Les utilisateurs européens ont de nouveaux droits
Des entreprises canadiennes devront s’adapter au nouveau Règlement général sur la protection des données de l'Union européenne, prévient un expert.
Plus de 75 000 entreprises dans le monde, dont bon nombre au Canada, devront embaucher un « délégué à la protection des données ». C’est un des effets peu connus du Règlement général sur la protection des données (RGPD) en vigueur en Europe depuis le 25 mai. Un de ces délégués, Florent Gastaud, œuvre au sein d’OVH, une entreprise française d’infonuagique installée au Québec depuis 2012. Son message : au-delà des tracas administratifs pour les entreprises, le RGPD peut ramener la confiance des utilisateurs. La Presse l’a joint au bout du fil à Paris.
C’est une obligation du Règlement général sur la protection des données (RGPD), pour une entité comme OVH. On a l’obligation d’en nommer un. Mon rôle, c’est très concrètement de gérer la manière dont le groupe OVH traite les données à caractère personnel. À la fois nos données, sans qu’il y ait de notion de propriété, et les données de nos 1,3 million de clients, celles qu’ils déposent dans nos infrastructures.
Le RGPD, de manière générale, permet de renforcer la protection des données en Europe, et dans le monde avec le principe d’extraterritorialité. Il permet aux citoyens de mieux maîtriser leurs données et de contraindre les entités, publiques comme privées, à respecter les règles en matière de protection des données [sous peine d’amendes pouvant atteindre] 4 % du chiffre d’affaires mondial consolidé de l’exercice précédent, ou 20 millions d’euros [30,2 millions de dollars]. Et on prend la somme la plus élevée des deux.
On doit documenter la manière dont on traite les données personnelles pour pouvoir justifier la légalité de nos processus en cas de contrôle de l’autorité. Il y a un vrai travail de documentation à faire à l’interne. Le règlement impose également de réaliser des analyses d’impact sur la vie privée, qui sont obligatoires dès que vous mettez en œuvre un traitement qui présente des risques élevés pour une personne.
Vous avez des droits qui existaient, mais qui sont renforcés, comme l’accès à ses données personnelles, de suppression, d’opposition. Et vous avez de nouveaux droits comme celui à la portabilité des données. C’est un changement assez majeur : c’est la possibilité pour une personne de demander à une entreprise qui traite ses données qu’elle les lui restitue, dans un format lisible par une machine, réutilisable, de manière à ce que la personne puisse les déposer dans un autre service, par exemple chez un concurrent.
Je n’ai pas d’estimation quant à leur nombre. Ce sont celles qui vont traiter des données personnelles de résidants européens, de personnes sur le territoire de l’Union européenne.
Effectivement, si c’est un gros site qui va collecter beaucoup de données… Mais tout dépend de ce que va faire ce site. Si c’est un site qui a beaucoup de trackers, qui va collecter les adresses IP des visiteurs, des informations, qui va suivre le comportement des visiteurs européens, dans ce cas-là, oui. Par contre, si c’est un site vitrine qui ne collecte aucune information sur ses visiteurs, il n’y a aucune obligation.
J’en déduis la même chose… ou il s’agit d’une certaine incompréhension du règlement. Il est vrai qu’à partir du moment où vous traitez les données personnelles d’Européens, vous devez respecter le règlement.
Oui. Le RGPD permet une meilleure protection des données personnelles. Et bien que ce soit une réglementation européenne, elle a des effets en dehors de l’Union européenne. C’est une bonne chose parce qu’elle est créatrice de confiance pour les utilisateurs. Ce qui, dans le contexte actuel, avec des controverses comme l’affaire Cambridge Analytica, est une chose essentielle.