Normes RGPD : principes et changements

Si le web est encore plus vaste qu’un océan, c’est bien parce que les informations y circulent plus rapidement qu’une bouée emportée par le courant. Internet, ou une gigantesque mare dans laquelle créateurs de services et utilisateurs sont réunis. Et entre les deux : des données personnelles de toutes sortes qui appartiennent aux utilisateurs. Des informations virtuelles qui permettent d’obtenir des renseignements sur une personne bien réelle. Pour tenter de protéger ces “casseroles” que les utilisateurs traînent derrière eux sur le web, les États ont leur rôle à jouer. 

On peut voir internet comme un immense terrain de foot sur lequel plusieurs équipes s’affrontent au même moment. L’arbitre qui essaye de contrôler le bon déroulement du jeu c’est un peu le RGPD (Règlement Général sur la Protection des Données). Il est censé pouvoir fixer les règles à respecter en matière de manipulation des données des utilisateurs en ligne. Comme internet évolue sans cesse, c’est un arbitre qui sait s’adapter en instaurant souvent des nouvelles règles. Règles qu’il est toujours bon d’avoir en tête pour travailler son UX

C’est quoi une donnée Personnelle ?

Il faut comprendre que sur internet, il est possible de distinguer un utilisateur par plusieurs moyens. Vous, qui lisez cet article, êtes identifiable de deux façons : d’une manière directe avec vos noms et prénoms. Ou d’une manière indirecte via un identifiant ou numéro de téléphone, ainsi que l’image, la voix, et toute sorte d’éléments spécifiques (culturels, génétiques, sociaux…).

Tous ces éléments sont ce que l’on appelle les données personnelles. Qu’elles soient mises toutes ensemble ou séparément, ces informations permettent d’identifier une personne, sur le plan civil comme sur le plan personnel (goût, passions, habitudes et comportements d’achat…).

identité

Les données peuvent être traitées de différentes manières (collecte, enregistrement, organisation, ou encore extraction) et selon une certaine finalité. Derrière la ou les informations d’un utilisateur se cache toujours un objectif. Il faut ainsi pouvoir s’assurer que les données traitées sont bien utiles pour l’objectif prévu. Le tout dans un cadre légal et cohérent avec l’activité professionnelle de la structure qui recueille ces données. Une chose est sûre, il est impossible de traiter une donnée comme bon vous semble.

Le droit de la protection des données personnelles

Il a déjà soufflé ses 20 bougies en 2018 contrairement au RGPD qui est beaucoup plus récent. C’est en 1978 que la France décide de se doter d’une loi qui s’intéresse aux données des utilisateurs en ligne : la loi “Informatique et Libertés”. Comme beaucoup d’autres, cette dernière a dû se réinventer à plusieurs reprises jusqu’à présent. L’émergence de grandes start-up en ligne a quant à elle plus ou moins favorisé la création du RGPD.

Une joute numérique contre les Gafam ?

En 2018 débarquait le RGPD dans le droit Européen. Un règlement « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Concrètement, il tente par tous les moyens de contrôler la manière dont vont se propager les informations des utilisateurs ainsi que la manière dont elles sont utilisées par les différents sites qui les récoltent. Son triptyque à lui ? juridique, opérationnel et technique. 

Si le RGPD dépend de la loi des grandes instances Européennes, son champ d’action est particulier : 

  • Il peut s’appliquer à n’importe quelle organisation, qu’elle soit publique ou privée, qui manipule des données personnelles de toute sorte. Ses critères concernent aussi bien celles qui les manipulent pour leur compte que celles qui les manipulent pour d’autres structures.
  • L’organisation qu’il va réglementer doit être établie sur un territoire qui fait partie de l’UE (Union Européenne). 
  • Il s’applique aussi aux entreprises dont l’activité cible des résidents d’un pays de l’UE. Autrement dit, si les services d’une société américaine ou chinoise sont utilisés en ligne par des citoyens Européens, la société sera encadrée par le RGPD.
données sécu

Ce nouveau règlement ne sort pas vraiment de nulle part et est apparu à un moment bien particulier, celui de l’explosion des Gafam dans le monde entier. Google, Amazon, Facebook, ou encore Microsoft : de jeunes pousses montées par les têtes pensantes californiennes de la Silicon Valley. En se frayant un large chemin pour occuper aujourd’hui leur trône numérique respectif, ces entreprises collectent un paquet monumental de données. Le RGPD opère donc pour leur éviter de faire ce qu’elles veulent de ces données.  

De nouvelles cartes dans les manches grâce au RGPD

Bien évidemment, pour dissuader les sociétés qui se passeraient de respecter les normes fixées, il faut pouvoir les sanctionner. Sanctions qui se traduisent dans la majorité des cas par une amende à régler. À l’origine, la CNIL (Commission nationale de l’informatique et des libertés) qui encadre la protection des données, ne pouvait dépasser un montant de 150 000 euros. 

Ce genre de montant n’avait pas de quoi inquiéter des sociétés de grande envergure comme les Gafam qui pèsent des milliards. C’est pour cela que le RGPD a changé un peu la donne en offrant la possibilité d’augmenter fortement le montant des amendes. 

Elles peuvent atteindre 10 000 000 d’euros, en cas de “violation par un responsable de traitement” : 

  • Si le consentement des mineurs n’a pas été correctement respecté. 
  • Si elle ne prend pas en compte les principes de conformité “dès la conception et par défaut”. 
  • Si les missions de la personne DPO (Déléguée à la protection des données) sont ignorées. 

 

Mais le plafond peut monter à 20 000 000 d’euros pour des violations avec une gravité encore plus élevée. C’est le cas lors d’une violation des grands principes qui encadrent le traitement de données (loyauté, licéité, transparence, limitation des finalités, minimisation des données…). Résultat, violer les normes qui encadrent la manipulation de données peut vite coûter cher. Vous risquez d’ailleurs de perdre la confiance de vos utilisateurs, ce qui est la pire des choses quand l’on souhaite travailler son UX. 

Les grands terrains d’action actuels de la CNIL

Avec les cyberattaques qui ont secoué le web ces dernières années, le RGPD reste au cœur des préoccupations. L’enjeu est de taille pour les entreprises qui manipulent un certain nombre de données. Mais aussi pour les utilisateurs qui craignent une certaine opacité de leurs informations personnelles. Ces derniers temps, le champ d’action de la CNIL s’inscrit sur 3 grands axes.

1. Le respect du consentement à propos des cookies

consentement cookies

Dans ses recommandations publiées en septembre 2020, elle avait laissé jusqu’à mars 2021 à l’ensemble des sites pour respecter un certain nombre de critères en lien avec les cookies. Il leur faut d’abord informer l’utilisateur des éventuels cookies et autres traceurs qui sont mis en place. Dans un second temps, l’internaute doit pouvoir accepter ou non les types de cookies selon leur but (pub, géolocalisation,…). 

Par ailleurs, les sites ne peuvent garder ces cookies en leur possession indéfiniment. La CNIL impose à présent à tous une durée de conservation de 13 mois maximum. Seule exception, les traceurs dans le cadre d’un service, comme conserver le contenu d’un panier d’achat sur un site. L’objectif est ainsi de permettre à l’internaute de pouvoir garder “le meilleur contrôle possible sur les traceurs en ligne.” 

2. La protection des données relatives à la santé

health data

La récente fuite de données médicales de près de 500 000 patients en février dernier a encouragé le CNIL a se pencher sur la question. Elle souhaite redoubler de vigilance à propos de ce type de données personnelles. C’est d’ailleurs dans cette optique qu’elle avait rendu obligatoires les AIPD (analyses d’impact relatives à la protection des données) en 2018 pour tous les sites avec des traitements de données à haut risque.

3. La sensibilisation à la cybersécurité

lock

Avec la multiplication de la cybercriminalité, l’enjeu de la sensibilisation des différents acteurs est de taille. S’informer, c’est apprendre à se préparer à ces éventuels risques et savoir adopter les bonnes pratiques pour protéger les données. C’est pour cela, que la CNIL et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ont publié un guide à destination des entreprises pour mieux informer leurs employés sur le sujet. 

Mais la CNIL va devoir faire face à d’autres interrogations. L’actualité récente provoque également beaucoup d’inquiétude quant à la réglementation des données qui circulent en dehors de l’UE. D’abord, les accords du Brexit, puis  l’invalidation du “Privacy Shield”, qui était un bouclier de protection de données transférées entre l’UE et les États-Unis. L’avenir devrait rester encore assez flou tant que la CNIL ne rendra pas de nouvelle décision sur le sujet. Affaire à suivre…

N’hésitez pas à partager cet article !

Vous aimerez lire

Laisser un commentaire