LUXEMBOURG
MATTHIEU FARCOT

Le règlement général sur la protection des données (RGPD, plus connu sous son acronyme anglais GDPR) va entrer en vigueur le 25 mai 2018. Une date qui approche à grand pas. Pour le citoyen connecté, les changements les plus visibles sont dans les boîtes mails, où sont arrivés de nombreux messages de services en ligne, informant les utilisateurs des modifications des conditions générales d’utilisation pour se conformer aux nouvelles obligations. Mais ces dernières ne sont pas forcément plus claires que précédemment… et risquent de subir le même dédain des utilisateurs, explique Matthieu Farcot de SECURITYMADEIN.lu et BEESECURE.lu

«Il est indéniable que ce règlement renforce la protection de la vie privée des citoyens européens. Et je peux vous confirmer que de l’autre côté du miroir, la mise en conformité aura causé (ou cause encore, selon les cas) quelques cheveux blancs aux responsables du traitement des données personnelles dans les organismes. Ces derniers ont désormais la lourde responsabilité d’identifier, d’analyser, de revoir et le cas échéant de repenser les traitements des données personnelles.

Mais concrètement, pour les citoyens, qu’est-ce qui change? Le principal changement porte sur l’information: vous serez mieux informé de ce qui sera fait de vos données, et surtout vous pourrez plus facilement exercer un droit d’accès et de rectification. Ce droit à l’information porte également sur les fuites des données: lorsqu’un service en ligne se fait pirater ou rencontre un incident et que des données personnelles se retrouvent dans la nature, le service en question aura l’obligation d’informer ses utilisateurs.

Un autre avantage est d’ordre judiciaire: les utilisateurs européens pourront désormais s’adresser aux instances de leur pays de résidence en cas de problème avec un organisme traitant leurs données, même si ce dernier se trouve dans un autre pays. Pour les résidents luxembourgeois, la CNPD sera compétente à l’échelle européenne.

Deux autres points très important complètent cet arsenal. Premièrement, le droit à l’oubli est renforcé (ce qui correspond à un droit de faire supprimer des données personnelles enregistrées ou publiées). Deuxièmement, l’action collective en cas de violation du règlement par un organisme est rendue possible. Dans les faits, cette liste (non exhaustive et fortement résumée) de nouveaux droits entraîne de nouveaux risques pour les organismes qui traiteraient vos données de manière non conforme, le principal étant la sanction en cas de violation qui pourra porter jusqu’à 4% du chiffre d’affaires mondial plafonné à 20 millions d’euros (rendant au passage les sanctions financières crédibles pour les mastodontes de l’Internet).

Le RGPD est donc un cadre nouveau, une véritable avancée dans le domaine de la protection de la vie privée des citoyens. Car qu’on le veuille ou non, notre vie est aujourd’hui connectée, et elle le sera encore plus demain. Pour autant, le principe même de la protection de la vie privée reste un sujet qui ne passionne pas les foules, hormis lors de quelques scandales mondiaux (et encore). Et tout semble fait par les très grosses entreprises pour que cela reste ainsi. Par exemple, Facebook, presque remis de la mauvaise presse liée à l’affaire Cambridge Analytica, aura modifié en profondeur ses outils de réglage du partage de nos données personnelles. Beaucoup d’options, sans doute trop, et un design fait pour que les utilisateurs valident simplement les règles par défaut qui sont (heureux hasard) exactement celles allant dans l’intérêt du “business model” de cette entreprise. C’est donc encore au citoyen de s’investir, notamment en paramétrant ces réglages. Mais vu les conséquences de l’affaire Cambridge Analytica mentionnée plus haut (impact sur les dernières élections américaines, ou encore sur les résultats du referendum portant sur le Brexit), on ne pourra que lui donner raison de vouloir faire cet effort. C’est même un peu urgent diront certains.»