Peut-on vraiment protéger nos données personnelles ?

Organisé le lundi 3 Décembre 2018 au tiers-lieu numérique Cobalt la 15ème édition des Débats de la COM’ a réuni des professionnels de la communication pour discuter des  réalités autour de la protection de nos données personnelles. Thomas CHARTIER et Gwenaelle RICHARD de l’Agence RGPD, Jean-Christophe PASCO, enseignant chercheur à l’Université de Poitiers en droit de la propriété intellectuelle et Isabelle GUERINEAU, déléguée à la Protection des Données de l’Université de Poitiers nous ont apporté les connaissances nécessaires à la compréhension des nouvelles législations relatives à nos données personnelles.

Depuis 1978, la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés a été modifiée une vingtaine de fois. En 2018, elle est une nouvelle fois consolidée avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) voté en 2016 par le Parlement Européen. La nécessité de changer de règlement s’explique par la volonté de s’étendre à toute l’Europe mais aussi de faire face à l’évolution des outils numériques et de leurs utilisations. La collecte des données personnelles accrues, notamment auprès de nouvelles cibles, comme le public adolescent, pousse les juridictions à créer une loi avertissant des dangers et instaurant de nouveaux droits pour les utilisateur.rice.s.

Le RGPD et ses différents aspects

Trois dimensions peuvent résumer le RGPD. Dans un premier temps, il renforce le dispositif existant et sa philosophie de la liberté dans le cadre informatique. En second temps, il crée de nouveaux droits, comme le “droit à l’oubli”, droit à l’effacement qui implique pour les personnes “[…] d’obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées”. Enfin, le RGPD crée un droit parallèle – une loi pour une République numérique régie par chacun des pays membres et entraînant d’autres droits. En France par exemple, un droit à la “mort numérique” a été mis en place. Une personne peut désormais se prononcer sur les conditions de traitement de ses données après sa mort, comme leur suppression, ou leur exploitation par  d’autres individus.

Responsabiliser les détenteur.rice.s de données personnelles en exigeant structuration et protection des données reste le premier objectif de ce règlement. C’est le principe de la Privacy by design, une approche prônant la précaution d’usage nécessaire à la sécurisation mais aussi à l’exploitation des informations et instaurant une confiance dans la possession des données. En définitive, pour une organisation, cela consiste à informer les personnes concernées des données que l’on possède sur elles, de signaler pour combien de temps on les détiendra, et surtout de démontrer que la possession est en adéquation avec un objectif final énoncé.

Mais qu’entend-on vraiment par l’expression “données personnelles” ?

Sur internet, le terme inclut toutes données qui permettent l’identification directe ou indirecte d’une personne. Au dela des données “courantes” (prénom, nom, photographie…), on observe les données dites “sensibles”, comme les informations sur l’origine ethnique, la religion, la philosophie, les données de santé, les condamnations etc.

Ce terme englobant une multitude d’aspects, la question devient alors : “Que n’entend-on pas par données personnelles ?”.

En outre, la détention de ces données concerne alors non seulement les entreprises mais aussi tous organismes possédant des données sur l’identification d’une personne (un.e salarié.e, un.e élève, un.e bénévole…).

Annoncé en 2016, les acteur.rice.s ont eu deux ans pour se préparer activement à l’entrée en vigueur du RGPD. Cependant, cette loi peut être difficile à mettre en place et est même majoritairement ressentie comme une sanction. Parfois non prévus dans leur budget, les changements liés à l’arrivée du RGPD peuvent être considérés comme une vraie mutation imposée pour l’entreprise qui, parfois, refuse de s’y soumettre. Dans le cadre d’une relation de B to B et là où de plus en plus d’entreprises attendent que leurs collaborateur.rice.s soient en accord avec la loi, ne pas être conforme restreindrait des marchés potentiels, là où l’être permettrait d’en conquérir de nouveaux.

Respecter le RGPD, en engageant un.e Délégué.e à la Protection des Données (DPO – ou Data Protection Officer) par exemple, c’est aussi ne pas risquer d’encourir des sanctions (amende de vingt millions d’euros ou 4% du chiffre d’affaire). Même sans commettre un préjudice, les acteurs peuvent quand même être condamnés sur un risque d’accessibilité aux données que l’on détient. Ce fut le cas de Optical Center, condamné à 50 000 € puis 200 000 € d’amende, après ne pas avoir suffisamment sécurisé une de leur base de données clients.

Seulement, le piratage de données étant de plus en plus fréquent et contenu des compétences des hackers, la sécurisation des données personnelles est-elle vraiment effective ?

Les bons réflexes citoyens pour protéger nos données

La minimisation des données, autre fondement du RGPD, fait savoir aux utilisateur.rice.s que la meilleure protection est de fournir le moins d’informations possible. Pour un.e citoyen.ne, les bons réflexes restent de lire toutes les documentations disponibles et de se poser les bonnes questions : “Ce que je transmets peut-il me faire du tort ?” Étant au fait que 50% des DRH consultent les réseaux sociaux pour cerner la personnalité des candidat.e.s à un poste, la protection de nos données personnelles relève aussi du bon sens de chacun.e.

Objets connectés, croisements massifs des informations… : avec les transformations soutenues de notre univers numérique, ce serait être crédule que d’affirmer que cette nouvelle législation protège les utilisateur.rice.s à 100%. Beaucoup d’efforts de la part des détenteur.rice.s, comme des citoyen.ne.s sont nécessaires pour une sécurisation optimale. Toujours est-il que, depuis son introduction, le RGPD semble rendre plus conscient  et ouvre le dialogue entre les différents acteur.rice.s de la chaîne.

Charlène Gomez

Sources

  • Règlement (UE)  2016/679 du Parlement Européen et du Conseil du 27 avril 2016 – [disponible en ligne sur https://www.cnil.fr ]

Retour en haut