EU GDPR: Le RGPD Européen Et La Protection De La Vie Privée

Que signifie le RGPD / EU GDPR et pourquoi devriez-vous vous en soucier? Parce qu’il s’agit de l’avenir de la réglementation Internet dans l’Union Européenne  et qu’il affecte les éditeurs Web, les publicitaires et les utilisateurs.

EU GDPR: Le Règlement Général De La Protection Des Données Est Une Bonne Idée.

Le Règlement Général de la Protection des Données de l’Union Européenne est censé signifier le changement le plus important dans la réglementation de la protection des données personnelles car la protection de la vie privée sur Internet était devenue, entretemps, un problème majeur.  La législation a employé plus de quatre ans pour son élaboration car elle est composée d’un ensemble complexe de règlements régissant la collecte, le stockage et l’utilisation des données.

Le projet de loi de données a été adopté par le Parlement européen le 14 avril 2016, et entrera en vigueur  à partir du 25 Mai 2018. Il remplace la directive 95/46/CE sur la protection des données et il réorganisera la méthode avec laquelle les entreprises, les organisations et les gouvernements encadrent vos données personnelles ainsi que votre vie privée en ligne. Les pénalités en cas de non-conformité : amendes lourdes mais qui pourraient ne pas suffire.

• Point à noter. La Directive originale sur la Protection des Données ne porte pas le poids de la Loi. Il s’agit d’un résultat que les pays membres de l’UE sont censés atteindre, selon leurs propres moyens. Cela a signifié un pêle-mêle de réglementations qui rendent l’activité transfrontalière, dans le meilleur des cas, extrêmement difficile. Le nouveau  Règlement Général de la protection des données de l’UE est un règlement, une loi qui doit être appliquée par tous les  États membres de l’UE, sous peine de sanction.

Beaucoup de choses ont changé depuis que la directive originale a été promulguée, il y a, chaque jour, de plus en plus d’internautes et avec la diffusion de l’Internet des Objets, il ne s’est jamais vérifié autant de création de données. Le RGPD de l’UE (EU GDPR) est un outil destiné à uniformiser les réglementations régissant la  protection des données sur Internet, parmi les différents États membres, et visant à fournir un niveau de protection plus élevé aux citoyens de l’UE. Sans une réglementation appropriée, il serait possible pour les propriétaires de sites Web, pour les Fournisseurs de Services Internet  et presque pour quiconque, de dresser, sur chacun de nous, des dossiers détaillés, descriptifs, informatifs.

La Loi elle-même examine la collecte de données selon deux approches : celle du contrôleur et celle du processeur de données. Le contrôleur est toute personne qui détient le contrôle des finalités, des conditions et des moyens concernant le traitement des données ; le processeur est quelqu’un ou quelque chose qui effectue concrètement le traitement des données pour le compte du contrôleur. Cela peut apparaître comme étant la même chose, mais ce ne l’est pas, il s’agit simplement d’un jargon juridique pour signifier toute personne qui peut collecter, acheter ou traiter des données ou des entreprises qui ont comme activité, celle du traitement de données pour le compte de tiers.

3 Points Clés Dans Le Domaine De La Protection Des Données Personnelles

Le nouveau règlement met l’accent sur trois points clés dans le domaine de la protection des données personnelles :

1. Portée territoriale.
2. Consentement.
3. Sanctions.

Dans le passé, la question envers qui  exactement la Directive de l’UE DPD 95/46/EC devait être appliquée, avait été plutôt ambigüe. Les entreprises résidant en dehors de l’UE ou avec des équipements de collecte et de traitement des données situés à l’extérieur de l’UE ont pu, dans le passé, s’en tirer avec des échappatoires mais rien de plus. Le RGPD / EU GDPR  indique clairement qui est concerné, c’est-à-dire, toutes les  personnes résidant ou séjournant dans l’UE et toute entreprise/organisation qui s’occupe de collecter et d’utiliser des données provenant de ces personnes, indépendamment de leur localisation. En outre, les entreprises, non membres de l’UE, qui traitent les données des citoyens de l’UE devront nommer un représentant dans l’UE pour les contacts de nature juridique.

Les réglementations en matière de consentement ont été renforcées pour obliger ceux qui traitent les données à en informer pleinement le public. Le EUGDPR.org utilise le mot «jargon juridique» pour décrire les formulaires de consentement illisibles, ridiculement complexes et relativement peu instructifs utilisés par de nombreux sites Web aujourd’hui. Désormais, toute personne engagée dans la collecte de données devra révéler intégralement, en termes clairs, en quoi consiste l’objet de la collecte et le pourquoi ils procèdent à leur collecte.

Un mot utilisé dans l’ensemble du document est sans ambiguïté, car il ne devrait pas y avoir de doute quant à qui, quoi et pourquoi les données sont collectées ainsi qu’à l’existence du consentement à tel traitement. Le consentement des parents sera nécessaire pour les personnes âgées de moins de 16 ans, et l’âge pourrait être de 13 ans, si certains États membres opteront pour cette disposition. La loi exige également que les collecteurs de données rendent tout aussi facile la possibilité de retirer le consentement. Les sites Web sont tristement connus pour avoir exaspéré les internautes, qui souhaitaient retirer leur consentement, à un tel point que la plupart d’entre eux avaient préféré renoncer, avant d’avoir complété leur tâche.

Les pénalités sont sévères et sont appliquées sur plusieurs niveaux. Les infractions mineures, comme celles de ne pas avoir de fichiers en règle ou le non-respect des procédures de notification en cas de violation des données, peuvent donner lieu à une amende du montant du 2% du chiffre d’affaires global annuel. Les infraction plus graves comme celles de ne pas obtenir le consentement approprié pour récolter ou stocker des données, ou en cas de violation des principes fondamentaux du RGPD de l’UE, peuvent être frappées d’une amende du 4% du chiffre d’affaires brut. Ces règles s’appliquent à la fois aux contrôleurs des sites Web et aux systèmes de collecte de données ainsi qu’aux processeurs, ce qui signifie que les Cloud computing  et les entreprises non européennes ne sont pas exemptées. Il  y a un plafond de 20 millions d’euros, ce qui veut dire que les grandes entreprises peuvent ne pas se sentir très touchées par ces pénalités.

Une autre question, à laquelle le RGPD de l’UE a répondu, est la demande sur qu’est-ce qu’une donnée personnelle ?

Selon le RGPD, les données personnelles sont toute information qui concerne une personne physique, connue sous le nom de « sujet de données », qui est directement ou indirectement une personne identifiée ou identifiable. Ceci se réfère à toute donnée qui va de vos noms affichés à l’écran à vos comptes bancaires, à vos informations médicales, aux messages sur les médias sociaux ou tout autre élément en mesure de vous identifier. Le monde d’aujourd’hui peut être aussi réduit que les sites Web auxquels vous vous connectez à partir d’une certaine adresse IP . Pensez-y, votre ordinateur sait qui vous êtes et ainsi n’importe qui d’autre sur Internet pourrait le savoir également, si vos données ne sont pas protégées.

Droits De L’internaute Signifient Protection De La Vie Privée

En plus des principes fondamentaux, le RGPD s’emploie à protéger les droits des internautes avant même que les données ne soient collectées.

Dans tel but, il a été établi une liste des droits des sujets de données qui détaille les droits de base des internautes et les actions à entreprendre dans le cas où ils ne soient pas respectés.

• Notification de violation des données.

Contrairement à ce qui se passe aujourd’hui, où les entreprises peuvent s’en tirer sans informer le public que leurs données ont été violées, la notification      deviendra obligatoire. Cela signifie que les propriétaires des  sites auront un temps limité pour aviser le public équivalent à un délai de 72 heures, sous     peine d’amendes, en cas de non-respect de ce délai. Les processeurs de données devront aviser leurs clients, les propriétaires des  sites Web, « sans retard injustifié ». Il s’agit d’un point crucial parce que de nombreux professionnels de la sécurité informatique affirment que les attaques zero-day – vulnérabilités exploitées tant que le correctif n’est pas mis à disposition  –  sont la principale cause de perte de données. Une réaction rapide ainsi que le partage de l’information constituent le meilleur moyen et le plus rapide pour stopper la prolifération des attaques Internet.

• Droit à l’Accès.

 Le nouveau RGDP protègera le droit des individus de savoir quelles informations, où, par qui et pour quelles raisons leurs données sont collectées. Un citoyen aura la possibilité de contacter les processeurs de données et de demander gratuitement des copies numérisées complètes de ce qui a été recueilli à leur sujet et de quelle manière cela a été formulé. Cela englobe également la portabilité des données. Les personnes concernées ont le droit    d’obtenir des copies contenant toutes leurs données, dans un format facilement transportable et transmissible.

• Droit à l’Oubli.

Les nouvelles règles accroissent le Droit antécédent relatif à la réglementation de l’Oubli et permettent ainsi aux internautes de contrôler leurs données plus facilement. Ils peuvent demander aux contrôleurs de supprimer des données ou des informations, ou de cesser leur diffusion ou même pour les processeurs de cesser de les analyser. Il y a, bien sûr,  des conditions pour la suppression,  la première est relative à la pertinence mais qui n’a pas d’importance dans les cas de collecte de données où le consentement a été retiré. Les propriétaires des sites ont également une responsabilité sur ce point. Ils doivent comparer la pertinence des données avec la demande de suppression. Si l’information revêt encore un intérêt public, bien qu’ancien ou hors contexte, elle pourrait ne pas être retirée.

• Protection de la vie privée dès la conception.

La protection de la vie privée, dès la conception, n’est pas un nouveau concept, loin de là. Il a toujours existé, même avant la naissance de l’Internet moderne. Plusieurs développeurs importants d’Internet ont essayé d’intégrer des fonctionnalités de sécurité et de confidentialité, mais ils ont été bloqués à chaque tentative. Jusqu’à présent, du moins dans l’UE. Le RGPD de l’UE exigera que les dispositifs de protection des données et de confidentialité soient intégrés dans de nouveaux systèmes dès le début, et non pas rajoutés, après coup,  en tant que fonctionnalités complémentaires. Cette conception inclut la méthode dont les données sont aussi bien collectées que traitées. Les collecteurs de données devront se limiter exclusivement aux données dont ils ont besoin, et seront tenus à surveiller successivement l’accès et le stockage de ces données, après les avoir récoltées.

•  Délégués à la protection des données.

Jusqu’à présent, tous les sites de collecte de données étaient tenus à enregistrer leurs activités de collecte et de traitement des données avec une Administration Locale de Protection des Données. Ce processus a engendré beaucoup de perte de temps, d’inefficacité, un  véritable cauchemar bureaucratique pour les sociétés multinationales, opérant à l’étranger. Ce processus est remplacé par la tenue de dossiers internes de la part des propriétaires de sites, des collecteurs de données et des processeurs s’occupant   de la surveillance de la réglementation. Seules les opérations jugées en avoir besoin devront disposer d’un DPD.  Il s’agit notamment d’opérations gérant de grandes quantités de données, de certaines catégories d’informations ou d’informations concernant l’action pénale ou judiciaire. Le DPD doit être un membre du personnel ou un prestataire de services spécialisé, ils doivent être nommés en fonction des compétences, ils doivent s’inscrire auprès de l’APD,                ils doivent être munis de ressources appropriées pour mener à bien leurs tâches, ils doivent adresser leurs rapports au plus haut niveau de gestion et ils ne doivent pas s’occuper d’activités qui pourraient entraîner un conflit d’intérêts.

Les gens qui vivent au Royaume-Uni peuvent se demander si ces règles les concernent également ou s’ils devraient même s’en inquiéter, par rapport, entre autre, au Brexit. La réponse est oui. Que vous viviez ou non au Royaume-Uni ou dans l’UE, ces lois vous concernent si vous collectez des données sur   les citoyens de l’UE ou si vous visitez des sites gérés par les citoyens de l’UE. De toute façon, le gouvernement du Royaume-Uni a indiqué qu’ils vont adopter une législation similaire à laquelle les citoyens britanniques devront se conformer.

Le RGPD Dans L’UE Non Sans Controverse

Il y a eu un certain nombre de sujets controversés à propos de la réglementation RGPD européenne. En premier lieu, la portabilité des données. Dans la proposition initiale, la portabilité des documents avait son propre article, l’article (18), mais a ensuite été condensé et inclus dans le droit d’accès à l’article (15), dans le texte final du Parlement. Les principales différences, entre les versions, concernent la capacité des contrôleurs de fournir des données, le format dans lequel les données sont transférées et le moyen dont ils disposent pour se protéger contre la perte de la propriété intellectuelle. Les principaux arguments des supporteurs sont que la loi laisse beaucoup de marge de manœuvre aux  organisations. D’un coté,  un contrôleur pourrait ne pas vous livrer vos données si ce n’est pas « faisable ». De l’autre, on peut aussi soutenir que les données comprennent ou proviennent de techniques brevetées, ce qui pourrait constituer un risque à leur livraison. Les adversaires disent que le coût d’amélioration de la technologie et la gestion d’un tel système sont excessifs par rapport au bénéfice.

Le Guichet Unique est l’idée d’un organisme centralisé ou l’organe de référence ayant pour but celui de surveiller la mise en œuvre et l’application du RGPD de l’UE. Bien que ce processus semble être une preuve de bon sens, le plan n’est pas sans problème, en premier lieu, en ce qui concerne l’organisation de ce qui est aujourd’hui un effort multinational et fragmenté, visant à la protection des droits des consommateurs. Dans la première version, seule l’APD de l’État membre, où se trouvait l’organe principal du contrôleur, aurait eu la compétence. Cela laissait la porte ouverte à la possibilité de conflits transfrontaliers qui avaient été abordés dans les dernières versions de la Loi. La version finale permet à l’APD de n’importe quel pays membre d’appliquer la loi, chacun devant prendre les mesures nécessaires pour alerter/informer l’APD principal qui surveille tout contrôleur/processeur individuel. De toutes manières,  la solution laisse beaucoup à désirer. Les arguments incluent aussi la nécessité d’équilibrer un potentiel élevé de bureaucratie avec le besoin de fournir aux citoyens un accès adéquat au recours.

Le délégué à la Protection des données  a été un autre point chaud de débat, car les deux parties ont identifié des problèmes à ce sujet. D’une part, un Délégué centralisé est une bonne idée car il fournit la « personne à voir » pour toutes les choses liées à la collecte des données et à la conformité. L’argument est que les opérateurs multinationaux peuvent avoir du mal à se coordonner avec les multiples APD et vice versa. Une APD située dans un État membre, mais pas dans la nation où le contrôleur a le siège peut faire face à des obstacles de langue et à d’autres difficultés pour la mise en œuvre. Ce sur quoi toutes les versions de la loi conviennent, est que les APD devraient être nommées si les contrôleurs qui sont des autorités publiques, s’occupent d’affaires qui exigent  une surveillance régulière/systématique des sujets de données ou franchissant un certain seuil, en termes de dimension et de volume.

Chronologie Du RGPD Européen Et Les Dates Clés

Le Règlement Général des Données européen a parcouru un long chemin pour son élaboration. La Législation a d’abord été promulguée en 1995 et maintenant, après plus de 20 ans, elle est sur le point de devenir loi.

• 24 Octobre 1995 – La Directive Européenne pour la Protection des données est créée. Il s’agit d’un ensemble de normes que les pays membres de l’UE devraient suivre, mais leur mise en œuvre et leur application sont laissées aux soins des différentes nations. C’était la loi du pays, pour ainsi dire, jusqu’en 2012, quand les choses ont commencé à changer.
• 12 janvier 2012 – La Commission européenne propose une version actualisée de la directive sur la protection des données et livre une première proposition législative au Parlement européen. La proposition fit son chemin à travers les procédures parlementaires le long des deux années successives.
• 12 mars 2014 – Le Parlement européen adopte sa propre version de la législation en première lecture, démontrant un soutien généralisé aux mesures. Elle a ensuite été transférée au Conseil de l’Union européenne.
• 15 juin 2015 – Le Conseil avait le contrôle de la législation depuis un peu plus d’un an. Ils l’ont finalement adoptée, également en première lecture, en la créant sous le nom d’ « approche générale ». Le document passa ensuite à l’étape finale de la législation européenne, connue sous le nom de « Trilogue ».
• Juin/décembre 2015 – L’approche générale fut complètement sectionnée, au cours de 10 réunions, lors de la seconde  moitié de 2015. Les réunions couvrirent chaque article et détail du projet de loi, avec un laps de temps largement consacré à la discussion des questions restantes. Le 15 décembre, il fut annoncé que le texte final était prêt et aurait été définitif à compter de la signature officielle.
• 8 avril 2016 – Adopté par le Conseil de l’UE.
• 16 avril 2016 – Adoption par le Parlement européen.
• Mai 2016 – Publié dans le Journal officiel de l’UE avec un délai de grâce de deux ans après l’adoption.
• Mai 2018 – Le RGPD deviendra pleinement exécutoire dans toute l’Union européenne.

 Le RGPD De L’UE / EU GDPR Contribuera à Protéger Vos Données, Et Alors ?

La législation RGPD de l’UE est certainement un pas dans la bonne direction, mais 3 lettres font que beaucoup de tout ceci ne tienne plus : VPN.

Si vous utilisez un VPN, votre utilisation d’Internet s’effectue déjà en anonymat, cachée derrière de fausses adresses IP et virtuellement ne peut être décelée de l’extérieur, par conséquent, vos données ne sont pas déjà collectées. Du moins, toutes les données qui sont collectées ne sont pas liées à vous et elles ne peuvent permettre de remonter jusqu’à vous, à moins que vous disiez à quelqu’un qu’il s’agit de vous. Naturellement, vous devez vous rappeler d’éviter les erreurs communes de sécurité informatique et de laisser volontairement des données vous concernant, sur les sites Web que vous visitez.

Oui, le RGPD Européen contribuera à protéger l’utilisation du consommateur sur Internet, mais il n’empêchera pas la collecte et la perte de données.

Le VPN est un excellent fournisseur de service de VPN à grande vitesse et ne coûte que quelques dollars par mois. L’avantage supplémentaire est que l’on obtient avec l’anonymat, une sécurité sous la forme de cryptage de haut niveau. En d’autres mots, toutes vos connexions Internet seront à l’abri de regards indiscrets ; même s’ils réussiront à vous pirater, ils ne seront pas en mesure de capturer vos informations. Si vous le retenez important, le seul choix qui vous reste à faire est celui d’obtenir Le VPN.