaucoup d¹entreprises doivent se mettre en ordre.

L'une des premières caractéristiques importantes sur ce nouveau RGPD à noter, c¹est que le droit à la protection des données n¹est pas un droit absolu. Le RGPD a pour objectif l'harmonisation des dispositions actuelles en vigueur en Europe, il est néanmoins teinté d'exceptions laissées à la gouverne du droit national des 28 Etats membres. L'impact du RGPD peut dès lors apparaître moins important selon que les législateurs nationaux décident de légiférer strictement ou non sur le sujet. C¹est aux Etats de gérer le degré d¹harmonisation du RGPD.

Ce qu'entend apporter ce règlement, c¹est avant tout un traitement loyal, licite et transparent des données dans une finalité déterminée, explicite et légitime avec une minimisation des données de manière générale. La conservation des données dans le temps ne doit pas être excessive et leur confidentialité doit être assurée.

Concrètement, pour les entreprises, l'impact principal des nombreux changements apportés va être un énorme travail de classification, de rangement et de traitement des données à caractère personnel. Les droits des personnes étant renforcés, les entreprises devront agir rapidement en cas d'introduction de demandes ou de plaintes de leur part. Ces droits renforcés comprennent notamment un nouveau droit à la portabilité des données, un droit à l¹information au moment de la collecte des données, un droit d¹accès avec exception si ça affecte négativement les droits et libertés d'autrui, un droit à la rectification et l'effacement des données sauf dans le cadre d'une utilisation par la justice, un droit d’opposition, un droit à la limitation du traitement des données, etc.

Par ailleurs, les obligations du responsable du traitement (la personne physique ou morale qui détermine les finalités et les moyens du traitement) et du sous-traitant sont également renforcées.

Les entreprises sont dorénavant tenues d'établir un registre des activités de traitement. Elles sont aussi obligées de mettre en place une sécurité renforcée notamment au moyen de la pseudonymisation, c¹est-à-dire le fait que des données à caractère personnel ne puissent plus être attribuées à une personne concernée précise sans le recours à des informations supplémentaires. Parmi les autres obligations figurent l'analyse d'impact préalable du traitement, la notification à la Commission de la protection de la vie privée (en cas de violation de données à caractère personnel) et à la personne physique, la nomination pour certaines entreprises d'un délégué à la protection des données, etc. Pour comprendre tous ces changements, des exemples tangibles existent. Premièrement, aujourd¹hui quand une personne remplit anonymement un questionnaire sur Internet, de nombreuses informations sont manquantes.

A l'avenir, ce cas devra respecter le RGPD puisqu'à partir de l'adresse IP, l'identification de la personne est possible. Deuxièmement, lors d'un traitement des données dans un but marketing, alors qu'il était jusqu¹ >maintenant possible de rester flou, il faudra désormais être plus précis sur la finalité. C¹est pourquoi, troisièmement, lors de l¹installation d'une application mobile, il faudra un formulaire de consentement différent pour chaque type de données recueillies. L¹unique pop-up demandant à accéder à vos contacts et votre agenda pour pouvoir utiliser l'application sera remplacé par plusieurs pop-up selon les données exploitées.

La dérive va être l'obligation pour l¹utilisateur de continuer à accepter de fournir toutes ses données s'il veut bénéficier du service complet de l'application ou du site web. Quatrièmement, lorsque des données à caractère personnel ont involontairement été piratées, volées ou rendues publiques d'une façon ou d¹une autre, il s'agit maintenant d¹une obligation d¹informer les personnes concernées alors qu'il s'agissait auparavant d¹une recommandation. L¹énumération d¹exemples tangibles peut-être longues D'ici le 25 mai 2018, les entreprises ont donc tout intérêt à se plier aux exigences administratives du règlement européen. Dans le cas contraire, le montant de l¹amende pourra s¹envoler jusqu¹à 20 millions d¹euros ou 4% du chiffre d¹affaires annuel.

Toutefois, outre le montant exorbitant de l'amende, pour le secteur du marketing, ce qui importe le plus est de savoir quel impact ce RGPD va avoir sur le targeting des consommateurs. Même si les concepts de « profiling » et de « target marketing » apparaissent dans le règlement, les termes précis ne sont pas cités. Le « profiling » implique un traitement automatisé des données personnelles et l¹utilisation de ces données pour évaluer certains aspects personnels relatifs à une personne physique. Une telle définition implicitement exclut le traitement non automatisé. De plus, du « tracking » n¹est pas considéré comme du « profiling » dans le sens où ce dernier renvoie à l'intention de prendre des décisions à propos de la personne ou de prédire les comportements et préférences de la personne. Si le « profiling » est initialement proscrit, il n¹empêche que dans la mesure où le consommateur a eu correctement accès aux conditions d'utilisation de ses données et les a acceptées, ce nouveau RGPD ne changera finalement rien. D’autant plus qu¹il reste encore à déterminer quelles activités de traitement automatisé des données se classent comme étant du « profiling », ainsi qu¹à quelles activités de « profiling » fait référence l'article 22 du RGPD. En bref, malgré toute la complexité des changements apportés par le texte européen en matière de protections des données, il ne devrait pas y avoir d'impact trop important au niveau du targeting.

L¹impact principal est davantage la complication du stockage, de l'archivage et de la mise à disposition des données à caractère personnel. Finalement, l'ensemble des nouvelles règles permettra à l’utilisateur d¹être davantage conscientisé quant au partage de ses données. Il reste à savoir 's'il se montrera frileux de les partager ou non...