Réglementation européenne des données : plus de transparence
Publié par José Roda le - mis à jour à
Une nouvelle réglementation sur les données personnelles a été adoptée le 14 avril par le Parlement Européen, renforçant les droits des citoyens européens et leur offrant davantage de contrôle.
La nouvelle réglementation européenne sur la collecte et le traitement des données a été adoptée le 14 avril 2016. Respect du consommateur et transparence sur l'usage des données ont guidé le législateur. À l'occasion du Printemps des Études, différents acteurs membres de l'Esomar (European Society for Opinion and Marketing Research) réagissent.
Pour Maître Murielle Cahen, avocat spécialiste en Droit de L'informatique et en Droit de l'Internet, l'aspect le plus important de cette réglementation, c'est "sans doute le principe du consentement à la collecte et à la conservation des données, droit qui constitue l'une des spécificités du droit européen".
Le législateur a également prévu que les entreprises américaines ne puissent plus s'appuyer sur la présomption de consentement, si bien qu'elles devront, dès lors qu'elles agissent auprès d'un internaute ou d'un consommateur européen, se conformer à la réglementation. "Le fait que la protection des droits des citoyens soit assurée dans tous les cas de figure, et que les contraintes soient identiques pour tous les acteurs, nous apparaît comme particulièrement satisfaisant", confie Philippe Guilbert, directeur général de Toluna et administrateur Syntec Etudes, le syndicat professionnel des études en France.
Données personnelles : ce qui va changer
" Les déclarations sont plus simples et elles s'effectuent en un point unique ".
La transparence est donc le maître-mot qui résume l'esprit de la réglementation. Ainsi, au-delà du consentement de l'individu explicitement recueilli, les entreprises et les organisations devront signaler à l'autorité de contrôle nationale, les violations de données qui font courir un risque aux personnes concernées et devront communiquer, au plus tard 72 heures après l'identification du problème, toutes les violations à haut risque. Ainsi, les utilisateurs pourront prendre des mesures appropriées.
Le règlement européen simplifie par ailleurs les formalités pour mettre en oeuvre un traitement pour les entreprises et leur offre un cadre juridique unifié. "Les déclarations sont plus simples, explique Philippe Guilbert, et elles s'effectuent en un point unique." Mais si les formalités sont simplifiées, "les obligations sont en revanche renforcées pour assurer une meilleure protection des données personnelles", indique Maître Murielle Cahen qui dresse la liste des contraintes : le Privacy by design (respect de la protection des données dès la conception, règlement, art.25 §1) ; le Security by default (sécurité par défaut, art.25 §2) ; les règles d'accountability (obligation de documentation, art.24) ; l'étude d'impact avant la mise en oeuvre de certains traitements (art.35) ; la désignation obligatoire d'un Data Protection Officer (DPO) (art.37) ; les nouveaux droits fondamentaux des personnes (droit à l'oubli, droit à la portabilité des données...) Autant de nouvelles contraintes qu'il faudra bien respecter !
Des sanctions sévères mais équilibrées
Les entreprises ont désormais jusqu'en avril 2018 pour mettre en place l'ensemble des dispositifs
Les sanctions sont importantes mais adaptées, car elles impactent également les plus grandes entreprises
nécessaires. "En France, explique Philippe Guilbert, la loi informatique et libertés de 1978, mais aussi la directive de 1995, ont défini un cadre qui protège l'individu, mais, elles sont obsolètes, par rapport à l'évolution des technologies notamment. Aussi faut-il être prudent et anticiper car l'impact de la réglementation sur les usages, dans le domaine du marketing et des études n'est pas anodin."
En cas de non-respect de la loi ou de violation des droits des personnes, les entreprises pourront faire l'objet d'amendes administratives pouvant atteindre 20 millions d'euros ou 4% du total de leur chiffre d'affaires annuel mondial. "Les sanctions sont importantes mais adaptées, estime Philippe Guilbert, car elles impactent également les plus grandes entreprises puisque les amendes peuvent être calculées sur un pourcentage du chiffre d'affaires annuel". Protection des citoyens, transparence dans la collecte et dans l'exploitation des données, sanctions équilibrées et incitatives, tout semble cette fois réuni pour que les acteurs de la donnée oeuvrent au quotidien dans une dynamique vertueuse et responsable...
S'inscrire dans une relation d'adulte à adulte
Elisabeth Cosnefroy, présidente et fondatrice d'Adéquation Market Research et co-déléguée Esomar France
Enthousiaste ! Tel est l'épithète qui résume le mieux l'état d'esprit d'Élisabeth Cosnefroy par rapport à la réglementation européenne qui vient d'entrer en vigueur. "Nous considérons au sein d'Esomar que cette réglementation contribue à préserver nos professions en définissant un cadre de bonnes pratiques." La double exigence d'un consentement clairement formulé par le citoyen et d'une transparence sur l'usage des données collectées "permet de démontrer qu'une certaine éthique est inscrite dans les gênes de notre profession". La co-déléguée d'Esomar France évoque encore "la sensibilité toujours plus forte du consommateur face aux données personnelles. Les professionnels doivent s'inscrire dans une relation d'adulte à adulte. C'est là le bénéfice principal de cette réglementation. Internet n'est plus une jungle à défricher : se conformer à des usages et à de bonnes pratiques, est une nécessité !"