Selon le journal Le Point, les entreprises devront, d’ici le 25 mai 2018, être « RGPD compliant », autrement dit, s’être mises en conformité avec le Règlement général sur la protection des données des résidents de l’UE (RGPD).

Ce texte européen renforce considérablement les droits des citoyens en leur donnant une plus grande visibilité sur leurs données et une meilleure maîtrise sur l’utilisation qui en est faite.

Il impacte l’ensemble des acteurs proposant des biens et services sur le marché européen, du micro-entrepreneur au grand groupe en passant par les associations et organismes publics. Et l’enjeu, pour ces entreprises, dont beaucoup sont encore à la traîne, est de taille.

L’employeur n’a pas à demander l’accord des salariés pour traiter leurs données. Il devra néanmoins les informer de l’existence d’un « traitement » et des données qu’il contient. « Jusqu’à présent, cette obligation n’était quasiment jamais respectée, Elle est désormais généralisée et lourdement sanctionnée puisque l’amende peut aller jusqu’à 4 % du chiffre d’affaires de l’entreprise », précise l’avocat Marc-Antoine Ledieu, associé du cabinet Bardehle Pagenberg.

Ce n’est pas tout : l’employeur devra aussi indiquer à ses salariés sur quel fondement légal il traite leurs données. « Le RGPD prévoit plusieurs bases juridiques possibles, en l’occurrence, pour le fichier des salariés, la base adéquate pourrait être l’exécution d’un contrat (de travail) et le respect d’une obligation légale (qui consiste dans la transmission de ces informations aux caisses de retraite, d’assurance maladie, etc.) », ajoute l’avocat.

L’information des salariés porte aussi sur les droits dont ils disposent, à commencer par leur droit d’accès aux données. « Le salarié pourra exiger de son employeur qu’il lui adresse une copie intégrale de ses données », prévient Me Ledieu.

Et ce document devra préciser la nature des données traitées, la finalité du traitement, la durée de conservation des données, leur localisation, etc.

Le salarié dispose par ailleurs d’un droit de rectification et d’un droit d’opposition à la prospection et au profilage. Il peut s’opposer à tout traitement de données qui n’est pas destiné à la gestion de son contrat de travail et de sa carrière dans l’entreprise, par exemple un scoring de profilage pour l’évaluation de ses performances professionnelles.

Cet article 21 du RGPD est un véritable tremblement de terre pour les entreprises qui ont l’obligation d’effacer la partie du traitement des données que le salarié refuse, souligne Me Ledieu.

Par ailleurs, les données sensibles qui, par exemple, révèlent l’origine raciale, les convictions religieuses philosophiques ou l’orientation sexuelle des salariés, ne peuvent faire l’objet d’aucun traitement, sauf consentement « explicite » des personnes concernées, précise le règlement.

Et si le RGPD devenait une arme ou un moyen de pression juridique en cas de conflit avec l’entreprise? C’est déjà le cas, relève François-Pierre Lani, avocat associé au cabinet Derriennic Associés.

Il arrive que des salariés invoquent, souvent avec succès, la non-conformité des éléments de preuve issus de fichiers non conformes à la loi informatique et libertés pour faire rejeter les arguments de l’employeur qui refuse de payer leurs heures supplémentaires.

En prévision du RGPD, des entreprises commencent à recevoir de la part de salariés, de syndicats et d’institutions représentatives du personnel, des demandes de notification de la conformité de l’entreprise au RGPD. Elles portent, par exemple, sur les outils qui seront mis en place pour faire valoir leurs droits d’accès et de rectification.

L’exemple des fichiers clients traités par les plateformes de vente en ligne
Les sites marchands qui traitent les données postales et bancaires des acheteurs n’ont pas à leur demander leur accord préalable s’agissant, en principe, d’un « traitement de données sans consentement (autre fondement légal prévu par le règlement).

L’entreprise doit néanmoins informer ses clients de l’existence d’un tel traitement et leur notifier leur droit d’accès et de rectification de leurs données, ainsi que leur droit d’opposition à prospection et profilage, note Me Ledieu.

Mais attention, dès lors que mon fournisseur de shampoing veut me vendre des algues pour le bain, je redeviens son prospect, ce qui implique un nouveau traitement de données basé par exemple sur les intérêts légitimes de l’entreprise.

Ce concept anglo-saxon, repris dans le RGPD, autorise la prospection commerciale sans le consentement des intéressés, jusqu’à l’exercice du droit d’opposition du prospect. Cela vaut bien sûr pour nous, avocats qui adressons des newsletters à nos clients.

L’internaute devra néanmoins être en mesure de s’opposer au traitement de ses données (via un lien de désabonnement pas exemple). Si tel est le ce cas, l’entreprise devra effacer immédiatement les données de prospection de sa base de données. Les entreprises vont devoir effacer beaucoup de données, mais ce n’est qu’à cette condition que la confiance avec les consommateurs pourra se recréer, assure l’avocat.

Dès lors que l’entreprise nous abordera de la sorte Cher prospect, si vous acceptez de recevoir mes offres et mes conseils, cochez la case « oui ». En échange du traitement de vos données, vous aurez un contenu personnalisé. Le jour où vous souhaitez que cela cesse, il vous suffit de vous désabonner tout ira mieux!

Fini l’affichage personnalisé imposé
Comment les sociétés qui pistent l’internaute dès que sa souris s’aventure sur l’écran, et qui utilisent ses données de navigation pour le profiler et lui faire des « recommandations » vont-elles redresser le tir ? Le traitement de ces données de navigation est « nécessaire aux intérêts légitimes de l’entreprise », dit le RGPD, soucieux de préserver l’équilibre entre les nécessités du commerce et les droits des personnes. Mais ces dernières doivent avoir la possibilité de refuser ces recommandations et l’entreprise devra respecter ce choix. Autrement dit, « le prospect se verra proposer des recommandations ou des publicités, mais celles-ci ne pourront pas prendre en compte les data qui permettent de les personnaliser. Ce sera alors de l’affichage standard et générique, comme les publicités sur les panneaux d’affichage dans les rues », explique Me Ledieu.

Moteurs de recherche
Nombre d’internautes s’interrogent sur la façon dont les rois de la « data » comme Google ou Facebook vont appliquer le RGDP. Google est actuellement poursuivi (notamment) par L’UFC que choisir pour non-respect de la loi informatique et libertés.

L’association de défense des consommateurs lui reproche d’entretenir ses utilisateurs dans un flou artistique quant à l’utilisation de leurs données et aux ciblages qui en découlent. Par la seule utilisation du service, on adhère à des règles dont on n’a pas conscience.

L’internaute autorise le moteur de recherche, par le jeu des cookies, à le cibler et à revendre ses données de navigation à des sociétés qui font de la publicité sur Internet, souligne Me Lani. Je vous mets au défi d’aller trouver dans le service Google les options de confidentialité que Google assure avoir mis en place pour circonscrire l’exploitation de nos données.

En clair, la plateforme a de grands efforts à fournir pour devenir RGPD compatible. « Elle devra permettre à l’internaute d’effacer facilement toutes les traces laissées durant la navigation, et mettre en place des outils simples et accessibles pour faire valoir son droit d’opposition au profilage, etc. », précise Me Lani.

Cette règle s’applique aussi aux réseaux sociaux qui « n’offrent pas encore les garanties suffisantes à l’internaute quant au recueil de son consentement explicite sur le traitement de ses données personnelles », assure l’avocat. (LePoint)