Pour profiter au maximum des avantages qu’offre internet, il est nécessaire de disposer d’une identité numérique. Mais la disposition d’une identité numérique sans de bonnes garanties de protection de ses données personnelles peut créer de graves dommages.

C’est d’ailleurs la grande préoccupation de nombreux internautes à l’heure où de nombreuses attaques de pirates informatiques se multiplient sur internet. Comment concilier dans ces conditions la nécessité d’utiliser internet et les préoccupations de sécurisation des données personnelles ?

Le Règlement Général sur la Protection des Données Personnelles (RGPD) édicté par l’Union européenne permet d’avoir la réponse idéale à cette question. À travers cet article, nous présentons les changements induits par le RGPD sur les droits des internautes et les obligations mises à la charge des professionnels en ce qui concerne la protection des données personnelles.

Le RGPD tel qu’il se présente

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis le 25 mai 2018.

Objectif : veiller à la protection régulière des données personnelles des interlocuteurs des entreprises.

Cette protection touche les informations contenues dans les bases de données détenues par les entreprises en interne, mais aussi par leurs plateformes web. Le Règlement crée, au profit des internautes, des droits qui leur permettent d’accéder directement à leurs informations personnelles sur une boutique en ligne et de les contrôler. Il met à la charge des entreprises une série de dispositions qu’elles se doivent de prendre pour garantir la sécurité des informations qu’elles détiennent sur leurs interlocuteurs.

En cas de non-respect par les entreprises des recommandations du règlement, des sanctions ont été prévues en conséquence.

Ce règlement s’applique à toutes les entreprises établies en UE et à celles établies à l’extérieur qui proposent des services aux résidents de l’Union. Il met fin à une longue période d’insuffisances en matière de protection des données personnelles et rétablit l’égalité entre les entreprises de l’UE et celles étant hors UE sur le sujet.

Le droit d’accès et de contrôle des données personnelles

Avant l’avènement du RGPD, il a existé des textes permettant d’encadrer la protection des données personnelles. Ces textes ont créé des droits pour l’internaute. L’entrée en vigueur du Règlement renforce les droits préexistants de l’internaute sur la protection de ses données et crée de nouveaux droits.

Désormais, ce dernier est en droit d’accéder directement à l’ensemble de ses données détenues par une plateforme web et de les contrôler.

À volonté, il pourra exercer en plus des droits d’accès, de rectification, d’effacement et d’opposition, les droits de suppression, d’indication de limitations sur l’usage qui peut être fait de ses données et d’exportation de ses données personnelles :

  • La rectification permet à l’internaute d’actualiser ses données.
  • L’effacement est la possibilité qui lui est laissée de soustraire une information qu’il avait fournie.
  • L’opposition lui permet de dire non à toutes formes d’utilisation qu’un site e-commerce pourrait faire de ses données, mais qui ne rencontrent pas son accord.
  • La suppression lui permet de demander à l’entreprise éditrice de la plateforme web de supprimer toutes ses données.
  • L’indication de limitations lui permet de limiter la boutique en ligne sur les possibilités d’utilisation de ses données.
  • L’exportation est la possibilité qu’il a de transférer les informations personnelles fournies sur un site e-commerce en vue de leur utilisation sur une autre.

La jouissance de l’ensemble de ces droits par les internautes est intimement liée à des dispositions que doivent prendre les entreprises.

Les mesures à prendre par les entreprises pour garantir la protection des données personnelles

Le RGPG fait quelques recommandations aux entreprises en vue de garder bien protégées les données personnelles de leurs interlocuteurs que sont les clients, collaborateurs, etc. Ces recommandations tournent autour de la nécessité d’informer l’internaute des raisons pour lesquelles ses données sont collectées, de recueillir son consentement et de respecter ses droits sur lesdites données.

De façon concrète, si c’est un site de vente, l’entreprise doit sécuriser les données des internautes. Elle va donc inscrire l’ensemble du parcours de vente sur le site en HTTPS ; elle oblige les clients à opter pour des mots de passe difficiles à deviner à la création de leur compte ; elle s’abstient d’envoyer des données personnelles par E-mail ; elle s’abstient de garder les données bancaires des clients ; elle sécurise la transaction.

Elle doit ensuite les informer formellement de ce qu’elle fait avec leurs données à travers une page « Vie privée » accessible sur le site et régulièrement mise à jour.

Enfin, l’entreprise doit prévoir la possibilité pour les internautes de contrôler leurs données personnelles sur sa plateforme web en lui permettant de rectifier, de supprimer ou de signaler toute situation ayant trait à ses informations. Il peut s’agir d’un formulaire spécifique ou d’une page créée à cet effet pour recueillir les demandes.

Le RGPD, un cadre juridique profondément incitatif

Le RGPD crée un cadre profondément incitatif où les entreprises n’ont vraiment pas le choix en ce qui concerne les mesures à prendre pour sécuriser les données de leurs interlocuteurs. En effet, en cas de non-observation des recommandations contenues dans le Règlement, elles encourent une amende pouvant atteindre vingt millions (20.000.000) d’euros ou 4 % de leur chiffre d’affaires annuel.

Avec de telles peines en perspectives, aucune entreprise ne saurait se permettre de négliger le respect des recommandations du Règlement. Pour les entreprises qui trainent les pas depuis l’entrée en vigueur du RGPD, c’est le moment de faire diligence pour une mise en conformité de leurs plateformes web. Sinon, de toutes les façons, les risques encourus sont connus.

La CNIL, un organe régulateur aux aguets

La Commission nationale de l’informatique et des libertés est l’organe chargé d’accompagner les entreprises en vue de leur mise en conformité relativement aux dispositions du RGPD. C’est également elle qui prononce les sanctions en cas de non-respect des dispositions du Règlement par les entreprises.