Emménageriez-vous dans une maison aux murs transparents ? Permettriez-vous à tout le monde d'écouter toutes vos conversations, y compris celles que vous avez avec votre meilleur ami ou votre thérapeute ? Probablement pas. Pourtant, il y a de fortes chances que vous fassiez déjà quelque chose de semblable.
Dans le monde actueli, de plus en plus de personnes évoluent dans l'espace numérique et, en se déplaçant, laissent des traces d'informations dans leur sillage. Les industries axées sur les données prospèrent grâce à ces miettes de pain. Elles fouillent dans les informations que vous recherchez sur internet, dans les articles que vous lisez, elles essaient de comprendre vos intérêts, votre religion, votre sexualité, votre état de santé, votre tranche de revenus. Puis, sur la base de ces données, ces entreprises essaient de vous vendre quelque chose. Ou de vous vendre à quelqu'un (c'est-à-dire de vendre vos informations à des entreprises ou à des organisations).
Afin de protéger vos droits et vos intérêts, l'UE a mis en place le RGPD (règlement général sur la protection des données). Fondé sur sept principes, le RGPD vise à protéger les internautes dans leurs activités en ligne et à limiter les sites web qui s'emparent des données personnelles laissées derrière
L'article 5 du GDPR définit sept principes sur la manière dont nos données doivent être collectées, organisées, structurées et stockées. Ils doivent être compris comme les principes fondamentaux primordiaux qui donnent aux contrôleurs et aux responsables du traitement des données un guide pour comprendre leurs obligations concernant les données qu'ils traitent. Nous allons examiner de plus près les principes et leur signification ci-après :
1. Licéité, loyauté, transparence
Le premier principe est relativement évident : les personnes ou les organisations qui traitent des données personnelles doivent s'assurer que leurs pratiques de collecte de données n'enfreignent pas la loi, qu'elles ne font rien avec ces données que vous ne pourriez raisonnablement attendre et qu'elles ne vous cachent rien de pertinent.
La légalité signifie deux choses pour les responsables du traitement des données : identifier une base légale appropriée pour le traitement de vos données et éviter les activités illégales dans ce cadre. Cela peut sembler assez facile, mais ce n'est pas toujours le cas. Les responsables du traitement des données ont le choix entre six bases juridiques : le consentement, l'exécution d'un contrat, l'intérêt légitime, l'intérêt vital, une exigence légale et l'intérêt public. Chacune de ces bases comporte ses propres règles, avantages et inconvénients pour le responsable du traitement.
La loyauté (licéité des données) signifie que les responsables du traitement ne doivent pas tromper intentionnellement les personnes sur la manière dont leurs données seront traitées, et que si leur traitement a un impact négatif sur la personne concernée, ils peuvent le justifier.
Le concept de transparence exige un avis clair, ce qui signifie que lors de la collecte de données, il faut expliquer clairement pourquoi les données sont collectées et comment elles seront utilisées.
Lorsqu'une organisation vous demande de lui fournir toutes sortes d'informations vous concernant (ou ne vous les demande même pas), sans vous dire ce qu'elle en fera et pourquoi, elle enfreint le RGPD.
2. Limitation des finalités
En un mot : soyez précis. Les organisations doivent avoir une raison spécifique et légitime de traiter vos informations personnelles. Les responsables du traitement des données doivent consigner leurs finalités dans leur documentation, et s'ils choisissent le consentement comme base juridique, ils doivent communiquer clairement leurs intentions. S'ils se rendent compte entre-temps que les données seraient utiles à d'autres fins, tant pis pour eux. Pour vous donner un exemple, supposons que Joe le boulanger demande à ses clients leur consentement pour stocker leur adresse électronique et leur envoyer des newsletters sur ses ventes hebdomadaires. Il pourrait ensuite vouloir les informer également de l'ouverture de son nouveau restaurant, mais il ne dispose pas de leur consentement pour le faire. Les clients n'ont pas accepté de recevoir toutes sortes d'e-mails de la part de Joe, ils ont seulement accepté de recevoir des e-mails sur les ventes de sa boulangerie.
3. Minimisation des données
Conformément au RGPD, les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. » Par conséquent, le RGPD est conçu pour ramener la collecte de données au minimum nécessaire. Cela signifie que les organisations et leurs responsables du traitement des données ne doivent stocker que la quantité minimale de données nécessaires à leur finalité. Joe, par exemple, n'est pas censé collecter des informations sur le fait que ses clients conservent leurs économies en espèces ou dans une banque, car ces informations ne sont tout simplement pas nécessaires pour les informer de ses ventes hebdomadaires. C'est logique, tout d'abord parce que la façon dont ses clients gardent leur argent n'est pas vraiment l'affaire de Joe. Ensuite, parce que moins il y a d'informations qui sortent si quelqu'un pirate l'ordinateur de Joe, mieux c'est.
4. Exactitude
L'exactitude des données personnelles fait partie intégrante de la protection des données. Les données à caractère personnel doivent être : « exactes et, si nécessaire, tenues à jour. » Cela implique que, selon le RGPD, « toutes les mesures raisonnables doivent être prise » pour effacer ou rectifier les données qui sont inexactes ou incomplètes. Les responsables du traitement des données doivent faire un travail systématique de vérifications et de bilans pour corriger, mettre à jour ou supprimer les contacts périmés ou anciens et autres données personnelles inexactes ou incomplètes. Par exemple, si l'une des clientes de Joe était inscrite sur sa liste avec son ancienne adresse professionnelle, mais qu'elle a changé d'emploi et demande à Joe de modifier son adresse dans sa liste, il est tenu par la loi de le faire.
5. Limitation de la conservation
Le principe de limitation de la conservation est étroitement lié à la minimisation des données et vise à empêcher les responsables du traitement de conserver les données personnelles plus longtemps que nécessaire. Il prévoit que les données à caractère personnel ne doivent être conservées que le temps nécessaire et qu'elles doivent ensuite être effacées. Par exemple, si vous donnez votre numéro de téléphone à un pub pour qu'il puisse vous avertir si quelqu'un retrouve vos clés perdues, il ne doit pas conserver votre numéro dans ses fichiers après que les clés ont été retrouvées. Ou, pour donner un autre exemple, si Joe ferme sa boulangerie pour se consacrer entièrement à son nouveau restaurant, il ne peut pas conserver les adresses électroniques de ses anciens clients en « souvenir du bon vieux temps. »
Bien entendu, de nombreux cas ne sont pas aussi simples. Les entreprises peuvent avoir besoin de conserver certaines données personnelles de leurs anciens clients afin de pouvoir traiter les réclamations de ces derniers. Les banques ne peuvent pas supprimer toutes vos données lorsque vous fermez vos comptes, car elles sont légalement obligées de conserver certaines données et de les communiquer aux autorités sur demande (justifiée). Ce qu'il faut retenir, c'est que les responsables du traitement et les sous-traitants peuvent être amenés à conserver certaines données pendant une période plus longue, mais qu'ils doivent toujours avoir une très bonne justification pour chaque miette de données qu'ils conservent à un moment donné.
6. Intégrité et confidentialité
L'essence même de ce principe est la suivante : assurez la sécurité de nos données, car elle est primordiale. Pourquoi ? Comme nous l'avons vu plus haut, Joe, par exemple, ne doit pas collecter de données non pertinentes et inutiles vous concernant, de sorte que si quelqu'un pirate son ordinateur, le préjudice potentiel pour vous sera relativement faible. C'est l'intérêt de la minimisation des données. Mais même en minimisant les données, de nombreuses entreprises traitent des données qui, si elles sont divulguées, peuvent vous nuire ou vous faire souffrir. Pensez simplement aux données de votre carte de crédit. Ou imaginez que vous êtes très actif politiquement et que votre adresse personnelle tombe entre de mauvaises mains. Afin d'éviter de tels préjudices, les responsables du traitement des données doivent déployer des efforts considérables pour protéger vos données. Plus ces données peuvent être dangereuses pour vous, plus ils doivent redoubler d’efforts.
7. Responsabilité
Le dernier principe de responsabilité peut être considéré comme un ensemble d'exigences essentielles liées aux six autres principes. Il indique clairement que la responsabilité en matière de conformité au RGPD incombe à ceux qui traitent les données. Les organisations doivent disposer de la documentation nécessaire pour prouver qu'elles respectent le respect de tous ces principes. Par conséquent, un bon dossier de documentation est essentiel pour prouver la conformité lorsque les autorités et les polices d'assurance le requièrent. Cela se fait généralement par un ensemble de mesures telles que tous les petits avis de confidentialité qui apparaissent lorsque vous surfez sur internet, en ayant des politiques internes sur le traitement des données, en demandant aux clients hors ligne de lire et de signer les avis de confidentialité, etc.
Violations du RGPD et amendes prévues par le règlement
L'un des éléments les plus importants et les plus discutés du RGPD a été la possibilité pour les régulateurs de sanctionner les entreprises qui ne respectent pas la loi, en imposant des amendes considérables. La violation des principes décrits ci-dessus peut s'avérer très coûteuse. Les violations des derniers articles du RGPD peuvent donner lieu à de lourdes amendes (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'entreprise sur le précédent exercice, le montant le plus élevé étant retenu), mais lorsque les infractions vont à l'encontre des principes de base, une entreprise peut se voir infliger une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise pour l'exercice précédent, le montant le plus élevé étant retenu.