Ça y est ! La RGPD entre en application aujourd’hui… Mais qu’est-ce-que cela va changer concrètement pour les enseignants ? Peut-on résumer cette révolution en peu de mots… C’est ce que nous allons essayer de faire.
Situation précédente
En réalité la directive européenne précédente protégeait déjà les données personnelles. La CNIL s’occupait de cela et demandait que les fichiers contenant des données personnelles soient déclarés. Il existait une dérogation pour les enseignants puisqu’en réalité les fichiers créés concernant les enfants étaient demandés par leur ministère.
Les buts de cette nouvelle règlementation
Donc pourquoi cette réglementation ? En fait les différents pays de l’union n’ont pas implémenté la précédente règlementation de 1995 de la même façon. Notamment la France voulait que les fichiers restent en France, afin de rester sous la loi française. Les administrations des pays de l’union étaient réticents à échanger des données de leurs ressortissants avec d’autres administrations d’autres pays. Les différentes lois des différents pays rendaient difficiles l’échange de données dans l’union et vers les pays tiers, et aussi rendait impossible une centralisation de ces données. La RGPD veut donc enlever les barrières à l’économie sur internet.
Les « considérant que » au début de la RGPD permettent de bien comprendre les enjeux de cette règlementation. J’en fais ici un résumé de ce que j’en ai compris avec quelques exemples :
Considérant 3 : Harmonise la protection des données pour libéraliser la circulation des données entre les états.
(3) La directive 95/46/CE du Parlement européen et du Conseil vise à harmoniser la protection des libertés
et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et à assurer le
libre flux des données à caractère personnel entre les États membres.
Considérant 5 :
Pousser les administrations des états à s’échanger des données personnelles, et à échanger avec le secteur privé.
(5) L'intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à
une augmentation substantielle des flux transfrontaliers de données à caractère personnel.
Les échanges de données à caractère personnel entre acteurs publics et privés,
y compris les personnes physiques, les associations et les entreprises, se sont intensifiés dans l'ensemble de l'Union.
Le droit de l'Union appelle les autorités nationales des États membres à coopérer et à échanger des données
à caractère personnel, afin d'être en mesure de remplir leurs missions ou d'accomplir des tâches pour le compte
d'une autorité d'un autre État membre.
Considérant 7 : Susciter la confiance qui permettra à l’économie numérique de se développer.
(7) Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l'Union,
assorti d'une application rigoureuse des règles, car il importe de susciter la confiance
qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur.
Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.
La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques,
les opérateurs économiques et les autorités publiques.
Considérant 9 : Les différences de protection selon les états étaient un frein à la libre circulation des données.
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE
n'a pas permis d'éviter une fragmentation de la mise en œuvre de la protection des données
dans l'Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques
importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne
l'environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques,
en particulier le droit à la protection des données à caractère personnel, à l'égard du traitement des données à
caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l'ensemble de l'Union.
Ces différences peuvent dès lors constituer un obstacle à l'exercice des activités économiques au niveau de
l'Union, fausser la concurrence et empêcher les autorités de s'acquitter des obligations qui leur incombent en
vertu du droit de l'Union. Ces différences dans le niveau de protection résultent de l'existence de divergences
dans la mise en œuvre et l'application de la directive 95/46/CE.
Considérant 21 : L’objectif de la RGPD est le bon fonctionnement du marché intérieur, la libre circulation des services (donc la délocalisation des services).
(21) Le présent règlement s'applique sans préjudice de l'application de la directive 2000/31/CE du Parlement
européen et du Conseil, et notamment du régime de responsabilité des prestataires de services intermédiaires
prévu dans ses articles 12 à 15.
Cette directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre
circulation des services de la société de l'information entre les États membres.
Considérant 40 :
La législation ou un contrat peuvent rendre caduc la protection des données.
(40) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement
de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent
règlement soit dans une autre disposition du droit national ou du droit de l'Union, ainsi que le prévoit le
présent règlement, y compris la nécessité de respecter l'obligation légale à laquelle le responsable du traitement
est soumis ou la nécessité d'exécuter un contrat auquel la personne concernée est partie ou pour prendre des
mesures pré-contractuelles à la demande de la personne concernée.
Considérant 69 :
La protection des données peut être contournée par les services de l’état.
Comme les enseignants ont une mission d’intérêt public, la RGPD ne devrait pas être un problème.
(69) Lorsque des données à caractère personnel pourraient être traitées de manière licite parce que le traitement
est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement
ou d'un tiers, les personnes concernées devraient néanmoins avoir le droit de s'opposer au traitement
de toute donnée à caractère personnel en rapport avec leur situation particulière.
Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes impérieux prévalent
sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Considérant 83 :
C’est aux entreprises de calculer les risques et d’agir de façon proportionnée.
(83) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement,
il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement
et mette en œuvre des mesures pour les atténuer, telles que le chiffrement.
Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état
des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère
personnel à protéger.
Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques
que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération,
la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre
manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles
d'entraîner des dommages physiques, matériels ou un préjudice moral.
Si vous souhaitez plus d'information le mieux est d'aller
à la source.
Ce que cela change pour les entreprises
Les entreprises doivent maintenant avoir un DPO (responsable de la protection des données) qui calcule les risques,
met en place des procédures pour être conforme à la règlementation.
En fait, s’il y a un problème, la RGPD indique qui est le responsable et donc qui attaquer en justice.
Les entreprises ont donc très peur de la RGPD.
Enfin, surtout les petites qui n’ont pas les moyens de se payer un avocat pour leur dire comment faire.
Evidemment les grosses entreprises payent très cher leur mise à jour pour être conformes à la RGPD,
mais les petites n’en ont ni les moyens ni le temps.
Le risque est de se faire attaquer sur des questions liées à la protection de données
(comme ce qui est arrivé à ABC-Applications avec l’académie de Versailles),
ce genre d’attaque ne détruira pas Google ou Apple, mais peut tout à fait détruire une petite entreprise,
qui pour survivre devra se vendre à vil prix à une plus grosse.
Le résultat est donc que dans quelques années la plupart des petites entreprises auront disparu ou auront été
mangées par des plus grosses.
Comme il n’y a plus obligation d’avoir ces serveurs en France,
il n’y aura plus de frein à ce que Google, Microsoft, Apple, et autres grosses multinationales vendent leurs services
aux écoles…
Donc l’interdiction d’utilisation des services en ligne comme les clouds vont disparaître.
Les entreprises françaises qui se sont constituées sur la législation française vont donc mourir.
Le côté positif, pour les entreprises, c’est qu’elles pourront vendre vos données en toute légalité.
Avec les nouveaux compteurs EDF par exemple, qui enregistrent votre activité dans votre maison,
EDF pourra revendre vos informations à Amazon pour mieux comprendre vos habitudes et donc mieux vous
cibler lors de l’affichage de publicité.
Ce que cela change pour vous
Globalement, dans l’utilisation de tous les jours, cela devrait vous rendre la vie plus facile.
Vous allez pouvoir utiliser tous les services des multinationales sans restriction.
Par contre vous pourriez avoir des difficultés si vous utilisez des produits ou service de petites sociétés.
Celles-ci risquent de ne pas être acceptées par votre hiérarchie, voir de disparaitre.
Emmanuel CROMBEZ