La protection des données

La digitalisation a permis de faciliter les échanges dans le monde entier et de fluidifier l’organisation des entreprises. Cependant, ce phénomène engendre de nombreuses questions sur les droits de personnes, car les données qui y figurent peuvent être éternelles et revendues à bon ou mauvais escient. Cette problématique de la donnée a émergé il y a quelques années dans toutes les sociétés et sera au cœur de cette fiche repère. Qu’est-ce qu’une donnée ? Toutes les données ont-elles les mêmes protections ? Quelles sont les acteurs de ce domaine ?

Qu’est-ce qu’une donnée ?

Une donnée est toute information relative à une personne identifiée ou identifiable directement ou indirectement : numéro, données de localisation, identifiants, etc. Cette définition généraliste permet de souligner que tous les individus et les entreprises sont des producteurs conscients ou inconscients de ces informations, dès lors qu’ils utilisent des outils numériques. Par exemple, la page web d’une entreprise contient beaucoup de données pouvant être réutilisées pour effectuer une cyberattaque : organigramme pour savoir quelles sont les personnes clefs de la structure, actualités, etc. Les particuliers, quant à eux, via les réseaux sociaux donnent beaucoup d’informations sur leurs modes de vie pouvant être réutilisées pour mieux les cibler ou pour déduire des mots de passe afin de dérober des données.

Pour plus d'informations, voir cette fiche repère

C'est quoi le Règlement général sur la protection des données (RGPD) ?

Cependant, toutes les données ne se valent pas en importance et en sensibilité. En 2018, le Règlement général sur la protection des données (RGPD) est rentré en application au niveau européen, instituant deux catégories de données : les données personnelles et les données sensibles. La première catégorie qui s’affilie à la précédente définition regroupe la plus grande majorité des données sur les personnes comme le nom, le prénom, les photos, etc.

A l’inverse, les données sensibles sont des informations qu’il faut davantage protéger, car elles sont beaucoup plus intrusives ou peuvent entrainer des discriminations si elles venaient à être éventées : origine ethnique, opinions politiques ou religieuses, etc. Leurs utilisations sont plus encadrées et tous les organismes ne peuvent y avoir accès.

Cliquez sur l'image pour zoomer.

Quel impact au niveau européen ?

Cette catégorisation est celle active encours au niveau européen et a comme autre objectif d’adapter les moyens de protection technique et de sécurité, selon les données utilisées par les entreprises. De plus, même si les données sont cryptées ou archivées, elles doivent continuer à être sécurisées, car elles peuvent toujours revenir en format lisible. Les données en version papier, comme les feuilles de paie, sont aussi concernées par ce texte.

Le RGPD a permis à tous les pays européens d’avoir le même socle législatif sur la protection des données et leurs traitements, c’est-à-dire toutes les opérations sur ces informations comme la collecte, l’enregistrement, la structuration, la consultation ou la destruction par exemple. Ainsi, le RGPD est un texte sur « la vie complète de la donnée » et lui confère une durée d’utilisation pour les entreprises. Les obligations de celles-ci s’accentuent en plaçant la protection des données au sein de son organisation et de ses projets, avec des preuves en cas de contrôle.

Cliquez sur l'image pour zoomer.

Le RGPD a donc bousculé l’organisation des entreprises en donnant une date de péremption aux données et a augmenté le degré de sécurité. Enfin, les sanctions en cas de non-respect ont aussi été rehaussées afin de les rendre plus dissuasives : jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros. Par exemple, en 2019, Google a été condamné à une amende de 50 millions d’euros en France pour manque de transparence et d’informations, par la Commission nationale de l’informatique et des libertés (CNIL), en France. En 2020, la Belgique prononça à son tour 600 000 euros d’amende pour non-respect du droit à l’oubli.

A noter :

Enfin, ce texte renforce les droits des personnes, sur deux points :

De nouveaux droits sont ajoutés ou renforcés afin que les individus restent les uniques possesseurs de leurs données, comme le droit à la portabilité, le droit d'accès ou le droit à l'oubli ;

L’extension du périmètre du RGPD à l’ensemble des citoyens européens, même s’ils ne se situent pas sur ce territoire

Pourquoi un renforcement dans la protection des données ?

La France s’est penchée dès 1978 sur la protection des données et a été à la pointe sur ce sujet (voir zoom). Avec l’accélération technologique à partir des années 90, les données sont actuellement considérées comme fondamentales pour toutes les organisations. Qualifiées « d’or noir », elles permettent aux entreprises de mieux connaître leur clientèle afin de cibler de proposer des offres adaptées, augmentant alors la consommation. Il est alors important d’en avoir de plus en plus et actualisées.

Les moyens pour les obtenir peuvent se faire de différentes manières : cartes clients, achat à des organismes tiers, etc. Elles peuvent être directement émises par les personnes ou déduites par les entreprises elles-mêmes. Le RGPD a pour but d’éviter des traitements non-voulus par les personnes et réguler l’utilisation des données. Ainsi, elles devront être à un moment détruites, réduisant le risque de fuite ou de sollicitation sur le long terme.

Le RGPD vise aussi à offrir un cadre aux grandes entreprises du numérique, comme les GAFA (Google, Amazon, Facebook, Apple, Microsoft), pour un usage et une vente plus raisonnés de la grande quantité de données qu’elles détiennent. Permettant leur monopole, la revente de données, pratique répandue aux Etats-Unis, rentre en opposition avec la vision du RGPD où les données appartiendront toujours à son propriétaire.

Pour plus d'informations, voir cette fiche repère

Par sa dimension européenne, ce texte a un poids face à ces multinationales du numérique, grâce à son périmètre élargi, à son pouvoir de sanction et les nouveaux droits pour les utilisateurs notamment le droit à l’information. Par une meilleure connaissance des tenants et aboutissants, l’Union Européenne a fait le pari que les citoyens seraient davantage prudents dans l’usage des nouvelles technologies et des réseaux sociaux. Enfin, la protection des données met les entreprises face à leurs responsabilités de sécurisation des données et dans leurs bons usages. Les attentes sont plus élevées et adaptées selon les entreprises, qui doivent davantage protéger leurs données face aux menaces : antivirus, formation, archivage, destruction, etc.

Cliquez sur l'image pour zoomer.

Zoom sur la CNIL

Créée en 1978 grâce au premier texte sur la protection des données en France, la Loi Informatique et Libertés, la Commission Nationale de l’informatique et des libertés (CNIL) est un organisme français indépendant qui veille à ce que l’informatique soit au service des citoyens et qu’elle ne porte pas atteinte à ses droits, en surveillant activement l’utilisation des données par les organisations et informe les personnes de leurs droits. Contrôlant la bonne application du RGPD en France et sanctionnant les entreprises, elle donne son avis consultatif sur de nombreux grands projets numériques publics innovants comme sur la vidéosurveillance ou les applications de géolocalisation.

Regardez la vidéo.

Cliquez sur l'image pour zoomer.

Pour conclure et valider la lecture de la fiche :

Parmi ces propositions, quels sont les motifs légitimes pour la récolte des données personnelles selon le règlement général sur la protection des données (RGPD) ?

Consentement de la personne
Opérations de communication ciblées
Faciliter la vie des entreprises en partageant les données des organismes publics
Nécessité pour la sauvegarde d'intérêts vitaux ou légitimes et la poursuite d'une mission publique
Obligation légale ou l'exécution d'un contrat

Valider

Retour