Un an après sa mise en place, quels sont les grands principes qui régissent le RGPD. Et que se cache-t-il derrière ces 4 lettres ?
RGPD, le sigle est opposé à tout-va dès qu’on parle internet, envoi de newsletter, traitement de données,… mais que se passe-t-il pour le citoyen, premier concerné par le « Règlement Général sur la Protection des Données ».
Un accès à ses données… personnelles
Le RGPD a enfin mis de l’ordre dans la protection des données personnelles. C’est un peu comme si on vous donnait enfin le droit de ranger ou jeter vos papiers stockés depuis des années dans un tiroir chez vous.
Mais c’est quoi une donnée personnelle ? Tout commence dès le référencement de votre nom et prénom mais aussi vos coordonnées (adresse et mail) jusqu’au numéro de carte bancaire ou adresse IP, en passant par votre numéro de carte d’identité. Et aussi les très juteuses données de localisation de votre téléphone portable…
Qui est concerné ?
Les données des citoyens sont au cœur du RGPD mais ce texte a été mis en place au 25 mai 2018 pour que les entreprises respectent ces règles. C’est donc à elles de se mettre en conformité avec ce nouveau règlement. Elles ne peuvent plus disposer de données, de leur collecte et de leur stockage comme bon leur semble. L’objectif ? Eviter les abus et protéger le citoyen.
Les entreprises doivent alors recueillir le consentement de la personne, lui offrir l’accès à ses données et garantir la protection, c’est-à-dire la sécurité de ses données et l’informer rapidement si ses données ont été volées. De même, le RGPD repose sur le principe dit de la « minimisation » : on ne doit pas demander des renseignements qui ne sont pas en cohérence avec l’objectif de la collecte. Bref, si on vous demande un acte de naissance pour une carte de fidélité… il y a abus.
Les failles de la RGPD
Il ne faut cependant pas se croire à l’abri. Premièrement, car, si les entreprises ont l’obligation de respecter le RGPD, il est possible que certaines aient une utilisation de vos données qui ne soient pas en conformité à le règlement. Pour preuve, 12 mois après l’application du RGPD, il y a eu pas moins de 89.000 notifications de violation de données en Europe.
Le RGPD est étendu à « toutes les entreprises opérant dans l’UE, indépendamment de leur lieu d’établissement » mais celles-ci peuvent tarder à faire preuve de bonne volonté. C’est le cas de la plus importante d’entre elles : Google. Elle a été condamnée dès janvier 2019 par la Cnil à une amende record de 50 millions d’euros pour « violation continue » au règlement.
La meilleure des protections reste la vigilance : on doit veiller aux données que l’on communique sur nos sites ou appli favoris.
Résumons le RGPD : Que peut faire le citoyen ?
Chaque internaute, résident européen, doit donner son accord pour le stockage de ses données personnelles (via le web ou non). Et ce de manière explicite. L’entreprise doit protéger ces données : c’est-à-dire éliminer les failles de sécurité et informer le citoyen si jamais il y a un vol de données.
L’entreprise doit aussi lui offrir la possibilité de récupérer, modifier ou supprimer ses (propres) données. Une logique implacable mais qui n’est donc que très récente.
Alexandre Marsat