Il 25 mai 2018 le web a changé une fois pour toutes. Du moins en Europe. Même si beaucoup ne s'en sont pas rendu compte à l'époque, c'est depuis ce jour Le RGPD est entré en vigueur, le règlement voulu par la Commission européenne pour uniformiser les règles relatives au traitement des données des citoyens sur l'ensemble du Vieux Continent (y compris la Suisse). Le RGPD, notamment, transpose, "intègre" et remplace toutes les réglementations nationales sur le traitement des données personnelles et la protection de la vie privée.

Exactement, cependant, ce qui a changé par rapport au passé et ce que les entreprises doivent faire pour éviter d'enfreindre le RGPD ? ET Quelles sont les sanctions pour ceux qui enfreignent le RGPD ? Comprenons tout en analysant un cas pratique.

Qu'est-ce que le RGPD

Acronyme de Règlement Général de Protection des Données, Règlement général sur la protection des données en italien, le RGPD est l'ensemble des règles et réglementations que doivent respecter tous les sujets qui traitent les données des internautes. En particulier, le RGPD traite de la traitement des données personnelles des utilisateurs par les entreprises, leur conservation par ces dernières et la possibilité, pour les utilisateurs eux-mêmes, de pouvoir les gérer de manière simple et immédiate.

RGPD : ce qu'il apporte

Les points clés autour desquels s'articule toute la structure du RGPD sont essentiellement deux :

• Simplifier le cadre réglementaire dans lequel les entreprises évoluent sur le marché de l'Union européenne (et d'autres pays qui ont un traité avec l'UE) ;
• Donner aux utilisateurs un plus grand contrôle sur leurs données, depuis leur acquisition par l'entreprise jusqu'à leur suppression.

Pour que cela soit possible, le RGPD impose aux entreprises que les demandes de consentement soient plus claires et « lisibles » par les utilisateurs ; des limites au traitement et à l'utilisation des données sont établies ; imposition de sanctions aux entreprises qui violent les dispositions de la réglementation sur le traitement des données. Par ailleurs, en cas de violation de données (une perte de données, résultant généralement d'un vol commis par des criminels), le responsable du traitement (un professionnel au sein de l'entreprise, appelé Délégué à la protection des données ) est tenu d'en informer les autorités et les propriétaires légitimes dans les meilleurs délais. Si cela ne se produit pas, le sanctions prévues par le RGPD ils deviendraient encore plus salés.

Mi-2020, une nouveauté est arrivée concernant le Consentement au traitement des données que les entreprises collectent via des outils web. Les deux années précédentes, en effet, il suffisait à l'internaute de faire défiler une partie d'une page web pour considérer le consentement au traitement comme acquis. Un arrêt de la Cour européenne de justice établit que le consentement doit être actif et sans ambiguïté. Cela signifie que l'utilisateur, pour accepter les cookies, doit cliquer sur la bannière pour demander le consentement, en choisissant d'autoriser l'utilisation des cookies techniques strictement nécessaires ou de tous les cookies. Pour cette raison, par exemple, vous voyez de plus en plus souvent la bannière de consentement, même s'il s'agit d'un site que vous visitez fréquemment.

Ce que risquent ceux qui enfreignent le RGPD : les sanctions

Le RGPD prévoit également sanctions assez lourd dans le cas où le traitement des données par une entreprise ne respecte pas les dispositions qui y sont contenues ou est en défaut sur le plan des communications.

Les sanctions sont de deux types, selon la gravité de la violation commise. Pour les violations mineures (telles que l'absence de registre de traitement des données, la non-désignation d'un responsable du traitement, la non-notification de la violation des données), la sanction est jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial s'il est supérieur à ce chiffre. Pour les violations graves (telles que l'absence de consentement au traitement, la violation des droits de l'intéressé, les informations de confidentialité manquantes ou inappropriées et la violation des dispositions relatives au transfert de données), l'amende peut aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.

Par exemple, Alphabet, la holding qui contrôle Google et toutes les entreprises de l'orbite du géant de Mountain View, réalise un chiffre d'affaires annuel de 46 milliards de dollars et, en cas d'infraction grave, pourrait être contrainte de payer jusqu'à 1,9 amende d'un milliard de dollars.

Sanctions RGPD : l'affaire H&M

La gestion des données et leur protection ne concernent cependant pas uniquement les clients et les utilisateurs du site. Les données des employés doivent également être acquises, traitées et archivées en référence aux dispositions du règlement général sur le traitement des données. Un exemple est H&M, condamné à une amende de plus de 35 millions d'euros parce qu'il a été découvert en train de profiler illégalement ses employés. Une fuite de données a en effet mis au jour un véritable cas d'espionnage interne : depuis au moins 2014, H&M enregistre les données, informations et conversations de ses employés, archivant le tout (sans autorisation) sur des serveurs privés.

Une activité de profilage particulièrement invasive, ce qui a évidemment eu un impact négatif sur la relation de travail entre le géant suédois de la mode et ses employés. L'autorité de protection des données de Hambourg a ainsi infligé à H&M une amende de 35,3 millions d'euros. De son côté, l'entreprise a présenté ses excuses aux employés impliqués dans le scandale, réorganisant radicalement le bureau.

Une sanction qui sert aussi d'avertissement pour toutes les autres entreprises : les autorités étatiques (en l'occurrence l'allemande, mais les sanctions sont les mêmes dans toute l'Union européenne et concernent également les entreprises basées hors des frontières de l'UE) n'autorisent pas les données des violations ou des traitements de données non conformes aux dispositions du RGPD. Toute personne prise en flagrant délit de crime paiera lourdement pour son comportement.