Le Quotidien Indépendant Luxembourgeois
La protection des données en Europe est inscrite dans la législation européenne depuis plus de 20 ans. Mais elle n’était pas efficace. Un règlement européen voté en 2016 va entrer en vigueur définitivement le vendredi 25 mai. La députée Viviane Reding revient sur les enjeux.
« Certaines grandes entreprises qui ne s’adaptent pas aux nouvelles règles européennes auront, à partir du 25 mai, un grave problème», prévient Viviane Reding.
Ce grave problème, c’est la non-conformité avec le règlement général sur la protection des données (RGPD), qui entre en vigueur dans une dizaine de jours, le 25 mai.
Son but : «Protéger les données personnelles de tous les citoyens», a assuré hier l’eurodéputée luxembourgeoise. Elle était invitée à la Chambre de commerce pour la journée de conférence «Fit4DataProtection».
« Les grandes entreprises étrangères nous riaient au nez ! »
Depuis 1995 déjà, la protection des données en Europe est un droit fondamental, inscrit dans la législation européenne. Mais les transposition en droit interne ont traîné. Au Luxembourg, par exemple, la transposition de cette directive remonte à 2002. Souvent, elle n’est ni connue ni respectée : «Les grandes entreprises étrangères qui opèrent sur le territoire européen nous riaient au nez !, se scandalise l’eurodéputée. Ils volent allègrement les données de nos citoyens pour soit les manipuler, soit les revendre à des tiers. Et quelle est la protection contre ce vol ? Nul !»
Les hackers, et même certaines administrations, s’en donnent aussi à cœur joie. Et le citoyen est le grand perdant : «Par exemple, lors des vols de données des cartes de crédit, on met des années pour apprendre que ces données ont été volées.»
Les entreprises européennes en pâtissent aussi : «Celles qui veulent utiliser le marché intérieur doivent, à chaque passage de frontière, demander une nouvelle autorisation fondée sur une législation qui souvent est en contradiction avec la législation du pays voisin…»
«Facebook aurait dû payer des milliards»
Bref, il était temps de créer une législation moderne et, surtout, efficace. En 2012, rappelle Viviane Reding, «je dépose le projet de loi européen. En 2016, il est accepté». Deux années seront laissées aux entreprises et administrations pour se préparer jusqu’au texte applicable donc ce 25 mai 2018.
Un texte, première différence, qui n’est plus une directive (qui doit être transposée dans chaque législation nationale, occasionnant retards et divergences d’application), mais un règlement, donc directement applicable dans tous les États membres.
Seconde différence : ce règlement renforce les droits de la directive de 1995. «Le principe est clair : les données appartiennent aux individus, qui décident de les donner volontairement. Elles n’appartiennent jamais à un tiers, et celui-ci doit toujours demander au propriétaire s’il peut les exploiter et comment.»
Et les entreprises risquent gros à ne pas respecter ce principe : «La loi prévoit de fortes amendes, jusqu’à 4 % du chiffre d’affaires mondial des grandes entreprises. Si l’affaire Cambridge Analytica avait eu lieu après cette nouvelle loi, cela aurait probablement mis en difficulté Facebook sur le territoire européen, car il aurait dû payer des milliards d’amende.»
Autre différence pour les entreprises : alors que la directive de 1995 s’appliquait à toutes les entreprises sans distinction de taille ou d’activité, le règlement de 2018 fait enfin la distinction entre Google et le petit artisan. La loi prévoit donc «des exceptions pour les entreprises de moins de 250 employés, dont le numérique n’est pas le cœur de métier». Donc oui, «les hôtels peuvent toujours relever les données de leurs clients : il suffit de les garder en lieu sûr». Non, «le boucher du coin n’est pas tenu aux mêmes règles de confidentialité qu’une banque…».
Bien sûr, ce RGPD suscite de nombreuses craintes. D’ailleurs, certains font leur beurre de cette peur : «Des consultants harcèlent les petites entreprises en les incitant à payer des sommes conséquentes pour soi-disant se mettre en règle», rapporte-t-elle. Donc, en cas de doute, n’hésitez pas : consultez la Chambre de commerce ou la Commission nationale pour la protection des données (CNPD).
Romain Van Dyck.
