Le 25 mai 2018 entrera en vigueur la nouvelle loi européenne de protection des données personnelles (e-privacy protection). Devrions-nous nous en soucier ?

 

La réponse est clairement oui : la e-privacy nous concerne tous !

Même si une fois de plus le législateur est encore en retard, il n’en reste pas moins que le cadre juridique progresse et que les règles du jeu digital changeront effectivement dès 2018. Est-ce que cela aura des impacts ?

Oui, si une entreprise et/ou un organisme, public ou privé, interagit massivement via un service digital avec des citoyens européens (indépendamment du vecteur d’interaction et/ou du réseau porteur et /ou du lieu d’interaction) et capture à des fins lucratifs (ou pas) leurs données personnelles générées avant, pendant ou après l’interaction. Oui, si une entreprise et/ou un organisme, public ou privé, espère durer dans le business digital. Oui, si une entreprise et/ou un organisme, public ou privé, se veut respectueuse d’une certaine idée de la protection des données personnelles des individus. Oui, ne serait-ce que pour soutenir et renforcer les moyens de lutte pour un internet neutre, sûr et dans lequel l’utilisateur garde le contrôle de ses données. Oui, même si des solutions de contournements des contraintes existent et que le jeu semble déjà avoir évolué.

Mais que l’on ne s’y trompe pas : c’est loin d’être une sinécure !

Non seulement les plupart des utilisateurs ne disposent pas (encore) des moyens nécessaires pour faire valoir (effectivement) leurs droits, mais certains d’entre eux utilisent des outils pour changer leurs adresses IP alors qu’un grand nombre de fournisseurs de service peuvent se montrer (très) peu regardant avec l’utilisation des données personnelles capturées (dépendamment du pays hébergeur du service et/ou du for juridique appliqué). Bref, c’est le far west…

Pour mieux comprendre et saisir toutes les subtilités de la chose, nous vous proposons de traiter le sujet en quatre parties:

  1. d’abord, comprendre quelles sont les bases légales à prendre en compte
  2. puis faire un focus sur les métadonnées
  3. ensuite bien saisir les obligations et contraintes pour une entreprise
  4. enfin visualiser ce que devrait être une bonne gestion de la donnée

Avec cela, vous disposerez de toutes les informations pour vous faire une idée.

 

PARTIE I : Quelles sont les bases légales à prendre en compte ?

Avant tout, il convient de se rappeler que l’Union Européenne suit une stratégie qui s’articule autour d’un marché unique numérique, avec l’ambition de cadrer les services digitaux pour qu’ils soient plus sûrs et suscitent davantage la confiance. Pour ce faire, les services concernés devront fournir un niveau élevé de protection de la vie privée pour leurs utilisateurs, et des conditions de concurrence équitables à tous les acteurs économiques seront fixées par l’UE.

Dans ce cadre, la directive 2002/58/CE « Vie Privée et Communications Electroniques » (ou VPCE) assure déjà la protection des libertés et droits fondamentaux, en particulier le respect de la vie privée, la confidentialité des communications et la protection des données à caractère personnel dans le secteur des communications électroniques. Elle garantit aussi la libre circulation des données, équipements et services de communications électroniques dans l’Union. Elle transpose en droit dérivé de l’Union le droit fondamental au respect de la vie privée, en ce qui concerne les communications, tel qu’il est consacré à l’article 7 de la Charte des droits fondamentaux de l’Union européenne.

Néanmoins, depuis la dernière révision de VPCE en 2009, d’importantes évolutions technologiques et économiques se sont produites sur le marché. Particuliers et entreprises recourent de plus en plus, pour leurs communications interpersonnelles, à de nouveaux services sur Internet, comme la voix sur IP, la messagerie instantanée et le courrier électronique Web, au lieu des services de communication traditionnels. Ces services de communication par contournement (ci-après « OTT » ou Over The Top) ne sont en général pas soumis au cadre réglementaire actuel de l’UE en matière de communications électroniques, notamment à la VPCE. En conséquence, celle-ci a été dépassée par l’évolution technologique avec, pour résultat, que les communications établies par l’intermédiaire de nouveaux services ne sont pas protégées.

La directive VPCE est un élément du cadre réglementaire des communications électroniques. En 2016, la Commission a adopté la proposition de directive établissant le Code des Communications Electroniques Européen (ci-après le «CCEE»), lequel constitue une révision du cadre. Même si la présente proposition ne fait pas partie intégrante du CCEE, elle repose partiellement sur les définitions qu’il contient, notamment celle des « services de communications électroniques ». À l’instar du CCEE, la présente proposition fait aussi entrer les fournisseurs de services OTT dans son champ d’application afin de refléter la réalité du marché. En outre, le CCEE complète la présente proposition en garantissant la sécurité des services de communications électroniques.

Pour ce faire il a été nécessaire de réformer le cadre juridique en matière de protection des données et, en particulier, il a fallu adopter le règlement (UE) 2016/679 ou GDPR (pour General Data Protection Regulation ou règlement général sur la protection des données). Cette nouvelle loi va impacter non seulement les entreprises de services informatiques (comme CALYPS), mais encore toute entreprise qui traite des données à caractère personnel. Cette nouvelle législation est un changement drastique de paradigme quant à la protection des données : en effet, jusqu’à présent, chaque état de l’Union Européenne légiférait (ou non) sur le sujet à sa manière. Désormais, avec la GDPR ce sont tous les états membres qui se retrouveront sous le coup d’une même loi. Ce qui aura des conséquences sur les traitements des données des citoyens européens réalisés hors UE, notamment en Suisse.

Bon, mais concrètement, ça veut dire quoi ?

Pour être concret, il s’agit d’abord de savoir de quoi l’on parle. Dans « General Data Protection Regulation », il y a DATA. Kesako ? La data, en droit, c’est une « information » ou un « message ». Et qu’on le veuille ou non, nos amis de la silicon valley n’ont rien inventé: depuis la nuit des temps, les problématiques autours des messages sont les mêmes : comment les transporter ? Comment les stocker ? Comment les préserver ? Comment les sécuriser ? Comment s’en protéger …?

Suite dans le prochain post: focus sur les métadonnées

Vos données ont de la valeur !

La Data Intelligence est destinée aux gestionnaires, décideurs et dirigeants d’entreprise. Il s’agit de la mise en œuvre des moyens, outils et méthodes destinés à fournir l’information utile pour décider et agir en toute connaissance de cause. Mettez-toutes les chances de votre côté en vous appuyant sur des professionnels de la donnée.

Les experts CALYPS sont là pour vous aider