Création de site web
Signification du sigle RGPD : Règlement Général de la Protection des Données.
Définition
Le « Règlement n°2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », adopté le 8 avril 2016 par le Conseil de l’Europe, puis le 16 avril par le Parlement Européen, sera présenté officiellement début 2018, et s’appliquera directement dans les États Membres à compter du 25 mai 2018, avec des adaptations aux différentes législations nationales.
Mais que faut-il retenir de cette loi dans le cadre des Internet ?
Rappelons que d’après le onzième point de l’article 4 du Règlement, le consentement se définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Par ailleurs, le consentement doit être express ; la personne doit avoir réellement été mise devant la nécessité de donner son consentement. Le silence, une case cochée par défaut ou une inactivité ne sauraient être reçus comme une preuve de consentement. Enfin, la personne ayant donné son consentement peut le retirer à tout moment.
Il existe toutefois des cas pour lesquels, les données peuvent être traitées sans consentement de la personne concernée :
Les données lorsqu’elles ne sont plus utiles, doivent être supprimées de la base de données de l’entreprise dans un délai raisonnable. Reste à savoir comment déterminer l’utilité, ou justement la non utilité des données pour une entreprise ?!
La suppression devient également obligatoire, lorsque l’individu retire son consentement, ce qu’il peut faire à tout moment.
D’après l’article 18 du Règlement, la personne concernée peut demander la limitation du traitement des données :
Si le traitement a été limité selon les conditions énoncées ci-dessus, celui-ci ne peut s’effectuer et les données ne peuvent être conservées que pour la constatation, l’exercice ou la défense de droits en justice, pour la protection d’une autre personne physique ou morale, ou selon un intérêt d’un Etat membre. Le traitement quant à lui, nécessite le consentement de la personne. De plus, une personne dont le traitement des données a été limité, sera informée de cette limitation avant qu’elle ne soit levée.
En France, l’article 40 stipule que “Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.”
Les entreprises sont incitées à utiliser des pseudonymes avant et pendant le traitement des données, afin de garantir leur protection. Ainsi, l’identification de l’individu concerné est impossible, sans informations supplémentaires. Il en va de même, « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. » (Article 35 du Règlement).
La directive 1995/46/CE prévoyait jusqu’ici simplement la possibilité, pour la personne dont les droits ont été violés, de recourir aux tribunaux et d’obtenir du responsable du traitement réparation de son préjudice. Dorénavant, il existe plusieurs solutions :
Pour conclure, on a ici de nombreux points qui mettent en lumière le regain de pouvoir de l’internaute concernant le traitement de ses données. Que ce soit au niveau de l’accessibilité, ou la quantité de données récoltées par les entreprises, le but est avant tout de protéger sa vie privée.
Un bref rappel des risques, concernant la collecte des données ; parfois dans un formulaire, un tiers malveillant peut récupérer vos données en insérant du JavaScript dans les champs à remplir. Pensez donc à vérifier la provenance des formulaires avant de les remplir !!
Pour aller plus loin :