Le 25 mai 2018, le Règlement Général sur la Protection des Données de l’Union européenne (également connu sous le nom de RGPD, GDPR en anglais ou DSGVO en allemand) est entré en vigueur dans l’UE.
Des répercussions concrètes depuis la mise en place du règlement ?
Avant l’entrée en vigueur du RGPD, le nombre moyen de plaintes adressées à la Commission nationale pour la protection des données au Luxembourg (CNPD), s’élevait à 18 plaintes/mois. Après sa mise en place, le nombre de plaintes a grimpé à 51, soit près de 3 fois plus !
Ces chiffres montrent que les citoyens ont compris leurs droits, qu’ils les exercent et qu’ils attachent de l’importance à un traitement sûr de leurs données en ligne. 16 % des plaintes se référaient à des clôtures de comptes ou des demandes de suppression de données qui n’ont pas été exécutées comme requis (CNPD, 2018, Rapport Annuel, p.42).
Le Règlement Général sur la Protections des Données stipule, entre autres, que les fournisseurs ont pour obligation de notifier les fuites de données (appelées également « Data Leaks » ou « Data Breaches ») afin que les personnes concernées soient averties lorsque leurs données personnelles sont tombées entre de mauvaises mains. Dans l’ensemble, plus de 160 000 notifications de fuites de données ont déjà été communiquées depuis l’entrée en vigueur du RGPD en 2018.
Au Luxembourg, 545 notifications ont été enregistrées. En comparaison, on compte 37 636 violations en Allemagne, contre « seulement » 3 459 en France. Jusqu’à aujourd’hui, environ 114 millions d’euros d’amendes pour fuites de données ou violations ont été distribuées dans toute l’Union européenne. L’amende la plus élevée (50 millions d’euros) a été émise par la France à l’encontre de Google en janvier 2019 pour « manque de transparence, des informations insatisfaisantes et l’absence de consentement pour la personnalisation de la publicité ».
En revanche, aucune amende pour fuites de données n’a encore été émise au Luxembourg. Pour le moment, il n’existe pas de système uniforme qui permette de déterminer le montant des amendes, ainsi celles-ci varient entre les pays et sont définies au cas par cas.
Rappel : à quoi sert le RGPD ?
L’objectif du règlement est de protéger les données personnelles des utilisateurs sur le Internet ; soit toute information qui permet d’identifier une personne ou de la rendre identifiable. Il assure une protection cohérente et totale.
Le RGPD prévoit ainsi une série d’obligations et de droits pour les professionnels et les utilisateurs qui assurent davantage de transparence quant à la conservation, au transfert et la manière dont les données sont utilisées, partagées ou vendues. Grâce au RGPD, toute l’Union européenne dispose de plusieurs droits précis sur Internet en matière de traitement des données personnelles, dont, par exemple, celui du droit « à l’oubli » qui permet à chacun de requérir à la suppression d’un compte, d’une photo ou d’une information.
Le règlement prévoit 8 droits concrets
- Droit à l’information
- Droit d’accès
- Droit de rectification
- Droit à l’oubli : effacement et déréférencement
- Droit à la limitation du traitement
- Droit à la portabilité des données
- Droit d’opposition
- Droit d’opposition dans le cadre du profilage
Puisque toute page Internet issue de l’UE est aujourd’hui tenue de fournir transparence et informations à ses utilisateurs quant au traitement de leurs données, chacun devrait prendre un peu de temps lors de l’inscription sur un nouveau site pour se renseigner sur l’utilisation qui en est faite.
Il est important de lire attentivement les conditions d’utilisation des sites auxquels on adhère avant de les accepter. Dans certains menus, l’utilisateur peut également vérifier si des « tiers » auront accès à ses données et savoir qui sont ces « tiers ».
Pour de plus amples informations, lisez notre fiche descriptive, accessible à tous, sur le RGPD.
Que faire lorsque mes données ne sont pas traitées de manière adéquate ?
Si vous craignez que vos droits soient bafoués et que vos données aient fait l’objet d’un traitement inexact, BEE SECURE vous propose quelques solutions :
- contactez la personne responsable du traitement des données personnelles (DPO) au sein de l’entreprise concernée,
- faites-vous conseiller par la CNPD (Commission nationale pour la protection des données) et/ou introduisez-y une plainte,
- vous pouvez aussi vous faire conseiller par un avocat et, si nécessaire, intenter une action en justice.
Sources : dlapiper.com ; Delano.lu ; siecledigital.fr ; cnpd.public.lu ; gdpr.eu