Les utilisateurs européens ont de nouveaux droits

Vous êtes « délégué à la protection des données » chez OVH, la plus importante entreprise française d’infonuagique. Pouvez-vous nous expliquer d’entrée de jeu ce que vous faites et à quoi sert ce poste ?

C’est une obligation du Règlement général sur la protection des données (RGPD), pour une entité comme OVH. On a l’obligation d’en nommer un. Mon rôle, c’est très concrètement de gérer la manière dont le groupe OVH traite les données à caractère personnel. À la fois nos données, sans qu’il y ait de notion de propriété, et les données de nos 1,3 million de clients, celles qu’ils déposent dans nos infrastructures.

En quoi, depuis le 25 mai dernier, le RGPD est-il venu changer votre façon de traiter les données ?

Le RGPD, de manière générale, permet de renforcer la protection des données en Europe, et dans le monde avec le principe d’extraterritorialité. Il permet aux citoyens de mieux maîtriser leurs données et de contraindre les entités, publiques comme privées, à respecter les règles en matière de protection des données [sous peine d’amendes pouvant atteindre] 4 % du chiffre d’affaires mondial consolidé de l’exercice précédent, ou 20 millions d’euros [30,2 millions de dollars]. Et on prend la somme la plus élevée des deux.

Plus précisément, qu’est-ce qu’on demande de plus aux entreprises ?

On doit documenter la manière dont on traite les données personnelles pour pouvoir justifier la légalité de nos processus en cas de contrôle de l’autorité. Il y a un vrai travail de documentation à faire à l’interne. Le règlement impose également de réaliser des analyses d’impact sur la vie privée, qui sont obligatoires dès que vous mettez en œuvre un traitement qui présente des risques élevés pour une personne.

Qu’est-ce que ça change pour le citoyen, en fin de compte ?

Vous avez des droits qui existaient, mais qui sont renforcés, comme l’accès à ses données personnelles, de suppression, d’opposition. Et vous avez de nouveaux droits comme celui à la portabilité des données. C’est un changement assez majeur : c’est la possibilité pour une personne de demander à une entreprise qui traite ses données qu’elle les lui restitue, dans un format lisible par une machine, réutilisable, de manière à ce que la personne puisse les déposer dans un autre service, par exemple chez un concurrent.

Donc, des milliers d’entreprises vont devoir se doter d’un délégué à la protection des données pour appliquer le RGPD, jusqu’à 75 000 entreprises, estime-t-on. Quelles entreprises canadiennes vont devoir se plier à cette mesure ?

Je n’ai pas d’estimation quant à leur nombre. Ce sont celles qui vont traiter des données personnelles de résidants européens, de personnes sur le territoire de l’Union européenne.

Donc, une entreprise établie au Canada qui a un site internet visité par des Européens pourrait être obligée d’avoir un tel délégué ?

Effectivement, si c’est un gros site qui va collecter beaucoup de données… Mais tout dépend de ce que va faire ce site. Si c’est un site qui a beaucoup de trackers, qui va collecter les adresses IP des visiteurs, des informations, qui va suivre le comportement des visiteurs européens, dans ce cas-là, oui. Par contre, si c’est un site vitrine qui ne collecte aucune information sur ses visiteurs, il n’y a aucune obligation.

Vous avez sans doute lu que des sites de médias américains, notamment le Los Angeles Times et le Chicago Tribune, ont fermé l’accès de leur site à partir de l’Europe. Faut-il en déduire qu’eux récoltaient beaucoup d’informations personnelles ?

J’en déduis la même chose… ou il s’agit d’une certaine incompréhension du règlement. Il est vrai qu’à partir du moment où vous traitez les données personnelles d’Européens, vous devez respecter le règlement.

On a parlé de la mécanique du RGPD. De façon plus générale, est-ce que ce règlement est bénéfique pour l’internaute, le citoyen ?

Oui. Le RGPD permet une meilleure protection des données personnelles. Et bien que ce soit une réglementation européenne, elle a des effets en dehors de l’Union européenne. C’est une bonne chose parce qu’elle est créatrice de confiance pour les utilisateurs. Ce qui, dans le contexte actuel, avec des controverses comme l’affaire Cambridge Analytica, est une chose essentielle.