À une époque où les données représentent une valeur économique et sociale considérable, nous entendons souvent parler du RGPD, sans réellement mesurer les réels enjeux qu’il soulève. En effet, 72% des internautes se disent préoccupés par l’enregistrement de leur activité en ligne. En 2019, 76 % de ceux-ci ont limité ou renoncé à une activité en ligne à cause de leurs craintes sur la sécurité.
Le traitement de ces données personnelles sur le territoire est d’abord régi par un texte européen : Le Règlement Général sur la Protection des Données (RGPD), officiellement appelé Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Il est ensuite mis en application notamment à travers la Loi nationale du 6 janvier 1978, dite « Informatique et Libertés ».
Par données personnelles, on entend toute information se rapportant à une personne physique identifiée ou identifiable.
Mais alors, comment est assuré le droit des personnes concernées au respect du traitement de leurs données personnelles ?
Le règlement européen a vocation à s’appliquer à tous les traitements (automatisés ou non) de données à caractère personnel qui pourrait être appelé à figurer dans un fichier. Le fait que la plateforme qui traite les données soit installée en dehors de l’Union Européenne ne fait pas obstacle à l’application du Règlement, sous certaines conditions. (Art.3 du RGPD )
Que prévoit le Règlement quant à la licéité des traitements de ces données ?
Par « traitement » on entend « toute opération » appliqué à des données personnelles à l’aide d’un procédé. On y regroupe notamment la collecte, l’enregistrement ou encore l’extraction de données. (Ibid Art.4)
Le traitement de ces dernières n’est pas interdit de manière absolue, mais est strictement encadré.
Ainsi, les données doivent être traitées de manière licite, loyale et transparente. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités.
L’utilisateur doit par principe consentir au traitement de ses données personnelles. Par exception, le traitement peut tout de même être autorisé sans consentement, lorsqu’il entre dans le cadre de certaines situations. C’est notamment le cas lorsqu’il est rendu nécessaire à l’exécution d’un contrat auquel l’utilisateur est partie. (Ibid Art.6)
Une fois traitées, ces données sont bien souvent stockées dans des bases de données, pour être ensuite cédées ou transférées. Le transfert de celles-ci est, de la même façon, encadré par le Règlement. Par cet encadrement, on veut s’assurer que l’utilisateur ne voit pas sa protection remise en cause en cas de transfert de ses données vers un pays tiers.
Ces utilisateurs doivent avant tout être informés du traitement envisagé. A ce titre, le collecteur des données doit être transparent notamment au sujet de son identité, de la finalité des traitements envisagées, de la durée de conservation, de la volonté ou non de transférer les données etc. (Ibid Art. 12 à 15)
Les internautes disposent également de droits plus « actifs ». En effet le Règlement les instituent d’un droit à rectification et d’effacement des données en cause. Ils sont également titulaires d’un droit d’opposition sur ces mêmes données. (Ibid Art. 16 à 22)
Quelle responsabilité pèse sur les personnes qui traitent les données ?
Ces responsables du traitement des données ont le devoir de mettre en œuvre les mesures appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au Règlement.
Ces mesures doivent permettre de garantir la sécurité de l’utilisateur. Elles peuvent passer, par exemple, par la pseudonymisation ou encore le chiffrement des données. (Ibid Art. 32)
Lorsque le traitement est également susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable qui traite les données doit effectuer, avant le traitement, une analyse d’impact sur ces opérations. (Ibid Art. 35)
En cas de non-respect des obligations prévues par le Règlement, à quoi s’exposent ces responsables de traitement ?
En cas de réclamation fondée sur un mauvais traitement des données personnelles, vers qui se tourner ?
C’est une autorité de contrôle spécifique qui est instituée du pouvoir de sanction envers le responsable du traitement. Cette procédure ne fait cependant pas échec à une action parallèle sur le plan civil devant le Tribunal Judiciaire.
Cette autorité est la Commission Nationale de l’Informatique et des Libertés, la CNIL. Bien que son pouvoir de sanction et que ses décisions ne soient pas si médiatisés, les exemples pratiques ne manquent pas en matière de RGPD.
Ainsi, la CNIL a pu décider de prononcer :
– une amende administrative à l’encontre de APPLE DISTRIBUTION INTERNATIONAL, d’un montant de 8 millions d’euros pour manquement à l’article 82 de la loi informatique et liberté (reprenant des dispositions du RGPD notamment quant à l’information de la personne concernée lors du traitement des données et du consentement donné par celui-ci) ;
– une amende administrative de 2,5 millions d’euros à l’encontre de TIK-TOK INFORMATION TECHNOLOGIES UK LIMITED et notamment, pour le fait de ne pas avoir pu laisser l’utilisateur avoir la faculté de « refuser aisément les cookies » jusqu’à fin février 2022 ;
– une amende administrative de 60 millions d’euros à l’encontre de MICROSOFT IRLANDE OPERATIONS LIMITED, au regard du manquement constitué à l’article 82 de la même loi ;
– une amende administrative de 1 million d’euros à l’encontre de TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE, pour manquement aux articles 12, 14, 15 et 21 du RGPD ;
De plus, au niveau européen la CNIL irlandaise inflige une amende record à la société américaine META en mai 2023, d’un montant d’1,2 milliard d’euros pour manquement au RGPD.
Pouvons-nous conclure en une réelle protection de nos données personnelles ? Si l’on s’en tenait à la théorie, il semblerait que les utilisateurs bénéficient d’une certaine protection légale solide quant au traitement de leurs données. Cependant, la pratique revêt une réalité quelque peu différente. Un réel marché des données est né, et l’abondance de leurs traitements rend difficile le contrôle de la part des autorités compétentes.
Gardons bien entendu à l’esprit que le présent article ne représente qu’un survol des grands principes du RGPD, et que la majorité des 99 dispositions du Règlement (UE) 2016/679 pourrait faire l’objet d’une étude individuelle.
Un guide de sensibilisation au RGPD a été édité par la CNIL, BPIFRANCE ainsi que LELAB, destiné aux petites et moyennes entreprises afin que celles-ci puissent avoir une approche plus concrète des grands enjeux de cette réglementation.
Dans la mesure ou les technologies fleurissent de plus en plus rapidement, qu’en est-t-il de la question de l’intelligence artificielle dans le cadre du traitement des données personnelles ? ChatGPT est un bon exemple. Développé par OpenIA, cette intelligence artificielle fut interdite en Italie par la GARANTE (équivalent de la CNIL en Italie). Le motif de cette interdiction ? La violation présumée des règles de l’Union Européenne en matière de protection des données personnelles. Celle-ci aurait cependant finalement décidé de changer sa position et de réintroduire l’utilisation du programme au sein du pays en mai, car des « mesures » auraient été prises par l’entreprise dans le but de se conformer au RGPD.
94 / 100 : c’est la note obtenue par l’UES pour l’index égalité professionnelle femmes – hommes pour 2023
Indicateur d’écart de rémunération entre les femmes et les hommes : 35/40
Indicateur d’écart de taux d’augmentations entre les femmes et les hommes : 35/35
Indicateur de pourcentage de salariées augmentées dans l’année suivant leur retour de congé maternité : N/A
Indicateur du nombre de salariés du sexe sous-représenté parmi les 10 plus hautes rémunérations : 10/10
Thibault Saint Olive est diplômé de l’Institut Supérieur de Gestion (ISG). Il débute sa carrière en tant que Contrôleur de gestion à la Banque Populaire, avant d’intégrer Mazars en 2010 au poste de Manager Audit financier, spécialisé dans le secteur des Assurances. Il devient 6 ans plus tard Directeur Admnistratif et Financier de Linxea, avant de rejoindre Wakam (ex-La Parisienne) en tant que Head of Finance. Il est depuis janvier 2022, le Directeur Administratif et Financier de Solucia Protection Juridique. Thibault a la charge du contrôle de la rentabilité et de la solvabilité de l’entreprise, du pilotage des flux financiers et de la gestion des fonds.
Anne Davillé a obtenu un Master de commerce à Audencia. Elle débute sa carrière chez Carat en tant que responsable clients, puis intègre Havas Media en 2005 en tant que Directrice de clientèle. Elle rejoint Generali en 2008 où elle occupe différents postes, notamment celui de Manager marketing digital, chef de projet relation client ou Head of Client relationship management chez Global Corporate & Commercial. Elle est depuis octobre 2021 Directrice Marketing & Expérience client chez Solucia Protection Juridique. Elle est à ce titre, responsable du développement des leviers digitaux et des offres au service des clients et des partenaires, ainsi que de la plateforme de la marque.
Emmanuelle Thiesson a obtenu un diplôme en Economie rurale à l’Université de Montpellier. Elle débute sa carrière d’assureur chez Assurinco en tant que Responsable Grands Comptes, puis intègre Mapfre, en tant que Directrice commerciale du pôle Travel, puis Directrice du support client. C’est en 2018 qu’elle devient Innovative partnerships affinity insurance chez Wakam (ex-La Parisienne). Elle a rejoint en février 2022 Solucia Protection Juridique au poste de Directrice du Développement et est, à ce titre, responsable de la stratégie de croissance.
Thomas Gontard a obtenu un DEA en droit fiscal à l’Université de Panthéon- Sorbonne. Il débute sa carrière chez Synerfil en tant que Directeur des centres d’appel, avant de rejoindre Apria, puis Assor France en tant que Responsable des services client. Il rejoint Solucia Protection Juridique en 2015 en tant que Responsable du service Renseignement Juridique. Il est depuis 2019 Directeur de l’Indemnisation et des Services. Il pilote la qualité des prestations délivrées par l’équipe des juristes.
Cécile Tardieu est diplômée de l’Ecole des Mines de Nancy et de l’ENSAE (1996). Elle débute chez Axa où elle exerce les fonctions d’actuaire à l’international puis de souscriptrice grands comptes affinitaires. En 2002, elle intègre le groupe Generali au sein duquel elle occupe diverses fonctions notamment celle de responsable du marketing produits, responsable du développement des offres affinitaires et de Directrice marketing et relation client au sein de l’entité Global Corporate & Commercial. Elle intègre Wakam (ex-La Parisienne) en 2016, en tant que Directrice des Partenariats, avant de rejoindre Solucia Protection Juridique en février 2020 au poste de Directrice de la Transformation, de l’Audit interne et des nouveaux marchés. Elle est depuis juillet 2021 Directrice Générale de l’assureur.
Laurent Sengier, a obtenu un diplôme d’expert en Management Financier à l’ESG. Il débute sa carrière en tant que Directeur Administratif et Financier au Groupe ICIRS (Retraite, Prévoyance, Santé), avant de rejoindre La Tutélaire en 2010. Il devient Directeur Financier Opérationnel de Chorum en 2013, et rejoint Solucia Protection Juridique, en tant que Directeur Administratif et Financier en 2018. Il prendra la Direction Générale de l’assureur en 2020, puis sa Présidence en juillet 2021.