Qu'est-ce que la loi sur la protection des renseignements personnels GDPR et pourquoi devriez-vous vous en soucier?
Le règlement général sur la protection des données (GDPR) est une nouvelle loi de l’Union européenne qui entre en vigueur aujourd’hui. C’est la raison pour laquelle vous recevez des e-mails non-stop et des avis concernant les mises à jour de la politique de confidentialité. Alors, comment cela vous affecte-t-il? Voici ce que vous devez savoir.
La nouvelle loi sur les RPGD entre en vigueur aujourd’hui, le 25 mai 2018, et couvre la protection des données et la vie privée des citoyens de l’UE, mais elle s’applique également à de nombreux autres pays de différentes manières, et puisque tous les géants de la technologie sont d’énormes sociétés multinationales , cela affecte beaucoup de choses que vous utilisez quotidiennement.
Le problème que GDPR essaie de résoudre: les entreprises collectent et abusent de vos informations personnelles
Depuis le début de l'internet, les entreprises ont rassemblé autant de données que possible sur quiconque. C'est simple de collecter ces informations, il n'y a donc aucune raison pour qu'elles ne les gardent pas..
Le problème, c'est qu'au cours des dernières années, de nombreuses entreprises ont été arrêtées pour avoir omis de protéger ou d'abuser carrément de vos informations personnelles. Le scandale Cambridge Analytica, dans lequel un chercheur a utilisé un questionnaire sur Facebook pour rassembler d'énormes quantités de données sur des millions d'utilisateurs de Facebook, puis l'a vendue à un cabinet de conseil, n'en est que l'exemple le plus récent. Le piratage d'Equifax l'an dernier était particulièrement grave, car les informations divulguées pourraient être utilisées pour ouvrir des cartes de crédit. Et ce ne sont que les grands scandales. De nombreuses entreprises ont mal utilisé vos données de manière plus modeste, par exemple en les vendant à des agences de publicité tierces..
L'UE a eu une vision sombre de la situation et utilise le GDPR pour tenter de la rectifier. En vertu des nouvelles lois, les entreprises qui ne protègent pas correctement les données des consommateurs ou en abusent de quelque manière que ce soit sont passibles de lourdes amendes.
Ce qui est considéré comme des données personnelles?
Le GDPR protège les «données personnelles», ce qui signifie ici «toute information relative à une personne physique identifiée ou identifiable» - et c'est une définition assez large. En réalité, les données personnelles vont généralement inclure des éléments tels que:
- Données biographiques telles que votre nom, adresse, numéro de téléphone, numéro de sécurité sociale, etc..
- Données relatives à votre apparence physique et à votre comportement, telles que la couleur, la race et la taille des cheveux.
- Informations sur vos études et vos antécédents professionnels, telles que votre salaire, votre diplôme universitaire, votre moyenne pondérée cumulative, votre numéro d'identification fiscale, etc..
- Toute donnée médicale ou génétique.
- Des éléments tels que l'historique des appels, les messages privés ou les données de géolocalisation.
C'est loin d'être une liste complète. La clé est que toutes les données qui vous rendent identifiables comptent. Dans certaines circonstances, la couleur de vos cheveux peut suffire. Dans d’autres, même votre nom complet - s’il s’agit de quelque chose de commun comme Robert Smith - pourrait ne pas vous rendre identifiable.
Que fait le GDPR??
Le RPGP donne aux résidents de l’UE dont les données personnelles sont collectées, appelées «personnes concernées», dans les huit lois. Elles sont:
- Le droit d'être informé: Si une entreprise recueille des données, elle doit indiquer aux personnes concernées ce qui est collecté, son utilisation, son utilisation, sa durée de conservation et, le cas échéant, son partage avec des tiers. Cette information ne peut pas être enfouie profondément dans des conditions de service que personne ne lit; il doit être concis et en langage clair.
- Le droit d'accès: S'ils le demandent, toute organisation disposant de données à caractère personnel concernant une personne concernée doit les lui fournir dans un délai d'un mois..
- Le droit de rectification: Si une personne concernée découvre qu’une entreprise a des données inexactes, elle peut demander qu’elle soit mise à jour. Les entreprises ont un mois pour se conformer.
- Le droit d'effacer: Une personne concernée peut demander à une entreprise de supprimer toute donnée détenue à son sujet dans certaines circonstances. Par exemple, si les données ne sont plus nécessaires ou s'ils retirent leur consentement pour pouvoir les utiliser.
- Le droit de restreindre le traitement: Si une organisation ne peut pas supprimer les données d'une personne concernée (par exemple, parce qu'elle en a besoin pour une affaire juridique), elle peut alors demander à l'entreprise de limiter la manière dont elle est utilisée..
- Le droit à la portabilité des données: Les personnes concernées ont le droit de prendre leurs données personnelles d'un service et de les utiliser avec un autre..
- Le droit d'objection: Si les données sont collectées sans consentement mais pour des intérêts commerciaux légitimes, pour le bien public ou par une autorité officielle, la personne concernée peut s'y opposer. L'organisation doit alors arrêter de traiter les données jusqu'à ce qu'elle puisse prouver qu'elle a des raisons légitimes de le faire..
- Droits liés à la prise de décision automatisée, y compris le profilage: Le GDPR met en place des garde-fous pour que les individus puissent s’opposer aux explications automatisées qui les concernent et affecter leurs données.
Une autre partie importante de la réglementation est que les entreprises doivent avoir un motif légitime pour collecter ou traiter des données. L’une des raisons légales est qu’ils ont obtenu leur consentement pour l’utiliser à des fins spécifiques, mais il en existe d’autres comme ils en ont besoin pour se conformer à des obligations légales ou que leur collecte est dans l’intérêt public..
Comme vous pouvez le constater, les droits conférés aux résidents de l’UE par la loi sont assez larges et obligent les entreprises qui collectent des données à réfléchir réellement sur ce qu’elles collectent et pourquoi. Les vieux jours de collectionner tout ce qu’ils pouvaient et d’espérer qu’ils trouveraient une utilisation plus tard sont révolus, du moins en Europe. C’est pourquoi pratiquement tous les services auxquels vous avez déjà indiqué votre adresse électronique vous contactent..
Ce qui a beaucoup de sociétés en désaccord, c'est que les sanctions pour non-conformité à la GDPR sont assez sévères. Une organisation peut être condamnée à une amende pouvant aller jusqu'à 20 millions d'euros ou 4% de son chiffre d'affaires annuel mondial (si ce montant est supérieur) en vertu de la législation. Pour Amazon ou Google, par exemple, cela représente des amendes potentielles de plusieurs milliards de dollars en cas de mauvaise gestion des données des résidents de l'UE..
Que signifie le GDPR pour les Américains?
Tout au long de cet article, nous nous sommes concentrés sur les droits que le GDPR accorde aux résidents de l’UE pour la simple raison qu’il s’agit d’une loi de l’UE. En fait, cela ne s'applique pas aux citoyens américains, à moins qu'ils ne résident également dans l'UE. Si vous recevez tous les courriels, c'est que la plupart des entreprises n'ont aucun moyen de dire qui est résident de l'UE et qui ne l'est pas..
Cela ne signifie toutefois pas que le GDPR ne vous concernera pas. Cela a amené de nombreuses entreprises à réévaluer la manière dont elles traitent les données sur les consommateurs et certaines d’entre elles ont commencé à parler de l’extension des droits GDPR aux résidents non européens. Et il est également plus simple pour les entreprises d'appliquer un seul ensemble de règles à tous les clients dans de nombreux cas..
Par exemple, Apple a lancé un nouveau portail de confidentialité permettant aux utilisateurs de télécharger toutes leurs données personnelles ou de supprimer leur compte, autrement dit de leur donner les droits d’accès et d’effacement. Pour le moment, seuls les comptes basés dans l'UE peuvent l'utiliser, mais Apple prévoit de le diffuser dans le monde entier au cours des prochains mois. De même, Facebook murmure à propos de donner les mêmes protections GDPR à certains utilisateurs en dehors de l'UE.