M.J. Kelly, le 23 mai 2018

Votre boîte de réception s’est-elle remplie de courriels de mise à jour de politiques de confidentialité ? On dirait que tous les services, applis ou abonnements auxquels j’ai souscrit (y compris quelques-uns que j’avais oubliés) m’en envoient. Et la raison en est que ce vendredi 25 mai 2018, une nouvelle législation entre en vigueur en Europe : le règlement général sur la protection des données ou « RGPD ». Si vous ne savez pas ce que cela signifie ou comment il va vous affecter, lisez ce qui suit.

œil

1. Le règlement général sur la protection des données donne à l’Union européenne le pouvoir de tenir les entreprises et organisations responsables de la manière dont elles collectent et traitent les données personnelles – vos données.

Les entreprises et organisations ont eu deux ans pour se préparer. Cela n’est pas une attaque furtive des institutions européennes. Le RGPD a été publié en mai 2016, donnant à toute personne qui collecte des données personnelles de clientèle suffisamment de temps pour se préparer.

2. Même s’il est parti de l’Europe, le RGPD affecte le monde entier.

Si vous vivez hors d’Europe, vous vous demandez sûrement ce que la législation européenne a à voir avec vous. Grâce à ce que l’on appelle le « champ d’application territorial », toute organisation qui traite des données des données de résidents de l’UE doit se conformer au RGPD pour ces personnes, ce qui a des répercussions sur des organisations mondiales comme Apple et Facebook. Même si ces règles ne sont pas strictement obligatoires, certaines organisations adoptent une approche fondée sur des principes (et peut-être plus facile) et proposent le même ensemble de contrôles et de protections aux résidents non UE.

3. Ça remplit votre boîte de réception.

Nous avons tous et toutes été bombardés de courriels à propos de politiques de confidentialité et de conditions d’utilisation du service mises à jour. Ce n’est (en grande partie) pas une retombée du scandale Cambridge Analytica, mais c’est parce que les entreprises mettent leurs politiques et pratiques en conformité avec le RGPD. Bonus : tous ces courriels sont des indices vous permettant de vous déconnecter de services que vous auriez oubliés.

4. Vous disposez déjà du contrôle de votre vie privée dans Firefox, Firefox Focus, Pocket et tous nos produits.

L’engagement envers la vie privée est profondément implanté au sein de notre organisation et de ses employés. Depuis notre création, Mozilla a toujours défendu et mis en pratique un ensemble de principes de protection des données personnelles qui sont au cœur des lois sur la protection de la vie privée telles que le RGPD. En plus, nous avons appliqué ces principes pas seulement en Europe, mais à tous nos utilisateurs dans le monde entier. Nous avons l’impression que le reste du monde rattrape son retard. Lisez l’histoire complète de nos processus internes et de nos documents de politique.

5. Protection des données dès la conception et protection des données par défaut.

Les organisations collectant ou utilisant des données personnelles devront tenir compte de la confidentialité tout au long du cycle de vie des produits et services. Cela signifie qu’à partir du jour où les équipes commencent à concevoir un produit, un service ou une fonctionnalité, la confidentialité doit être en tête des priorités. Cela signifie aussi que les paramètres initiaux de l’application et du service seront réglés par défaut en faveur de la protection de la vie privée afin de se conformer au RGPD. Ce sera alors votre choix de les modifier ou de les activer comme vous le souhaitez.

6. Les politiques et les conditions d’utilisation devront être plus faciles à comprendre.

Le RGPD exige que les politiques de confidentialité soient rédigées dans un langage clair afin que vous puissiez mieux comprendre ce à quoi vous consentez. C’est le bon moment pour consulter à nouveau les politiques de confidentialité et celles relatives aux données des services que vous utilisez, et mettre à jour vos paramètres. En voici quelques-unes pour vous lancer :

Apple
Facebook, Messenger et Instagram
– Google : mises à jour : règles de confidentialité ; votre compte
LinkedIn
Microsoft
My Fitness Pal
Snap
Twitter

7. Vous avez le droit d’emporter vos données avec vous dans un autre service.

Ce principe de « portabilité des données » signifie que vous 1) avez une visibilité sur les données recueillies par une organisation à votre sujet, 2) pouvez transférer ces données vers un fournisseur de service (tel qu’un concurrent) sans perdre l’historique de données que vous avez accumulé et 3) êtes plus proche d’être le gardien et le bénéficiaire de vos propres données. La façon dont cela va se passer n’est pas encore totalement claire.

8. Vous avez le droit à l’oubli.

En plus d’avoir le droit à vos données, vous avez aussi le droit d’exiger leur effacement.

9. Les violations de données seront signalées beaucoup plus rapidement aux régulateurs.

Le RGPD dispose d’une « règle des 72 heures » qui prévoit que les contrôleurs doivent signaler une violation à son autorité de contrôle dans les 3 jours après en avoir eu connaissance. En théorie, vous devriez également la découvrir plus rapidement quand il y a des risques élevés pour vos « droits et libertés » tels que définis par la règle des 72 heures.

10. Les violations coûteront très cher.

Vraiment très cher. Autrefois, les peines pour collecte et gestion de données illégales étaient assez faibles au point qu’il fût parfois plus rentable pour les grands acteurs de payer les amendes. Désormais, « les organisations qui violent le RGPD feront l’objet d’amendes jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu) ». Bien qu’il ne soit pas clair de ce que serait une violation « importante », voici une démonstration de comment une amende serait calculée pour Alphabet, la holding qui possède Google. Alphabet a fait 110 milliards de dollars US en 2017, donc une violation importante du RGPD pourrait conduire à une amende gigantesque de 4,4 milliards de dollars (!!!).

11. Ce qui est bon pour les utilisateurs est également bon pour les affaires.

Stocker des données personnelles n’est pas sans risque (voir le point 9). Des pratiques de données et de sécurité plus fortes réduisent les risques associés à la collecte et au traitement des données tant pour les utilisateurs que pour les organisations. Ce n’est pas négligeable : en 2015, les violations de données ont coûté en moyenne 3,79 millions de dollars US par entreprise touchée, sans parler de la perte de confiance des clients et des retombées en termes de relations publiques.

12. Moins de données, plus de confiance.

C’est triste mais vrai que certaines organisations ne savent même pas quelles données elles ont ou bien où elles sont stockées, et le RGPD encourage les organisations à réfléchir à deux fois à la quantité de données qu’elles collectent. De plus, elles doivent justifier de leurs objectifs de collecte. Chez Mozilla, nous mettons ces principes en pratique et plaidons pour que les entreprises adoptent des pratiques de données allégées. Le RGPD représente une opportunité pour davantage d’entreprises d’être leaders en matières en matière de collecte de données personnelles en choisissant de ne recueillir que ce qui est nécessaire pour fournir un produit ou un service, plutôt que de lancer le filet le plus vaste possible.

13. Le RGPD est un plancher, pas un plafond.

Mozilla souhaite que les utilisateurs disposent de contrôles et qu’il existe des paramètres de confidentialité adaptés aux attentes des utilisateurs. Le RGPD fournit un ensemble de règles de base qui aide à jeter les bases d’approches plus éthiques pour la collecte et le traitement des données. C’est un pas dans la bonne direction, mais le diable se cachera dans les détails pour la plupart des organisations. Les nouveaux contrôles en matière de vie privée qui même conforment techniquement au RGPD n’aideront pas s’ils sont trop difficiles à utiliser ou si les organisations ne sont pas engagées en faveur des principes sous-jacents qui ont façonné ce règlement. Néanmoins, nous apprécions le fait qu’il encouragera une culture de vie privée responsable, permettant à l’individu d’avoir le contrôle et le choix de son expérience en ligne, quelque chose que Mozilla défend depuis ses débuts. ◼


Aller plus loin

Le site Next INpact a publié une série d’articles en accès libre expliquant le RGPD :


Traduction et relecture : Mozinet, fwhcat et anonymes

NB : il y a 2 ans nous publiions déjà une traduction de Mozilla sur l’application du RGPD.

Bon RGPDday !