Réforme du droit européen des données personnelles: mise aux normes impérative au 25 mai

Réforme du droit européen des données personnelles: mise aux normes impérative au 25 mai

Le 25 mai 2018 entrera en vigeur le Règlement européen relatif au traitement des données à caractère personnel et à la libre circulation de ces données, ou "RGPD". Panorama des nouvelles obligations, qui vont aussi s'appliquer au secteur du livre. 

 Le milieu du livre et de la culture est directement concernée par l’entrée en vigueur, le 25 mai 2018, du Règlement européen relatif au traitement des données à caractère personnel et à la libre circulation de ces données, connu aussi désormais comme le "RGPD".
 
Ce texte réforme en profondeur le droit des données personnelles, prenant la mesure aussi bien du développement du numérique que de l’implication toujours plus grande de l’Union européenne dans la vie des entreprises.
 
Or, le secteur de l’édition, de la librairie et de la bibliothèque collectent déjà largement des données personnelles, notamment en observant les habitudes des lecteurs afin d’adapter au mieux les produits et services proposés, en fonction de leur profil, de leur géolocalisation, de l’heure et de leurs schémas comportementaux.
 
Et, au-delà de ces pratiques affinées de marketing et de vente, il n’existe plus de professionnels du livre qui n’ont pas constitué un fichier clients, voire de prospects, sous une forme numérique.
  
Une meilleure information des personnes concernées par la collecte de leurs données
 
La collecte de données personnelles est subordonnée, en principe, à l’obtention du consentement libre, éclairé et univoque de la personne concernée. Le Règlement précise que ce consentement résulte d’un "acte positif clair".
 
En pratique, pour obtenir le consentement d’un internaute, ce dernier devra, par exemple, cocher une case lors de sa visite sur un site Internet ou encore déclarer explicitement l'acceptation du traitement proposé des données personnelles.
 
Le Règlement sonne ainsi le glas des conditions générales d’utilisation obscures, qui sont à présent insuffisantes pour recueillir le consentement d’un usager.
 
De plus, l’accord donné doit être propre à chaque utilisation et peut être retiré par l’utilisateur à tout moment, obligeant ainsi l’entreprise à supprimer purement et simplement les données dont elle dispose. En outre, le consentement ne porte que sur la finalité mentionnée. Tout autre usage est exclu et donc prohibé, sauf à faire l’objet d’un nouveau consentement.

Concrètement, les conditions générales d’utilisation et les contrats relatifs à l’activité de l’entreprise devront détailler quelles données seront collectées, dans quel but et pendant combien de temps. Par ailleurs, les textes imposent le "droit d'être informé dans un langage simple et clair". Les députés européens ont insisté pour que les nouvelles dispositions mettent un terme aux politiques de vie privée "en petits caractères".
 
 
Une collecte de données mesurée: le principe de minimisation et du droit à l’effacement
 
En application du principe de minimisation de la collecte des données, toutes les informations traitées doivent se révéler pertinentes et nécessaires pour l’entreprise, ce qui prohibe toute collecte abusive et superflue.
 
En pratique, le RGPD instaure un "droit à l'oubli" –notion qui existe déjà, sous d’autres formes, en droit français– facilitant l'effacement de données personnelles lorsque les citoyens ne souhaitent plus que celles-ci soient traitées. Toutefois, ce droit à l’effacement n’est pas absolu, puisqu’il ne peut pas s’appliquer si le traitement est indispensable à l’exercice du droit à la liberté d’expression et d’information ou encore lorsque les données collectées sont nécessaires à des fins de recherche scientifique, historique ou à des fins statistiques, et notamment pour des raisons de santé publique. Le droit à l'oubli ne s'appliquerait pas non plus lorsque la détention des données à caractère personnel est essentielle à la conclusion d'un contrat ou lorsque la loi l'exige.

En vertu des nouvelles règles issues du RGPD, toute personne jouit du droit à la "portabilité des données", lui permettant de les réutiliser au sein de l’Union européenne. Ce qui, en réalité, simplifiera le transfert de données entre fournisseurs de services audiovisuels.

Par ailleurs, les entreprises sont tenues d'informer la Commission Nationale de l’Informatique et des Libertés, dite "CNIL", en cas de violation de ces règles sur le traitement des données personnelles, "dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance". Cette notification doit être accompagnée des motifs du retard si elle intervient au-delà du délai de 72 heures.
En outre, cette notification doit être faite parallèlement à la personne physique dont les données ont été collectées sans son accord, dans "les meilleurs délais", permettant à cette dernière de prendre toutes mesures appropriées.
 
 
Attention aux mineurs
 
Les nouvelles règles prévoient des garanties spéciales pour les mineurs, moins conscients des risques et conséquences liés au partage de leurs données personnelles.
 
En dessous d'un certain âge –le RGPD mentionnant la barrière de 16 ans, qu’il vaut mieux adopter par prudence–, la licéité du traitement de données personnelles d’un enfant est subordonnée au consentement donné ou autorisé par les titulaires de l’autorité parentale. A la majorité du spectateur-internaute, le consentement initialement donné doit pouvoir être retiré et les données supprimées.
 
 
Désigner un délégué à la protection des données
 
Dans le cadre du RGPD, il est obligatoire de désigner un délégué à la protection des données (DPD), appelé aussi data protection officer (DPO).
 
Le DPD remplace l’éventuel "Correspondant Informatique et Libertés " qui préexistait au nouveau Règlement et devient le garant de la conformité du dispositif. Même lorsque le RGPD n'exige pas expressément la nomination d'un DPD, il est plus qu’important, pour une entreprise, de désigner un DPD sur une base volontaire.
 
Les DPD ne sont pas personnellement responsables en cas de non-respect du RGPD. C'est le responsable du traitement ou le sous-traitant qui est tenu de garantir et de démontrer que le traitement est effectué conformément aux dispositions. La relation avec les sous-traitants doit impérativement être encadrée par un contrat.
 
Les sanctions administratives sont dissuasives, car elles peuvent aller jusqu’à des pénalités de 20 millions d’euros ou équivalant à 4% du chiffre d’affaire mondial annuel de l’entreprise. Toutefois, si les entreprises étaient déjà en conformité sous l’ancien régime juridique, ou si elles démontrent, en cas de contrôle de la CNIL, avoir fait le nécessaire pour essayer de se mettre en conformité avec le RGPD, l’autorité administrative ne devrait pas être aussi sévère que les textes ne laissent entendre.
 
Ces dernières semaines, les réseaux sociaux ont été les premiers à notifier à leurs utilisateurs la mise à jour de leurs conditions générales d’utilisation. Restent aux autres à, pour une fois, suivre l’exemple.
16.05 2018

Les dernières
actualités