Logo Toute l'Europe

3 minutes pour comprendre l'Europe

L'Europe et la protection des données personnelles en 3 minutes

3 minutes pour comprendre l'Europe - pavé

Que font les entreprises avec mes données personnelles ? Alors que la question taraude de nombreux citoyens, l’Union européenne a défini, dès 1995, ce qu’était une donnée personnelle. En 2016, cette directive a été complétée par un règlement : le règlement général sur la protection des données (RGPD).

Evaluez plus bas vos connaissances sur le sujet en répondant à notre quiz !

La protection des données personnelles (3 minutes pour comprendre l'Europe - n°11)

Selon la directive européenne de 1995, une donnée à caractère personnel correspond à “toute information concernant une personne physique identifiée ou identifiable”. Cette définition englobe les informations permettant d’identifier la personne “directement” (son nom, son prénom) et “indirectement” (numéro d’identification, données de localisation, identifiant en ligne, ou encore tous les “éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”).

Pourquoi il est important de les protéger ?

Le croisement de plusieurs données personnelles peut rendre une personne identifiable. C’est le cas par exemple d’une base de données marketing qui contient des informations “sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y compris si leur nom n’est pas stocké […] dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations”, explique la CNIL, l’agence française chargée de réguler les données personnelles liées au numérique.

Avec le développement du numérique, les données à caractère personnel sont devenues bien plus accessibles et utilisées par tous types d’acteurs. Les entreprises commerciales, par exemple, peuvent proposer des publicités ciblées à un consommateur en fonction de ses recherches sur internet, ses achats enregistrés sur une carte de fidélité, son inscription à un club de sport ou même après avoir constaté, grâce à ses données de géolocalisation, qu’il se rend régulièrement dans un centre de santé.

Une connaissance de la vie privée qui peut s’avérer plus intrusive encore lorsqu’elle est mise à profit par des banques, des assurances ou des services de renseignement… En 2016 aux États-Unis, dans le cadre de la campagne présidentielle du candidat Donald Trump, l’entreprise Cambridge Analytica a exploité les données personnelles de 220 millions de citoyens américains afin de leur proposer des publicités politiques ciblées. La même pratique aurait été employée au Royaume-Uni, lors du référendum sur le Brexit. 

L’usage des données personnelles s’invite ainsi au cœur du processus démocratique. Depuis l’irruption de la pandémie de Covid-19, il est désormais au centre du débat public en matière de santé avec le projet d’instauration d’un certificat vert numérique européen proposé par la Commission européenne, un “passeport sanitaire” compilant les données immunitaires des personnes se déplaçant sur le territoire de l’Union. Ce document suscite espoirs de retrouver une libre circulation, laquelle est entravée par les restrictions mises en place, et craintes d’une utilisation abusive des données de santé des Européens.

Que dit le RGPD ?

Il a fallu 4 ans aux États membres et aux institutions européennes pour se mettre d’accord, et deux années supplémentaires pour faire appliquer la nouvelle législation européenne sur la protection des données. Au final, le règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans les États membres.

Celui-ci donne le droit aux citoyens de recevoir des informations claires et compréhensibles sur les personnes qui traitent leurs données, sur le type de données traitées et sur la raison pour laquelle elles sont traitées, de même qu’il garantit l’accès aux données à caractère personnel qu’une organisation détient sur eux.

Le RGPD procure également le droit d’obtenir, de la part d’un prestataire de service (par exemple un opérateur mobile), la transmission de ses données à caractère personnel à un autre prestataire de service. C’est ce qu’on appelle la “portabilité des données”. Il établit en outre le “droit à l’oubli” : toute personne peut dorénavant demander que ses données à caractère personnel soient supprimées.

Les entreprises doivent enfin obtenir un consentement univoque des individus avant d’utiliser leurs données et indiquer clairement l’usage qui en sera fait. Si les données sont perdues ou volées, et si la violation de données ainsi commise est susceptible de porter préjudice, l’entreprise d’origine doit en informer les personnes concernées.

Et en cas de manquements ?

Lorsqu’une entreprise ne respecte pas le RGPD, elle peut se voir infliger une amende allant jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires mondial.

En janvier 2019, la CNIL a ainsi demandé à Google de débourser 50 millions d’euros pour non-respect du RGPD. En cause : les informations fournies lors de la création d’un compte Google sur un téléphone Android n’étaient ni facilement accessibles, ni aisément compréhensibles et le consentement des utilisateurs était présélectionné. Selon un rapport du cabinet international d’avocats d’affaires DLA Piper, en février 2021, le montant total des amendes infligées pour des infractions au RGPD en Europe s’élevait à 272,5 millions d’euros.


Testez vos connaissances !


Toute l’Europe vous propose un quiz pour parfaire votre connaissance de l’histoire et du fonctionnement de l’Union européenne grâce à des réponses commentées. Avez-vous bien retenu les informations glissées dans le texte que vous venez de lire ? La réponse après ce quiz !

Votre avis compte : avez-vous trouvé ce que vous cherchiez dans cet article ?

À la une sur Touteleurope.eu

Flèche

Participez au débat et laissez un commentaire

Commentaires sur L'Europe et la protection des données personnelles en 3 minutes

Lire la charte de modération

Commenter l’article

Votre commentaire est vide

Votre nom est invalide