[Publication] Protection des données personnelles : définition et règlement
L’enjeu de la gestion et de la valorisation des données personnelles pour les entreprises
La donnée est la ressource clé dans l’essor de l’économie digitale.
C’est en capitalisant sur les données, en particulier les données personnelles, que les géants du GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ont émergé, entraînant dans leur sillage de nombreux autres acteurs s’inspirant de leur modèle, dont les NATU (Netflix, Airbnb, Tesla, Uber).
En effet, l’analyse des données personnelles a permis aux entreprises de répondre à de nouveaux besoins :
- Mieux connaitre les clients, leurs centres d’intérêt, leurs attentes et leurs comportements
- Créer de nouveaux services plus performants et plus rapides
- Identifier et anticiper les besoins pour une meilleure expérience client
- Proposer des parcours plus personnalisés en fonction du profil et de l’historique
Le traitement des données personnelles a permis de faire émerger de nouvelles propositions de valeur pour les entreprises : réseaux sociaux, des plateformes de streaming, des sites de vente en ligne, de la lutte contre les fraudes…
Chaque jour, trois milliards d’individus connectés produisent et échangent un nombre croissant de données personnelles. En effet, plus de 90% des données disponibles aujourd’hui ont été créées ces deux dernières années (source IBM).
Une protection nécessaire des données personnelles
Si les opportunités offertes par une juste exploitation de la donnée sont nombreuses, une utilisation des données personnelles au mépris des droits fondamentaux constitue aujourd’hui un risque croissant. À l’ère du Big Data et des algorithmes de plus en plus puissants, la pseudonymisation des données personnelles ne constitue plus une protection suffisante de la vie privée. Un cadre législatif rigoureux complété par une sécurité des données renforcée « by design » est requis.
Législation sur la gestion de protection des données personnelles
Depuis plusieurs années, les différentes institutions travaillent de concert à créer un cadre législatif commun pour le traitement et le transfert de données personnelles.
L’adoption du nouveau Règlement Général sur la Protection des Données (RGPD) et du Bouclier de protection des données UE-Etats-Unis (EU-US Privacy Shield) doivent permettre le développement d’un marché unique numérique libre et sécurisé.
Définition européenne d'une "donnée à caractère personnel"
A l’issue de la Présidence luxembourgeoise du Conseil de l’Union européenne, est intervenu un accord Européen : le Règlement Général sur la Protection des données. Publié le 24 mai 2016, il est entré en application le 25 mai 2018. Il s’applique de la même manière dans l’ensemble de l’Union européenne, offrant les mêmes droits et garanties à l’ensemble des citoyens.
Ce règlement instaure plusieurs grands principes quant à la collecte et le traitement de données personnelles et instaure une définition des données personnelles qui sert de référence dans l’arbitrage.
Qu’est-ce qu’une donnée à caractère personnel ?
Est considérée comme une donnée à caractère personnelle : « Toute information se rapportant à une personne physique identifiée ou identifiable » (voir également l’article 4 du Règlement qui définit précisément la « personne concernée »).
(Cfr : Règlement Général sur la Protection des Données).
Transfert de données personnelles à l'étranger
Si le nouveau Règlement relatif à la protection des données personnelles vient conforter les droits des citoyens de l’Union européenne, la Cour de Justice insiste sur l’importance de pouvoir garantir ces droits dans les cas où la donnée serait exportée en dehors des juridictions des pays membres.
À la suite de négociations menées entre 2015 et 2016, la Commission européenne et les États-Unis se sont accordés sur un nouveau cadre pour les transferts transatlantiques : le Bouclier de protection des données UE-États-Unis (EU-US Privacy Shield).
Le nouvel accord prévoit un renforcement du contrôle exercé par le ministère américain du commerce et la Federal Trade Commission (FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données personnelles.
Les États-Unis s’engagent en outre à ce qu’en vertu du droit américain, l’accès des autorités publiques aux données à caractère personnel transmises soit subordonné à des conditions, des limites et une supervision bien définies, empêchant un accès généralisé.