L’arsenal législatif évolue pour encadrer l’exploitation des données personnelles
Obtenir toujours plus de données : c’est l’objectif des géants de l’IA. Comme Google, qui, selon la révélation en 2016 du magazine « New Scientist », aurait accès aux informations de 1,6 million de patients de l’hôpital public londonien.
Jusqu’où peuvent aller ces groupes privés dans l’utilisation des données personnelles ? Pour protéger les citoyens de leurs excès, l’arsenal juridique communautaire et national évolue doucement.
Du côté du Parlement français, la loi pour une République numérique (octobre 2016) permet aux personnes de mieux maîtriser leurs données personnelles par l’affirmation du droit à l’«autodétermination informationnelle ». De même, elle introduit le droit à l’oubli pour les mineurs, avec une procédure spécifique d’effacement des données « problématiques ».
Le plafond maximal par sanction de la Commission nationale de l’informatique et des libertés (CNIL) passe de 150 000 à trois millions d’euros. La CNIL sera également consultée automatiquement pour tous projets de loi ou décret relatifs au traitement des données personnelles. Elle est aussi chargée de promouvoir les technologies de protection de la vie privée et de certifier la conformité des processus d’anonymisation des données personnelles.
Un renforcement des pouvoirs de la CNIL qui correspond aussi au nouveau cadre fixé par l’UE. Ainsi, à partir de mai 2018, le règlement général européen sur la protection des données (RGPD) sera appliqué en France.
Voté l’année dernière, il vise à uniformiser et actualiser la législation des Etats membres. Il veut également accroître les droits des personnes en intégrant « l’expression du consentement renforcé », c’est-à-dire que les utilisateurs doivent être informés de l’usage des informations les concernant et donner ou refuser leur accord quant à leur traitement.
Encadrer les entreprises utilisant les données personnelles
L’objectif est aussi d’améliorer la transparence et la responsabilité des acteurs traitant des data. Pour cela, le texte rend, par exemple, obligatoire la création d’un poste de « délégué à la protection des données » pour les entreprises publiques et les sociétés privées réalisant un suivi régulier et systématique des personnes à grande échelle, et celles travaillant sur des données dites sensibles, telles que les condamnations pénales et les infractions. Des études d’impact sur la vie privée devront également être rédigées.
Informer les utilisateurs de l’usage de leurs données.
Enfin, le RGPD veut « crédibiliser la régulation grâce à une coopération [européenne] renforcée entre les autorités de protection [en France, la CNIL], qui pourront notamment adopter des décisions communes et des sanctions renforcées ». Ainsi, à partir de mai 2018, les amendes pourront s’élever jusqu’à 4% du chiffre d’affaires annuel mondial pour les entreprises récalcitrantes !
Cette mesure touche les groupes européens et ceux commerçant sur le marché européen. En outre, les données transférées hors de l’UE restent soumises au droit européen.
Le nouveau Comité européen de protection des données sera chargé d’appliquer ces mesures. Sera-t-il suffisamment armé ? En tout cas, après une longue période de vide juridique, l’encadrement par les Etats de ce nouveau « marché des données » s’organise donc.
Félicité de Maupeou