Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le RGPD est entré en vigueur le 25 mai 2018. Il est obligatoirement applicable, depuis cette date, dans tous les pays de l'Union européenne et apporte des changements majeurs à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite, pour simplifier, Loi Informatique et libertés.

Le RGPD est un règlement de l'Union européenne (UE) qui a été adopté le 14 avril 2016 et qui, après une période de transition de deux ans, est entré en vigueur, comme annoncé, le 25 mai 2018.

Le RGPD est volumineux et complexe, mais impose essentiellement des règles strictes sur la manière dont les données privées sont collectées, stockées et partagées en ligne. En règle générale :

  • Le RGPD exige un consentement pour le traitement des données à caractère personnel

  • Le RGPD impose des limites à la manière dont les données a caractère personnel sont stockées

  • Le RGPD impose des limites aux lieux où les données a caractère personnel sont exportées

  • Le RGPD impose des limites à la durée de conservation des données à caractère personnel

  • Le RGPD exige que les organisations permettent aux utilisateurs de purger leurs archives

  • Le RGPD exige que les utilisateurs aient le droit d'effacer leurs données a caractère personnelle (sauf données juridiquement nécessaires à l'accomplissement de certaines actions comme pour les données de facturation, livraison, paiement, objet d'un contrat, etc.)

  • Le RGPD oblige ceux qui stockent des données à caractère personnel à informer les personnes impliquées, en cas de violations de leurs données (vol, hack, piratage, etc.) dans les 72 heures (ou dès que possible).

Bien que le RGPD soit européen, il s'applique, de manière extraterritoriale, à toute organisation dans le monde qui stocke des données de citoyens résidents en Europe. La pratique de la collecte ne dépend plus de l'emplacement enregistré de la société qui la pratique, mais de l'emplacement de l'utilisateur. Ce sont donc pratiquement toutes les entreprises du monde qui sont concernées et, particulièrement, toutes celles du monde numérique (tous les sites Web).

Le RGPD responsabilise tous ceux, organismes publics ou privés, qui collectent ou traitent des données personnelles, que les données soient collectées de manière numérique ou à l'ancienne (« à la plume d'oie »).



Il s'agit d'un « règlement » et non d'une « directive », il a donc force de Loi en lui-même, directement, et tel quel pour tous les pays de l'UE, sans passer par une phase d'interprétation/adaptation suivie d'une introduction différente dans chaque corpus législatif de chaque pays.

  • Les « directives » sont transposées en droit interne par les États membres

  • Les « règlements » s'appliquent tel quel (il n'y a pas de transposition)



Le champ d'application du RGPD est défini aux :

Article 2 du RGPD (champ d'application matériel)

Compte tenu de la rédaction de cet article, la protection des personnes physiques s'applique également aux traitements manuels, et pas seulement automatisés, de données à caractère personnel, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier.

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (y compris un fichier non numérique.

Article 3 du RGPD (champ d'application territorial)

Le RGPD instaure une règle d'application extraterritoriale du droit européen et les sous-traitants sont à présent directement concernés par la réglementation.

4. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.

En deux mots, le RGPD oblige tout collecteur de données à en demander l'autorisation à l'utilisateur et a obtenir l'expression éclairée de son consentement avant la collecte (c'est le principe de l'Opt-In), contrairement à ce qui se passait jusqu'au 24 mai 2018 ou la collecte des données était systématique et secrète dans le monde numérique, et on donnait parfois (de manière cachée, insoupçonnable) la possibilité, plus tard, aux individus/victimes d'exprimer leur désir d'en sortir (c'était le principe de l'Opt-Out).



Le RGPD repose sur le droit fondamental de protection de la vie privée et des données à caractère personnel. Le RGPD vise donc à mieux protéger tous les citoyens de l'Union Européenne en harmonisant la protection des données personnelles dans l'ensemble des 27 Etats membres. En renforçant le cadre légal entourant l'utilisation des données des individus, le RGPD entend booster la confiance des consommateurs dans les nouvelles technologies et permettre ainsi un meilleur essor de l'économie numérique.

Le droit fondamental de protection de la vie privée ainsi que les contours de la notion de « vie privée » sont exprimés dans de très nombreux textes et dans la jurisprudence.



Tous les opérateurs/sociétés du monde, et particulièrement du Web, ont eu 2 ans pour mettre en place le RGPD qui les oblige à :

  • La création d'un rôle de Délégué à la Protection des données, chargé de piloter le dispositif de protection des données

  • La définition des processus de collecte, de traitement, de stockage, de transfert et de suppression des données

  • La création d'un processus de notification des violations de données

  • l'obligation d'obtenir le consentement explicite du client lors de la collecte de données

  • Le renforcement du droit pour les personnes d'accéder aux données qui les concernent et du droit de les supprimer

  • La sensibilisation et la formation au thème de la protection des données de toute personne amenée à manipuler des données personnelles



Les sanctions peuvent être :

  • En cas de violation mineure, un simple rappel à l'ordre.

  • En cas de violation plus grave, une amende administrative prenant en compte la nature, la gravité, la durée de violation ainsi que son caractère intentionnel, mais également les circonstances atténuantes. Cette amende administrative peut atteindre jusqu'à 4% du chiffre d'affaires d'une entreprise, contraignant ainsi à la plus grande vigilance dans la mise en œuvre de traitement de données à caractère personnel au regard du RGPD.

Aux sanctions pécuniaires s'ajoute également le risque de détériorer l'image de l'entreprise auprès de ses clients.

Si vous êtes une organisation ou une entreprise, plutôt grosse, manipulant des données privées, testez-vous (il existe plusieurs services d'audits, payants, sur le Web).

Diagnostic exhaustif de vos pratiques en matière de protection des données et évaluation de votre niveau de conformité au RGPD. Ces outils/services couvrent les 12 thèmes incontournables de la réglementation :

  1. Gouvernance et politique

  2. Responsabilité

  3. Formation

  4. Droit des clients

  5. Confidentialité par conception / Confidentialité par défaut (Privacy by design / Privacy by default)

  6. Stockage et suppression des données

  7. Sécurité et gestion des incidents

  8. Sous-traitance

  9. Analyse d'impact de protection des données

  10. Transferts

  11. Traitements à vocation statistique

  12. BCR (Binding Corporate Rules [Règles d'Entreprise Contraignantes]) / règles internes d'entreprises :

    BCR

    Instrument juridique européen auquel une société multinationale ou un groupe d'entreprises peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données, au sein du groupe, au départ d'un pays situé dans l'Union européenne (UE) ou dans l'Espace économique européen (EEE) vers un pays tiers.

    Ces règles ont été développées comme une alternative au Département américain du commerce de l'UE Safe Harbor (qui est valide seulement pour les organisations américaines) à la suite de la Directive 95/46/CE sur la protection des données données personnelles2 avec notamment un groupe de travail européen « Article 29 », G29, sur la protection des données.

    Le recours à ces règles nécessite, en principe, l'approbation de l'autorité chargée de la protection des données du pays de l'UE ou de l'EEE au départ duquel les données doivent être transférées.

    Source : Wikipedia

Voir la liste des sanctions prononcées : RGPD - sanctions prononcées



  • Si les données collectées ne sont ni traitées par l'entreprise, ni sous-traitées, le RGPD ne s'applique pas à l'entreprise.

  • S'il n'y a aucune donnée collectée par l'entreprise, le RGPD ne s'applique pas à l'entreprise.

  • Si un micro site Web d'un particulier ne collecte aucune donnée, mais que ce site tente de se monétiser en ayant recours, par exemple, à une régie publicitaire, il y a collecte et traitement de données privées par un tiers. Le site Web, même d'une seule page, doit offrir une solution de demande de consentement ou de refus en utilisant la solution recommandée ou proposée par la régie utilisée ou doit signaler une solution d'Opt-Out (Tableau de synthèse des Opt-Out des cookies de tracking).





Liste des solutions de gestion du consentement (liste des CMP [Consent Management Platform - Plateforme de gestion du consentement]).

C'est le tracking (traçage numérique) qu'il faut bloquer (interdire), pas la publicité, une fois le tracking éliminé, sinon c'est la mort des sites Web gratuits ou leur passage à un modèle économique payant.

Avec le blocage total de la publicité, depuis des années, la plupart des sites Web, dont tous les sites d'informations et de la presse sur le Web (journaux, magazines, informations en temps réel, etc.), sont devenus payants.

La publicité est le principal modèle économique du Web et, principalement, du Web gratuit.

Listes des solutions de CMP (Consent Management Platform - Plateforme de gestion du consentement) sur l'IAB Europe. Tous les CMP de ces listes ont réussi les contrôles de conformité requis par le programme de conformité CMP d'IAB Europe (Interactive Advertising Bureau). Les CMP qui ne figurent pas sur ces listes ne sont pas enregistrés auprès du TCF (Transparency & Consent Framework) ou ne sont pas conformes. Ces listes sont mises à jour quotidiennement.



  • RGPD (GDPR) - Règlement Général Protection des Données