Changer d'édition

Protection des données: un mois avant le Big Bang
Économie 6 min. 23.04.2018 Cet article est archivé

Protection des données: un mois avant le Big Bang

La protection des données rentrera le 25 mai dans une nouvelle ère en Europe avec le GDPR. Reste à savoir comment les Européens vont s'approprier ce texte protecteur.

Protection des données: un mois avant le Big Bang

La protection des données rentrera le 25 mai dans une nouvelle ère en Europe avec le GDPR. Reste à savoir comment les Européens vont s'approprier ce texte protecteur.
AFP
Économie 6 min. 23.04.2018 Cet article est archivé

Protection des données: un mois avant le Big Bang

Thierry LABRO
Thierry LABRO
Dès le 25 mai, les particuliers pourront demander des comptes à ceux qui détiennent des données sur eux, grâce à la nouvelle réglementation européenne en la matière. Voici le premier article d'une série que nous consacrons à ce sujet.

1er janvier 2000, le bug de l'An 2000 fait «plouf» malgré les centaines de millions d'euros investis dans la préparation à cette date. Le 25 mai, le Règlement européen sur la protection des données – ce «GDPR» dont on parle à tous les carrefours – n'aura probablement pas d'effet plus visible: de nombreuses entreprises ne seront pas prêtes, pour des raisons de personnel (43 % des excuses invoquées), par manque de budget (40 %) ou par manque de compréhension du règlement européen (38 %).

Dans un sondage auprès de plus de 500 sociétés de cybersécurité, par exemple, seules 7 % affirment qu'elles seront prêtes à la bonne date et 40 % qu'elles pourraient y arriver. Alors quid des petites PME qui pour une raison ou une autre traitent des données à caractère personnel? Quid des experts-comptables, des avocats, des commerçants en ligne ou réels aux cartes de fidélité parfois très détaillées?

Deux données «acceptables»: le nom et l'email

Du côté des consommateurs, selon une étude de Pega menée auprès de 7.000 européens – mais pas au Luxembourg – 72 % d'entre eux ignorent de quoi on parle et 82 % répondent qu'ils demanderont à voir, modifier ou effacer leurs données. 45 % des sondés ne supportent pas l'idée que leurs données aient été revendues à des tiers, 14 % de recevoir un appel d'un robot pour leur proposer un service ou un produit et 12 % d'être ciblés pour quelque chose qui ne les intéresse pas. Seules quatre données sont abandonnées par plus d'un consommateur sur deux «accepte» de partager: son nom (76 %), son adresse email (74 %), son adresse postale (56 %) et son sexe (55 %). Pourtant, l'enjeu va bien plus loin que cela.

Dans les nombreuses conférences gratuites que la Chambre des salariés a organisées avec ses juristes – et qui ont fait salle comble – les exemples parlent d'eux-mêmes. Monsieur A consulte son médecin généraliste, qui met à jour sa fiche médicale; Madame B est embauchée dans une entreprise de transport qui lui demande de fournir son adresse, son numéro de sécurité sociale, ses coordonnées bancaires; Madame C travaille dans une banque et doit avoir accès chaque jour à la salle des coffres où des caméras de surveillance filment sans interruption. Il y a des dizaines d'exemples tous différents les uns des autres et qui suscitent les interrogations dans les sociétés.

Le GDPR a une particularité: c'est un règlement et non une directive. Autrement dit, il fixe un standard minimum que les Etats membres doivent respecter. Si le respect de la vie privée est, au Luxembourg, garanti par l'article 11 alinéa 3 de la Constitution, le gouvernement a confié dès 2016 à une «Commission nationale de la protection des données» (CNPD) un double rôle: celui d'organisateur de cette délicate transition vers le retour au contrôle individuel des données et celui de gendarme.

La CNPD au four et au moulin

Un rôle que la CNPD assume en réalité depuis quatre ans et qui se traduit aujourd'hui par toute une série d'initiatives qui s'adressent aussi bien aux professionnels qu'aux particuliers. Sur son site internet, elle a publié un guide de préparation, un dossier spécial, des séances d'informations, des questions-réponses et même un outil développé avec le LIST et eProseedRTC qui permet de s'autotester pour voir où sont les points faibles d'une entreprise.

Jusqu'à 20 millions d'euros d'amende et un an de prison

Les pouvoirs de la CNPD ont été étendus jusqu'à l'action en justice (sauf pour les données qui relèvent de l'ordre judiciaire, administratif et du ministère public). Elle dispose d'une palette d'outils qui vont de l'obligation de communiquer des données à une sanction pénale qui peut atteindre 8 jours à un an de prison et 251 à 125.000 euros d'amende, en passant par l'amende la plus fréquemment citée, administrative, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Le mot «mondial» dit à lui seul que sont concernées les sociétés européennes mais aussi toutes celles qui ont des antennes en Europe ou font du commerce avec des Européens. Du coup, les entreprises ont dû (auraient dû) mettre en place une stratégie et désigner au minimum un «responsable des traitements», pilote de l'application du GDPR dans l'entreprise, jusqu'à un «registre des activités de traitement», sorte de livre de comptes des données – et les sous-traitants ont les mêmes obligations.

Les autorités et organismes publics, les sociétés qui traitent des données de manière suivie et systématique à grande échelle et celles qui en plus traitent des catégories particulières de données doivent en plus désigner un «délégué à la protection des données» qui doit être indépendant et rapporter directement au patron.

Suivez-nous sur Facebook, Twitter et abonnez-vous à notre newsletter de 17h.


Sur le même sujet

Nouveau scandale autour de Facebook et des données des utilisateurs
Facebook s'efforçait mercredi de minimiser la portée des nouvelles accusations dont il fait l'objet après une enquête du New York Times révélant que le réseau social a partagé les données de ses utilisateurs au bénéfice de géants du Web comme Amazon, Spotify, Microsoft et Netflix.
Données personnelles: plainte collective contre Facebook en Espagne
Une organisation espagnole de consommateurs a annoncé mercredi qu'elle allait déposer une plainte collective contre le réseau social Facebook, accusé d'avoir exploité illégalement les données personnelles des usagers, et réclamer «au moins 200 euros» de compensation par utilisateur.
Tine Larsen: «C'est au consommateur d'être exigeant»
A dix jours de l'entrée en vigueur du nouveau règlement européen, la Commission nationale pour la protection des données se retrouve au cœur de toutes les attentions. Pourtant, le 25 mai, aucune guillotine ne tombera. Sa présidente, Tine Larsen, invite le consommateur, à exiger des sociétés qu'elles respectent les règles du jeu.
ITW avec Tine Larsen, préseidente de la commission nationale pour la protection des données, photo : Caroline Martin
Protection des données: le casse-tête des entreprises
Le nouveau règlement européen sur la protection des données n'est pas encore entré en vigueur que les géants du net le contournent déjà. Les entreprises multiplient les efforts pour être en règle. Le prix à payer serait souvent trop élevé.