Les données ont changé
Le nouveau règlement européen de protection des données personnelles (RGPD) entre en vigueur dans les pays de l’Union, ce vendredi. Droit à l’oubli, âge minimum... le texte offre davantage de garanties aux internautes.
L’Union européenne se dresse face aux géants du numérique. Voté en avril 2016 par le Parlement de Strasbourg puis adopté par les députés français le 14 mai, le règlement de protection des données personnelles (RGPD) entre en vigueur ce vendredi, avec l’objectif de changer le rapport de force face à la toute puissance des Gafam (Google, Apple, Facebook, Amazon, Microsoft). Le texte offre ainsi aux internautes un panel de protections renforcées.
V Le droit à l’oubli consacré. Rendu accessible aux internautes européens par Google dès 2014, le droit à l’oubli est généralisé et encadré par cette nouvelle loi. Il permet « d’obtenir l’effacement, dans les meilleurs délais, de données à caractère personnel ». Les sites pourront toutefois refuser d’effacer ces informations si elles participent à « l’exercice du droit à la liberté d’expression et d’information », pour des raisons d’intérêt public lié à la santé ou si ces éléments participent à « la constatation, à l’exercice ou à la défense de droits en justice ».
V Un âge minimum requis. Le règlement stipule que « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale. » En France, le parlement a fixé cette limite d’âge à 15 ans au lieu de 16. V La transparence en cas de piratage. Désormais, les sites auront 72 heures pour prévenir la Commission nationale de l’informatique et des libertés (Cnil) en cas de violation des données de leurs utilisateurs ou de leurs clients. Cette notification ne concerne que les cas où le piratage peut engendrer un risque pour les droits ou les libertés des personnes. V Des amendes très importantes. « Jusqu’en 2016, les sanctions maximales que pouvait infliger la Cnil s’élevaient à 150 000 €. C’était dérisoire pour des géants comme Facebook. Ensuite, le plafond a été fixé à 3 millions d’euros. Avec le RGPD, ce sera 20 millions ou jusqu’à 4 % du chiffre d’affaires », précise Arthur Messaud de la Quadrature du Net. Au-delà des sanctions « préventives », les internautes pourront également mener des actions collectives en cas de violation de leurs données personnelles.