Même si vous êtes au Québec comme moi et que cela ne vous concerne peut-être pas directement (mais plutôt indirectement comme vous le lirez dans cet article), vous avez sans doute vu passer sur Internet des informations à propos d’un nouveau règlement en Europe sur la protection des données privées. Cette « réforme » majeure va changer bien des choses sur Internet et pas seulement pour les Européens. Je vais tenter ici de résumer clairement ce changement important, en plus de vous donner des liens et références utiles à son sujet.

Article mis à jour le 30 mai 2018

Au cours des dernières semaines, plus particulièrement ces derniers jours, j’ai reçu beaucoup de courriels et vu passer sur le Web de nombreux messages au sujet de modifications apportées à la politique de confidentialité du site Web ou du service en question.

Par exemple, il y a quelques jours Twitter a affiché sur sa plateforme Tweetdeck une fenêtre d’information qui redirigeait vers sa politique de confidentialité mise à jour.

Notification RGPD Tweetdeck

Spotify a fait de même dans un courriel du 22 mai où il expliquait les raisons de ce changement et donnait, à son tour, un lien vers sa page de politiques modifiées.

Courriel Spotify à propos de RGPD

On pourrait penser que ces changements surviennent suite aux polémiques entourant Facebook et l’affaire Cambridge Analytica. C’est ce que j’ai moi-même pensé il y a quelque mois avant de comprendre que c’était plutôt dû au nouveau « Règlement général sur la protection des données » en Europe, aussi connu sous l’acronyme « RGPD ».

La plupart des services ayant informé leurs utilisateurs de modifications de leurs politiques de confidentialité ont exprimé le désir, notamment, de se montrer plus transparent en matière de collecte de nos données personnelles. Est-ce qu’ils auraient eu le même désir, n’eût été le nouveau règlement européen ? Permettez-moi d’en douter puisque cela fait justement partie de l’une des exigences de la nouvelle réglementation !

D’ailleurs, ce nouveau souci de transparence semble avoir provoqué une vague de « pourriels ». Selon un article du magazine français Marianne, nombreux de ces courriels auraient été envoyés inutilement, voire illégalement. Voici à quoi ressemblait ma boîte Gmail juste avant de mettre en ligne cet article :

Le RGPD cause du spam ?!

Alors, c’est quoi le « RGPD » ?

Le « Règlement général sur la protection des données » (RGPD ou GDPR en anglais, pour General data protection regulation) est le nouveau cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel des utilisateurs.

Le texte complet du règlement est disponible sur le site de la CNIL (Commission nationale de l’informatique et des libertés de France). Il comprend plus de 200 articles de loi et a été adopté officiellement en avril 2016 après quatre années de négociations législatives. Souvent qualifié de règlement le plus stricte au monde, le RGPD entre officiellement en vigueur le 25 mai 2018.

En termes concis et clairs, ce règlement vise à vous redonner le contrôle sur vos données personnelles qui sont utilisées par des entreprises ou l’État. Il apporte de nouvelles obligations aux organisations en matière de collecte et de traitement des données personnelles, mais aussi des droits aux utilisateurs.

Le RGPD remplace la « directive sur la protection des données personnelles » adoptée en 1995 et qui est aujourd’hui bien désuète.

Quand on parle de « données personnelles », à quoi fait-on allusion ?

Selon le nouveau règlement, une donnée personnelle est une donnée se rapportant à une personne physique qui peut être identifiée, directement ou indirectement, par une référence à un identifiant, et ce, quel que soit le moyen utilisé. Ces références peuvent être un nom, un identifiant de compte, un numéro de sécurité sociale, une photo ou vidéo, une donnée de géolocalisation (téléphone, ordinateur ou autres), ainsi que tout autre élément spécifique propre à l’identité de la personne.

Votre adresse de courriel fait partie de ces données personnelles, et ce, même si c’est celle du travail. C’est sûrement l’une des raisons qui expliquent les nombreux courriels reçus au sujet du RGPD récemment. Les entreprises et organisations européennes (mais aussi ailleurs dans le monde comme on le verra plus loin) doivent désormais avoir obligatoirement une preuve que vous avez bien consenti à recevoir leurs communications par courriel.

Le Canada contre les pourriels : cette mesure du RGPD me rappelle la loi canadienne antipourriel (C-28) entrée en vigueur le 1er juillet 2014 et officiellement appliquée le 1er juillet 2017 après une période de grâce de 3 ans. Cette loi interdit l’envoi de messages électroniques commerciaux sauf s’il y a consentement exprès ou tacite du destinataire. Un article de Cyberimpact vulgarise bien la loi canadienne.


NOTE | En cliquant sur l'image, vous consentez à ce que certaines données de suivi soient recueillies par Google.

Quels sont les objectifs du RGPD ?

Parmi les 200 articles de loi qui complètent le texte du RGPD, on retient trois principaux objectifs de sa mise en place :

  • Unifier et harmoniser les différentes régulations européennes protégeant les données personnelles. L’ancienne législation datant de 1995 n’était qu’une directive, soit un simple acte juridique pris par le Conseil de l’Union européenne qui proposait aux 28 pays membres des objectifs à atteindre. Or, chaque pays l’a appliquée de manière différente. La première mission du RGPD est de « colmater » les disparités et les différences qui existent au sein de l’UE.
  • Étendre à l’ensemble des citoyens européens, majeurs et mineurs, des droits liés à la collecte de leurs données personnelles et le contrôle de celles-ci.
  • Responsabiliser les entreprises récoltant les données personnelles. De ce fait, l’idée du RGPD est d’instaurer un climat de confiance entre le collecteur de données personnelles et le collecté.

Qui doit se conformer à la nouvelle réglementation ?

Même si le RGPD est un règlement européen, il ne se limite pas aux entreprises du vieux continent. Dans les faits, toute entreprise ou tout professionnel individuel à travers le monde qui traite des données personnelles de citoyens européens doit se conformer à la nouvelle réglementation.

Voici un graphique de la société Deloitte qui indique clairement si l’entreprise pour laquelle vous travaillez (ou vous-même si vous êtes travailleur autonome) est concernée :

Quelles entreprises sont concernées ?

En tant que blogueur, je dois me conformer… et vous ? Près de 65 % des visiteurs de mon blogue proviennent de l’Europe. Puisque je collecte des données comme le nom et l’adresse de courriel de mes lecteurs qui commentent mes articles ou qui s’abonnent à mon infolettre, en plus de recueillir des statistiques de fréquentation avec Google Analytics, je suis dans l’obligation de respecter le RGPD (en plus de la loi antipourriel canadienne), et ce, même si je vis au Québec. À ce sujet, vous trouverez sur mon blogue ma nouvelle page de politique de confidentialité.

Guide de sensibilisation pour les PME : la CNIL a publié un guide pratique en collaboration avec la banque publique d’investissement en France. Il résume clairement les principales étapes pour se conformer au RGPD. Vous retrouverez sur la même page de la CNIL d’autres fiches utiles pour votre PME.

Quelles sont les obligations de l’entreprise ou du professionnel assujetti au RGPD ?

Voici les principales obligations des entreprises et des professionnels qui doivent se conformer au RGPD :

  • Comme dit précédemment, obtenir et conserver le consentement des citoyens dès que l’on souhaite collecter une donnée personnelle comme une adresse de courriel. Au sujet de cette dernière dans le cadre de l’abonnement à une infolettre, il est obligatoire d’envoyer un courriel au nouvel inscrit afin qu’il puisse confirmer son abonnement (ce qu’on appelle en langage technique le double « opt-in »). La confirmation devient alors une sorte de preuve justificative.
  • Limiter la collecte des données personnelles au strict minimum nécessaire. Par exemple, demander dans un formulaire la date et le lieu de naissance d’une personne à qui l’on souhaite offrir une formation en informatique, c’est complètement inutile !
  • Sécuriser et protéger les données personnelles récoltées. C’est un devoir, notamment, d’utiliser un mot de passe sécuritaire et complexe pour accéder à l’outil qui permet de gérer les adresses de courriel de ses abonnés. Il faut également signaler aux autorités toute violation des données personnelles qui pourrait survenir (piratage par exemple).
  • Faire preuve de transparence dans le traitement des données personnelles après leur collecte. L’entreprise doit notamment avertir clairement l’utilisateur lorsqu’il y a collecte de ses données, préciser les objectifs et les usages de tout traitement des données, ainsi que définir des stratégies de conservation et de suppression des données.
  • Supprimer les données personnelles des utilisateurs inactifs depuis une période de 36 mois (3 ans). Dans le cas d’une utilisation de « cookies » sur un site Internet, une nouvelle demande de consentement doit être présentée aux visiteurs à chaque 13 mois. D’ailleurs, je n’aurai pas le choix de vous afficher une telle demande bientôt… Enfin, la durée de conservation des données dépend du secteur d’activités (cet article de la CNIL donne plusieurs exemples).

Amende sévère : dans le cas où une entreprise ou un professionnel ne respecte pas le RGPD, elle ou il s’expose à une pénalité allant jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires annuel, en fonction de ce qui est le plus élevé).

Si vous êtes concerné par la réglementation et ne vous êtes pas encore conformé, je vous recommande fortement de lire le guide de la CNIL pour se préparer en 6 étapes.

Et après tout, en quoi cela vous concerne cher internaute ?

Le nouveau règlement apporte des droits aux internautes et utilisateurs de différents services sur Internet. En réalité, le RGPD s’adresse principalement aux citoyens européens.

Toutefois, certaines grandes sociétés et entreprises ont étendu (ou prévoient étendre) leurs nouvelles politiques à l’ensemble de leurs utilisateurs dans le monde entier et pas seulement aux résidents de l’Union européenne. C’est le cas notamment de Microsoft qui l’a annoncé sur son blogue. Étonnamment, même Facebook a confirmé la même intention lors du salon Viva Technology le 24 mai, soit la veille de l’entrée en vigueur du règlement.

Voici donc en résumé quels sont les droits des internautes concernées par le RGPD. Ils sont principalement au nombre de 5 :

  • Accéder facilement à ses données personnelles. Ainsi, l’utilisateur est en droit de savoir quelles sont les données personnelles recueillies, pourquoi elles le sont, avec quels tiers elles seront éventuellement partagées et pendant combien de temps elles seront conservées.
  • Solliciter la portabilité de ses données. Ce point est en partie lié au précédent; un utilisateur peut à tout moment demander à l’entreprise d’avoir accès à ses données dans le but de les transférer, par exemple, vers un autre service. Les données doivent alors lui être fournies dans un format lisible, compréhensible et facilement réutilisable.
  • Corriger des erreurs éventuelles dans ses données. Pour ce faire, l’entreprise doit offrir un espace facilement accessible à l’utilisateur pour réaliser les modifications.
  • Exiger la suppression définitive de ses données (ce que l’on appelle aussi le « droit à l’oubli »). L’entreprise doit garantir le retrait des données dans un délai d’un mois. Le « droit à l’effacement » est toutefois encadré, notamment si les renseignements sont nécessaires à l’accomplissement de l’offre de services qui la lie à l’individu ou qu’une législation requiert la préservation des données.
  • S’opposer à la collecte et au traitement de ses données. L’internaute a le droit de refuser toute collecte et tout enregistrement de ses données par l’entreprise, peu importe le moyen utilisé.

Voici une vidéo très intéressante de la CNIL à propos de ces nouveaux droits :


NOTE | En cliquant sur l'image, vous consentez à ce que certaines données de suivi soient recueillies par Google.

Mon blogue n’est pas encore entièrement conforme au RGPD, je travaille à ce qu’il le soit. Vous avez des questions à propos du nouveau Règlement général sur la protection des données ? N’hésitez pas à commenter mon article !