Les lois relatives à la protection de la vie privée actuellement en vigueur proviennent de la Directive européenne sur la protection des données personnelles de 1995. Chaque pays membre de l’Union européenne a interprété cette loi à sa propre manière, ce qui donne des législations nationales très hétérogènes. Cette loi est en outre obsolète, car elle ne tient pas compte, entre autres, des médias sociaux ou de la technologie cloud. Pour surmonter ce problème et parvenir à une législation européenne uniforme, l’Union européenne s’affaire actuellement à la rédaction du Règlement général sur la protection des données (RGPD).
Officiellement, le RGPD est entré en vigueur en mai 2016. Il prévoit une période de transition pour les organisations et entreprises comptant plus de 250 employés, période qui prendra fin le 25 mai 2018. À partir du 25 mai 2018, la nouvelle législation européenne relative à la protection de la vie privée s’appliquera donc à toutes les organisations et entreprises sises dans les pays de l’UE et qui manipulent des données personnelles. Toutes les lois nationales relatives à la protection de la vie privée seront alors immédiatement remplacées par le RGPD. La Commission européenne de protection de la vie privée aura, à partir de ce moment, également le pouvoir d’effectuer des contrôles relatifs au RGPD et, si ce dernier n’est pas respecté, d’infliger de fortes amendes.
Voici les trois fondements de cette nouvelle législation :
1. Collecte et utilisation de données personnelles
Dans le cadre de la collecte et de l’utilisation de données personnelles, l’aspect essentiel est la transparence. Premièrement, il convient de constamment informer les personnes dont vous collectez les données de la nature précise des données que vous collectez et de la manière dont vous le faites (cookies sur un site Web, limitations de responsabilité et avertissements concernant la vie privée, double opt-in pour le marketing par e-mail…).
Ces personnes doivent également toujours avoir la possibilité de consulter leurs données. Ce droit s’applique également à la modification et à la suppression des données. Si les gens dont vous détenez les données ont une bonne raison pour les modifier ou les supprimer, vous devrez procéder à cette modification ou suppression immédiatement et les en informer dès que cela sera fait.
La législation va également renforcer les lois en rapport avec la protection des mineurs d’âge. Pour traiter les données d’un enfant de moins de 16 ans, le RGPD exige que vous obteniez l’autorisation expresse de l’un de ses parents ou tuteurs. La législation limite également le traitement automatique de données, notamment en relation avec les intérêts, la fonction et la position géographique des individus, toujours pour en contraindre la collecte. Dans ce cas spécifique, toute personne doit être en mesure de consulter toutes ses données par elle-même, et ce, à tout moment, ce qui signifie non seulement les informations de contact, mais aussi toutes les données dont l’organisation ou l’entreprise dispose sur la personne.
2. Distribution des données
Le RGPD prévoit également une réglementation plus stricte sur le partage des données personnelles. La personne qui transmet ses données personnelles doit être informée si ces dernières sont distribuées à des tiers. L’entreprise ou organisation qui collecte des adresses e-mail afin de les redistribuer ultérieurement à des tiers doit, pour ce faire, recourir au double opt-in. Cette obligation implique qu’une personne doit donner deux fois son consentement avant que ses données puissent être utilisées à ces fins.
Une personne a également le droit de demander le transfert de données à des tiers. La personne qui désire, par exemple, de changer d’opérateur téléphonique ou de fournisseur d’énergie ne devra désormais plus s’occuper elle-même du transfert de ses données. Elle peut demander directement à son opérateur ou son fournisseur actuel de procéder au transfert de ses données, et ce, gratuitement et dans un délai d’un mois.
3. Sécurisation
L’objectif de cette nouvelle législation est naturellement d’améliorer la sécurité autour des données personnelles. Pour renforcer cette sécurité, chaque organisation ou entreprise est désormais tenue de signaler les fuites et les vols de données. Si la fuite de données personnelles collectées constitue un danger, elle doit être signalée dans les 72 heures à l’autorité nationale de protection des données ainsi qu’aux personnes intéressées.
Le RGPD conseille également aux organisations et entreprises de nommer un Délégué à la protection des données (DPD), un travailleur spécifique qui doit veiller au respect de toutes les règles du RGPD. Dans certains secteurs où le traitement de données est très courant, comme pour la prospection et le marketing direct, ainsi que pour les autorités, la désignation d’un DPD sera même obligatoire.
Enfin, le RGPD prévoit également des analyses d'impact relatives à la protection des données (AIPD). Une AIPD est un audit sur la protection de la vie privée permettant de vérifier la manière dont une entreprise traite et sauvegarde les données personnelles. Ces vérifications permettent d’identifier les failles de sécurité (et plus tard de les corriger).
Votre organisation ou votre entreprise sera-t-elle prête à la fin de la période de transition du RGPD, le 25 mai 2018 ?