La protection des données est essentielle à l’ère du numérique. Pour cela, la législation a fortement évolué en ce sens. La première loi en ce sens date du 6 janvier 1978 et s’intitulait « Informatique et Libertés ». Ainsi, elle avait pour objectif la protection des individus du risque de fichage à partir de leur numéro de sécurité sociale. Cependant, avec le commencement de la circulation des données d’un pays à un autre, les lois en matière de protection des données s’internationalisent.
Ainsi, cela aboutit à la RGPD (règlement général sur la protection des données) en 2016. Cette loi se fonde notamment sur 9 principes :
- La transparence et la loyauté : lors de la collecte de données, l’utilisateur doit avoir consentit à cette collecte. S’il ne donne pas son accord, la collecte de donnée devient illégale.
- La minimisation : Seule les données nécessaires sont collectées.
- Proportionnalité : Les données récoltées doivent avoir une finalité.
- Sécurité : Les données sont confidentielles.
- Réactivité : Les données doivent être mises à jour.
- Information : Les personnes disposent d’un droit de rétractation, rectification et de suppression de leurs données.
- Conservation limitée : la conservation des données est limitée. Passée une certaine date, les données doivent être supprimées.
- Territorialité : s’appliquent à tous les pays de l’UE.
- Co-responsabilité : le responsable des traitements des données peut être déclaré responsable devant les lois.
En cas du non-respect de cette loi, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou pour une entreprise jusqu’à 4% de son chiffre d’affaire annuel.
Par exemple, la société Slimpay s’était vue attribuée une sanction de 180 000 euros au motif que les données des utilisateurs n’étaient pas suffisamment protégées. De plus, ces derniers n’ont pas été informés d’une violation de données.
En l’espèce, la société n’avait pas encadré les traitements des données par un sous-traitant (chose obligatoire inscrite à l’article 28 du RGPD). De plus, l’accès au serveur n’était pas sécurisé et cela constitue un manquement à l’obligation d’assurer la sécurité des données personnelles au sens de l’article 32 du RGPD. Des personnes se sont vues leurs données violées, et n’ont pas reçu d’information constituant une infraction au sens de l’article 34 du RGPD.