Le 14 avril 2016, les institutions de l’Union Européenne ont adopté le Règlement Général sur la Protection des Données (RGPD), visant à protéger les données personnelles des citoyens et leur vie privée. Ce nouveau texte vient compléter la Directive déjà existante depuis 1995, mais qui nécessitait une adaptation aux nouveaux usages numériques. L’avènement de la digitalisation des services publics et privés, du Cloud Computing, du Big Data pose la question de la localisation, de la sécurisation et du transfert des données des utilisateurs ; ces données sont devenues massives en quelques années et leur gestion pose un nombre croissant de questions. Cette réglementation entrera en vigueur au mois de mai 2018, ce qui pose d’ores et déjà un certain nombre de problématiques aux entreprises, devant se préparer dès à présent.

Historique de la mesure

En 1995, l’Union Européenne adoptait la Directive sur la Protection des Données Personnelles, pour protéger la vie privée et le traitement des données des internautes. Cette directive visait à protéger le droit à la vie privée des citoyens européens à un moment où internet était encore naissant, et qui n’est donc plus adapté aujourd’hui. De plus, les Etats membres étaient relativement libres dans son application. En effet, les Directives n’ont pas la même force d’application que d’autres textes juridiques communautaires, à savoir les Règlements ou Traités. Ainsi la France a tardé près de 10 ans à appliquer les principes de la Directive de 1995, avec une adoption en 2004 seulement. Chaque Etat a traduit son contenu selon sa propre interprétation, menant à des politiques et traitement de l’information différents selon le pays de résidence des citoyens et des entreprises.

Dans une Europe sans frontière, surtout sur internet, les internautes manquent clairement d’informations, de transparence et de sécurité concernant l’utilisation et le stockage de leurs données personnelles une fois qu’ils les transmettent à une entreprise ou à un service en ligne (enregistrement, inscription, achat en ligne, demande d’information, recours à un service public, …). Les entreprises sont encore aujourd’hui relativement peu contraintes de communiquer sur leurs pratiques du traitement des données des utilisateurs.

Ainsi, l’UE a adopté un nouveau texte, à vocation universelle pour tous les pays signataires, afin d’harmoniser les textes et pratiques, et augmenter la protection des internautes.

Que prévoit le Règlement Général de Protection des Données ?

Le nouveau règlement propose une réforme globale et unique en matière de protection des données à échelle communautaire, qui modernisera leur traitement et garantira une plus grande sécurité et transparence dans l’utilisation des données privées des usagers d’Internet. L’objectif est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».

Alors que le texte précédent se basait sur des « formalités préalables », c’est-à-dire à partir de déclaration ou autorisation données par les utilisateurs, désormais le principe de conformité prévaut, c’est-à-dire que toutes les entreprises doivent répondre à des critères stricts en matière de collecte et traitement de données, elles sont responsabilisées directement et doivent rendre des comptes au régulateur. Il sera d’ailleurs instauré un guichet unique dans chaque pays pour tous les collecteurs et responsables du traitement d’informations personnelles collectées en ligne.

Les changements clés sont les suivants :

  • L’adoption d’un texte unique pour toute l’UE, ne permettant pas une interprétation différente d’un pays à l’autre. Ainsi, toutes les entreprises présentes dans l’espace européen devront traiter vos informations de la même manière, que le siège soit à Paris, Berlin ou Budapest.
  • L’application de ce règlement s’applique aussi aux entreprises étrangères à l’UE qui pratiquent une activité sur le territoire européen, avec les données utilisateurs ressortissants de la communauté européenne.
  • Assurer la portabilité des données des personnes. La portabilité des données signifie que les internautes doivent être facilement capables de transférer l’intégralité de leurs informations personnelles d’un service numérique à l’autre, sans contrainte (technique ou tarifaire), et en ayant la sécurité que les données soient intègres. Les entreprises ne pourront plus pratiquer de rétention de données, ni conserver abusivement des données de leurs utilisateurs, notamment lorsque ceux-ci changent de prestataires. C’est notamment grâce à la portabilité des données que depuis février 2017, en France, les clients des banques peuvent simplement et gratuitement changer d’établissement. Simplement et gratuitement car la portabilité des données assure le transfert de toutes leurs informations bancaires à tous les services qui en disposent (fournisseurs internet, service public, abonnements, …). Et les banques ne sont plus autorisées à facturer ce service de transfert des données.
  • L’introduction du droit à l’effacement, (=« droit à l’oubli ») : les internautes peuvent demander aux responsables du traitement de ses données d’effacer l’intégralité des informations qu’ils leur ont transmis.
  • L’expression du consentement des utilisateurs doit être explicite et clairement définie. Les internautes doivent être clairement informés de la nature et de l’utilisation des données qui sera faite par l’entreprise qui les collecte. C’est à l’entreprise de bien s’assurer que les internautes expriment leurs accords, et en cas de conflit c’est à elle de le prouver. Par ailleurs, des dispositifs spécifiques doivent être mis en place à destination des usagers mineurs. Le collecteur de l’information doit s’assurer de fournir des explications simples et claires pour les mineurs de moins de 16 ans, et doivent obtenir le consentement auprès de leurs parents ou tuteurs majeurs. Le consentement doit par ailleurs être renouvelé explicitement dès que l’internaute devient majeur, auquel cas ses données personnelles doivent être effacées.
  • Les internautes peuvent mener des actions collectives à propos du traitement de leurs données et du respect de leur vie privée, à l’image de ce que peuvent faire des associations de consommateurs.
  • Dans le cas où un utilisateur subirait un dommage ou préjudice du fait d’une mauvaise utilisation de ses données personnelles, il peut bénéficier d’un droit à réparation du préjudice subi.
  • La protection des données doit être assurées dès leur création, c’est-à-dire dès la conception du produit ou service nécessitant la collecte de données personnelles. C’est la règle de protection des données dès la conception et par défaut, aussi appelé privacy by design.

Pour attester de leur conformité avec ce nouveau règlement, les entreprises et organismes devront :

  • Tenir un registre des traitements des données mis en place
  • Notifier les failles de sécurités à la fois aux autorités et aux utilisateurs concernés
  • Certifier les traitements faits
  • Adhérer à des codes de conduites
  • Nommer un déléguer à la protection des données dans certaines conditions
  • Etudier leur impact sur la vie privée des usagers, notamment lorsque les données collectées et utilisées sont dites sensibles (appartenance religieuse, ethnique, syndicale, orientation sexuelle, état de santé).

RGPD protection des données

Quelles problématiques pour les entreprises ?

Aujourd’hui, tous les domaines d’activité et de services sont concernés par la collecte et le traitement des données. Toutes les entreprises disposent de mines colossales d’informations concernant leurs utilisateurs, qu’elles peinent à optimiser et à traiter correctement. La mise en place de ce nouveau règlement va rapidement bouleverser leur rapport à la donnée et les obliger à mettre en place des process stricts et rigoureux pour entrer en conformité avec la nouvelle loi européenne.

C’est dans ce contexte qu’une start-up telle que Onecub leur sera d’une aide précieuse. Onecub est une plateforme permettant à un internaute de retrouver facilement toutes les données qu’il a transmis en ligne à des prestataires de services ou des entreprises, grâce à son mail. Il pourra aisément les piloter et ensuite décider des informations précises qu’il transmettra à un futur prestataire. Grâce à l’intégration du module Onecub sur leur site internet, toutes les entreprises et organismes pourront facilement et de façon transparente collecter les données de leurs usagers, et attester de leur conformité avec la loi. Grâce à sa technologie, Onecub assure la sécurité et le suivi des données, et permet de réaliser des études. La start-up a même rédigé une charte « Vie Privée » assurant aux internautes que leurs données personnelles restent leur propriété et qu’ils contrôlent leur accès ; ainsi les entreprises liées à Onecub se conforment, par extension, à cette charte.

Par ailleurs, la start-up assure également le stockage de ces données et les anonymisent pour la réalisation d’études de marché. Raison de plus pour faire confiance à cet acteur.

Nous vous proposons de découvrir Onecub sur Sowefund, en cours de collecte sur notre site. Vous pouvez prendre part à son capital et ainsi participer au développement de sa structure de protection des données personnelles de consommateurs.

Découvrez Onecub sur Sowefund.com

onecub prenez part

Tags: