Le 25 mai prochain, un nouveau règlement européen entrera en vigueur dans les 28 Etats européens. Son but : uniformiser la réglementation sur la protection des données.

Le scandale Facebook/Cambridge Analytica et l’audition de Mark Zuckerberg ont (r)ouvert le débat sur l’utilisation, parfois abusive, des données des utilisateurs par certains sites. Si aux Etats-Unis, la probabilité d’obtenir une réglementation semble fine,de l’autre côté de l’Atlantique, en revanche, l’Union européenne a pris les devants.

Un nouveau règlement commun aux 28 Etats

Ce Règlement général sur la protection des données personnelles (GDPR en anglais) remplacera la directive 95/46/CE de 1995. Rédigé et publié en mai 2016, il entrera en application directement, et en même temps, dans tous les Etats membres. Selon son texte, il s’agit de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises. » Pour ce faire, les entreprises, même celles non domiciliées dans l’Etat ou même dans l’Union Européenne (Facebook ou Google par exemple), devront obtenir un accord clair de la part d’un utilisateur pour obtenir le droit d’utiliser ses données personnelles. Les demandes doivent être simples à comprendre et ne peuvent être inclues dans les conditions d’utilisation des services ou produits proposés par l’entreprise.

Les entreprises n’auront plus le droit de garder ces données plus longtemps que nécessaire et un client pourra demander, à n’importe quel moment, à voir la totalité de ses informations supprimée des serveurs de l’entreprise en question. Les sociétés devront également prouver qu’elles n’abusent pas de la confiance des utilisateurs et qu’elles utilisent leurs données avec respect. Pour contrôler leurs faits et gestes, elles devront prendre notes de leurs utilisations et garder des archives de leurs faits. Certaines entreprises auront à désigner un DPO (Date Protection Officer) au sein de leurs équipes pour contrôler la conformité à la GDPR et de conseiller les responsables du traitement de celles-ci.

Les entreprises ne pourront donc plus, contrairement à aujourd’hui, considérer de facto que leurs clients acceptent de partager leurs données personnelles. C’est pourquoi les utilisateurs verront les demandes d’autorisation et d’utilisation de leurs informations se multiplier, pour assurer leur consentement.

Les gouvernements à l’affut

Si ces obligations ne sont pas respectées, les entreprises pourront obtenir des amendes de minimum 20 millions d’euros, pouvant monter jusqu’à 4% des ventes globales annuelles de l’entreprise. Pour des énormes sociétés comme Facebook ou Google, qui seront elles aussi contraintes par ce nouveau règlement, ces 4% peuvent représenter des milliards de dollars.

Enfin, les entreprises auront 72 heures pour se tourner vers les autorités du ou des Etats concernés lorsqu’une brèche de sécurité est dévoilée. Facebook ne pourra donc plus cacher une nouvelle affaire Cambridge Analytica pendant des années sur le territoire européen.

Crédits photo : CC0 Licence