L’utilisation illégale de données personnelles par bon nombre de sites web, surtout les réseaux sociaux, a fait couler beaucoup d’encre. L’affaire la plus récente concerne celle de Cambridge Analytica dans laquelle une société a utilisé une faille du géant Facebook pour collecter illicitement des informations sur bon nombre de profils membres. Ce scandale éclate au moment ou le Règlement Général sur la Protection des Données (RGPD).
En outre, on accuse encore Mark Zuckerberg de donner à une dizaine de grosses compagnies comme Samsung ou la marque à la pomme un accès total aux données personnelles des utilisateurs et de leurs amis. Cela lui a valu une comparution devant la Cour suprême des États-Unis. Le texte européen a pour but donc d’empêcher la survenance de ce genre de situation.
De nouveaux droits pour les internautes
Le RGPD a d’abord pour but d’uniformiser et d’harmoniser les différentes législations des États membres de l’Union européenne. En effet comme on l’a constaté avec les deux cas cités précédemment, le problème de l’exploitation illicite des données personnelles prend des dimensions internationales. Et faute de loi universelle régissant ce domaine, on renforce donc la réglementation communautaire. Ainsi ce texte européen s’applique à tout citoyen européen. Celui-ci bénéficie dans ce cas de nouveaux droits qui se traduisent de l’autre côté comme des obligations de plus pour les entreprises ou sites de collecte de données.
On citera de ce cas le droit du propriétaire des informations privées d’être au courant de toutes les opérations concernant ces dernières. Il a aussi la faculté de requérir leur effacement total encore leur transfert vers un autre site. On appelle cela le droit de la portabilité. Il est important de souligner l’interdiction par le règlement d’utiliser les données personnelles d’un internaute sans son consentement. Il peut s’opposer à tout traitement ou bien rectifier certaines mentions à son propos. Le RGPD veut ainsi augmenter la responsabilité des sociétés de gestion des données même s’il a une portée générale.
De toute manière, rares sont les simples particuliers qui trouvent des utilités aux données personnelles. Il s’instaure de même comme un guide pour les professionnels qui souhaitent exploiter les données privées en toute transparence et licité. Il ne vise pas seulement à protéger les personnes privées, mais également les personnes morales qui ne veulent pas divulguer leurs informations ( Kbis , SIREN,…) professionnelles à tout public.
Les mesures à prendre pour se conformer
La mise en application des règles nouvelles suppose donc la prise de mesures adéquates. Pour faciliter la mise en œuvre de ces dispositions du règlement, il faudra assurer une bonne gouvernance des données. Les étapes à suivre ne diffèrent pas de celles préconisées par la Loi informatique et Liberté en France à une nuance près. Contrairement avec le système de la CNIL, c’est à l’entreprise de traitement de données de s’auto régulariser. Par conséquent, elle se constituera toute une documentation pour prouver sa transparence. La CNIL peut consulter à tout moment cette base de données pour un contrôle. Elle doit dans ce cas désigner un délégué de la protection des données ou Data Privacy Officer (DPO).
Il se chargera de mettre en place une stratégie à fin de parvenir à la conformité. De ce fait, il procèdera d’abord à une sorte d’audit de tout ce qui concerne les traitements des données personnelles pour ensuite en dresser une cartographie. De cette manière, il sera plus facile de s’organiser et de décider des mesures à prendre. Dans le cas où le DPO constate que l’exploitation des informations personnelles porte atteinte aux droits du propriétaire où à ses proches, il doit faire une analyse d’impact. Une fois cela terminé, il envoie son rapport tau CNIL qui décidera des actions à mener pour retourner dans la régularité. La mise en vigueur de la RGPD ne signifie pas l’abrogation de la loi informatique et liberté. Certains articles de cette dernière sont toujours valables en cas de silence du règlement.