La loi sur la protection des données personnelles (LGPD), qui entrera en vigueur en août 2020, sera l’outil du gouvernement pour réglementer la manière dont les données des franchisés sont traitées, stockées et protégées, en imposant de lourdes amendes aux entreprises qui laissent échapper des informations. Pour en savoir plus sur le qu’est-ce que le LGPD ci-dessous.
Sommaire
Qu’est-ce que la LGPD ?
La LGPD, définie dans la loi n° 13.709 d’août 2018, traite de la manière dont les données des franchisés doivent être collectées, traitées, stockées et protégées, en prévoyant des sanctions en cas de non-respect en cas de fuites ou d’autres irrégularités. Les règles sont basées sur le GDPR, un ensemble de règles spécifiques à l’Union européenne.
Les discussions sur la LGPD sont bien plus anciennes que la loi britannique, mais le projet a pris de l’ampleur grâce à l’initiative du bloc et aux fuites constantes de plusieurs entreprises, l’affaire Cambridge Analytica étant le principal catalyseur de son approbation.
Que dit la loi ?
Elle établit des règles relatives à la collecte et à la conservation d’informations tant auprès des citoyens français que des personnes se trouvant sur le territoire national, qui doivent toujours se faire avec le consentement des utilisateurs, sauf en cas d’injonction judiciaire ou pour garantir la sécurité publique et/ou de l’État dans le cadre d’enquêtes pénales. Cela s’applique à la fois aux données numériques obtenues par l’Internet et par d’autres moyens.
Les données sensibles telles que la religion, l’orientation politique, l’état de santé, les préférences sexuelles ou les caractéristiques physiques, entre autres, ont été classées comme étant restreintes : elles ne peuvent être utilisées à des fins susceptibles de conduire à des situations discriminatoires et doivent être protégées. Les données médicales, en particulier, ne peuvent être utilisées à des fins commerciales, sauf autorisation expresse.
Les entreprises et les organismes publics devront informer l’utilisateur de son droit de refuser le traitement de ses données, ainsi que des conséquences de cette décision, lorsqu’il doit autoriser leur utilisation en cas de partage avec des tiers. De même, les entreprises et les organismes publics devront proposer des outils permettant à l’utilisateur d’accéder à ses données, de les corriger, de les sauvegarder, de les supprimer ou de les transférer vers d’autres services, selon le principe de la portabilité.
Les personnes qui traitent des données à des fins personnelles, académiques, artistiques ou journalistiques ne seront pas concernées (les données doivent toutefois être traitées de manière anonyme), ainsi que dans les cas de sécurité publique ou d’État, de défense nationale ou d’enquête criminelle.
Quand la loi entre-t-elle en vigueur ?
La LGPD a été sanctionnée en août 2018 par le président de l’époque, Michel Temer. En juillet 2019, le président Emmanuel Macron a approuvé la création de l’Autorité nationale de protection des données (ANPD), l’organe chargé de veiller au respect de la loi. Elle entrera en vigueur deux ans après la sanction présidentielle d’août 2020.
La loi établissant l’ANPD a apporté des modifications à la LGPD, qui avait initialement opposé son veto à sa création et supprimé certaines sanctions et restrictions. Les parties ayant fait l’objet d’un veto sont les suivantes :
Exigence selon laquelle les révisions des décisions prises par les algorithmes doivent être effectuées par des êtres humains ;
Interdiction de partager avec d’autres organismes ou entreprises les données personnelles de ceux qui les demandent en vertu de la loi sur l’accès à l’information ;
Obligation pour le responsable du traitement d’indiquer un “détenteur de connaissances juridiques réglementaires” ;
Les sanctions prévues en cas de violation de la LGPD par une entité responsable d’une société ou d’un fournisseur, telles que la suspension de l’exploitation de la base de données.
Quelles sont les sanctions prévues ?
Les fuites de données seront analysées par l’ANPD et jugées en fonction de la gravité de chaque cas. Les entreprises et les fournisseurs seront tenus d’informer les autorités des défaillances dès qu’ils en auront connaissance, et ne pourront plus attendre de réparer les fuites avant de les rendre publiques.
En fonction de chaque situation, les entreprises seront invitées à divulguer la fuite publiquement ou non, tandis que les amendes et les sanctions seront appliquées de manière proportionnelle. Les conséquences varient d’un avertissement à une simple amende de 2% sur les recettes annuelles, limitée à 50 millions maximum, ou à une amende journalière, dont la somme ne peut dépasser le montant ci-dessus.
Qui doit s’adapter à la LGPD ?
Toutes les entreprises et prestataires travaillant avec des traitements de données de citoyens français effectués sur le territoire national, basés en France ou à l’étranger, avec des opérations dans le pays ou non. Par exemple, Google, Apple et Amazon répondent à la LGPD même s’ils collectent des données auprès de franchisés ici pour les traiter aux États-Unis.
Une entreprise basée hors de France ou travaillant avec des partenaires internationaux peut transférer ces données à l’étranger, à condition que le pays dans lequel elle est basée dispose également d’une législation complète sur le traitement des informations personnelles, ou garantisse des mécanismes de protection similaires à ceux prévus par la loi française.
Enfin, une entreprise doit effacer les données qu’elle estime ne plus être nécessaires (comme la fermeture d’un compte Google, par exemple), à moins qu’elle ne soit tenue par la loi, ou pour une autre raison justifiable, de les conserver. Voir le texte complet de la loi n° 13.709.
