Nick Dedeke est professeur au sein du groupe Supply Chain and Information Management (SCIM) de la Northeastern University de Boston.
L’Union européenne a introduit le règlement général sur la protection des données (RGPD) en mai 2016 pour accorder aux utilisateurs (également appelés personnes concernées) plus de contrôle sur leurs données personnelles, qui sont généralement sous la garde d’agrégateurs de données et/ou de processeurs de données. Après une première période de présentation au public et aux parties prenantes, la loi est entrée en vigueur le 25 mai 2018 et le RGPD a apporté plusieurs contributions positives pour mieux encadrer la protection des données. Premièrement, il a élargi certains droits existants, tels que le droit du sujet à l’information, le droit d’accès, le droit de rectification, le droit d’annulation et le droit d’opposition. Le GDPR a également créé de nouveaux droits, tels que le droit à l’oubli, le droit aux données portables et le droit de restreindre le traitement des données personnelles. Le GDPR comprenait également plusieurs obligations que les contrôleurs de données doivent aux personnes concernées.
Deuxièmement, le GDPR a également introduit une extension notable des définitions existantes des données personnelles. Actuellement, les informations personnellement identifiables (PII) comprennent des données telles que le nom, l’adresse, le numéro de téléphone et l’e-mail. Les informations sensibles d’identification personnelle (SPII) comprennent des données telles que les numéros de sécurité sociale, les numéros de permis de conduire ou d’identification d’État, les numéros de passeport, les numéros d’enregistrement des étrangers, les numéros de compte financier et les identifiants biométriques. Certaines données deviennent SPII lorsqu’elles apparaissent avec des données PII. Par exemple, des éléments de données tels que la citoyenneté ou le statut d’immigrant, des informations médicales, des informations ethniques, religieuses, d’orientation sexuelle ou de style de vie deviennent des SPII lorsqu’ils sont liés à l’identité d’un individu.
Le RGPD définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable. La personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs facteurs propres à l’état physique, physiologique, génétique, mental, économique, culturel ou l’identité sociale de cette personne. Ainsi, les données personnelles incluent les photographies où un individu est identifiable, l’identifiant du cookie, l’adresse IP (Internet Protocol) et les données de localisation. L’article 9 du RGPD a introduit une nouvelle catégorie appelée données personnelles spéciales, qui comprend les données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques traitées uniquement pour identifier un être humain, des données relatives à la santé et des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Le traitement de la catégorie spéciale de données personnelles est interdit, sauf pour des finalités très spécifiques et dans des conditions spécifiques.
Enfin, il est louable que l’UE ait été le premier organisme gouvernemental à achever une mise à jour majeure de sa législation sur la protection de la vie privée. Il aide à lutter contre la banalisation des données des utilisateurs par les plateformes en ligne et établit des limites juridiques pour l’adoption et l’utilisation sans cesse croissantes des analyses de mégadonnées, de la surveillance en ligne et des technologies de collecte massive de données. Pour ces raisons et bien d’autres, le RGPD est une avancée majeure dans la quête de la société pour protéger les données personnelles des citoyens.
Pourquoi discuter des failles du RGPD ?
Après m’être familiarisé avec le RGPD, je ne recommanderais à aucun pays de le copier sans apporter des modifications importantes à certaines des principales hypothèses de la loi. Bien que le GDPR soit un effort louable pour réglementer le traitement des données par les sous-traitants et pour protéger les données personnelles des citoyens, il contient plusieurs stipulations et hypothèses qui, à mon avis, sont erronées. Je soulève ces questions non pas parce que je n’aime pas la loi, mais parce que les communautés de la confidentialité, de la sécurité et des affaires doivent discuter de ces failles afin que ces communautés puissent développer une compréhension commune des failles du RGPD avant d’engager des responsables qui envisagent de promulguer une version américaine. du RGPD. J’espère que cet article déclenchera une discussion approfondie sur ce que le RGPD pourrait améliorer. De plus, j’ai hâte de savoir ce que d’autres experts pensent des défauts du RGPD.