Voici un article explicatif sur les droits et obligations découlant du Règlement général sur la protection des données (RGPD), qui a été lancé le 25 mai 2018.
Le pouvoir au peuple
Tels sont les principaux droits garantis aux internautes européens dans le cadre du GDPR.
1. Le droit d’être informé. Les internautes qui transmettent des données à caractère personnel ont le droit de savoir comment elles seront utilisées, combien de temps elles seront conservées et si elles pourront être utilisées en dehors de l’Union européenne.
2. Le droit d’accès, de rectification et d’effacement des données. Les utilisateurs peuvent transférer leurs données à un autre fournisseur de services ou les recevoir eux-mêmes dans un format utilisable.
3. Le droit d’être oublié. Les utilisateurs peuvent demander à ne plus apparaître dans les recherches, bien que ce droit soit également mis en balance avec le droit du public à l’information.
4. Le droit de contester les algorithmes. Si les algorithmes jouent un rôle important dans les décisions, comme l’admission à l’université, les personnes concernées ont le droit de contester la décision et de demander une intervention humaine.
5. Le droit de contester les violations des droits. L’agence des droits à l’information de chaque pays accepte les plaintes. Si la plainte concerne une entreprise d’un autre État membre de l’UE, elle est transmise à l’autorité de régulation de ce pays.
Les décisions finales prises par l’ensemble des agences nationales sont contraignantes dans toute l’Union Européenne.
Règles pour les entreprises
Pour les entreprises, les règlements ne sont pas uniformes. Leurs obligations dépendent du type de données qu’ils recueillent, de ce qu’ils en font et de leur taille. Peu importe qu’il s’agisse ou non d’entreprises européennes – s’ils collectent des données auprès des Européens, le GDPR s’applique à eux.
Pour la plupart des petites et moyennes entreprises, la réglementation ne fait que protéger les informations qu’elles détiennent sur leurs clients et fournisseurs en utilisant les “règles du bon sens”, selon les termes de la CNIL.
L’un des principaux objectifs du GDPR est de réduire la quantité de données collectées et traitées dès le départ. Cela signifie que les entreprises doivent évaluer les données dont elles ont réellement besoin, puis la façon de les protéger. L’information devrait ensuite être mise à jour régulièrement.
Les clients et les sous-traitants devraient également être informés de la nature des données collectées et de la raison pour laquelle elles sont collectées, ainsi que de la manière dont ils peuvent exercer leurs droits.
Les entreprises doivent également définir des politiques sur qui a accès aux données et comment, désigner les responsables de la protection des données et mettre en place toutes les mesures nécessaires pour protéger les données, notamment les informations sensibles.