Vie privée

Le RGPD, la révolution du consentement

Le 25 mai 2018 entrera en vigueur le Règlement général sur la protection des données européen (RGPD), qui va considérablement renforcer le droit des internautes sur leurs données. La Suisse est concernée


Ce sera un bon coup de stress pour les entreprises, avec de nouveaux processus complexes et coûteux à mettre en œuvre; et, pour les internautes, une amélioration considérable de la protection de leurs données sur le Net. «La fin de la récréation», pour l’avocat blogueur Sylvain Métille. Le 25 mai prochain sera applicable un nouveau règlement européen qui va redonner du pouvoir aux internautes sur leurs données, après des années de jungle – le dernier règlement européen datant de 1995, la préhistoire en matière d’Internet. Le RGPD (Règlement général sur la protection des données) concernant le traitement des données des personnes se trouvant sur le territoire de l’UE, les entreprises suisses qui offrent des services dans l’UE, ou qui s’adressent à des personnes résidant dans l’UE, devront s’y conformer.

Fini, le «qui ne dit mot consent», il faudra recueillir l’accord explicite, positif, de la personne au traitement et à la conservation de ses données («Privacy by design» et «Privacy by default»). On devra pouvoir faire un achat sans créer de profil d’utilisateur, par exemple. Seconde nouveauté, les particuliers pourront demander l’oubli et l’effacement de leur historique, s’il n’y a pas de motif légitime pour le conserver. Ils auront aussi le droit d’accéder facilement à leurs données, et de les transférer gratuitement vers un service moins «prédateur». Autre révolution qui fait s’arracher les cheveux à tous les data protection officers: l’obligation pour les entreprises de tenir le registre de toutes leurs activités de traitement de données, ce qui signifie reprendre le contrôle de quantité de données souvent hébergées et sous-traitées par des tiers, parfois dans d’autres pays: un vrai cauchemar. Ainsi, c’est un des 3500 partenaires de Swisscom qui s’est fait voler les données de 800 000 clients la semaine dernière. Les entreprises auront 72 heures pour déclarer toute brèche de sécurité à une autorité de contrôle, et les amendes seront dissuasives – jusqu’à 4% du chiffre d’affaires mondial…

La Suisse sur la défensive

«Le RGPD a initialement été conçu comme une réponse politico-juridico-géostratégique à l’hégémonie des Gafam, dont on sait l’appétit vorace pour les données personnelles. Or, dans les faits, le règlement ne fait pas de différence entre une PME et Facebook, ce qui est source d’une certaine inquiétude, voire d’une incompréhension», reconnaît l’avocat Nicolas Capt. D’où probablement la soudaine prolifération d'«experts RGPD» parfois douteux qui démarchent actuellement les petites sociétés un peu perdues – on estime même que les 3/4 ne sont pas prêtes… «Le problème du RGPD, c’est qu’il fixe le résultat à atteindre mais pas les moyens», regrette le juriste François Charlet. Lui ne comprend pas comment la commission préparatoire du National a choisi en janvier de traiter séparément la mise en œuvre du droit européen dans le domaine du droit pénal et la révision totale de la loi sur la protection des données (LPD) − «Cela renvoie à plus tard la mise en conformité de la loi suisse et fait prendre un gros risque aux entreprises suisses.» La LPD en train d’être révisée devrait reprendre quelques nouvelles obligations du RGPD.

Publicité