<p> Aucune de vos données ne pourra être collectée, traitée ou revendue sans que vous n'ayez clairement dit « j'accepte », en connaissance de cause.</p>
<p><b>Le droit actuel</b> manque de précision sur la définition du consentement que nous devons donner à une entreprise pour qu'elle puisse collecter ou exploiter nos données. Le texte parle d'un consentement « indubitablement donné ».</p>
<p> Le sens concret de cette définition n'est ni clair ni certain. Ainsi, certaines entreprises en profitent pour considérer le simple fait de visiter leur site comme acceptation de leurs « Conditions Générales d'Utilisation », ou autre « accord » prévoyant l'exploitation de nos données. Peu leur importe que nous ayons véritablement lu cet « accord » ni même que nous ayons connaissance de son existence (puisqu'il est souvent à peine mentionné tout en bas de page, en petits caractères).</p>
<p><b>Le droit actuel</b> prévoit que nous données ne peuvent être collectées que pour une ou plusieurs finalités précises, puis n'être ensuite exploitées que pour celles-ci.</p>
<p>Par exemple, quand nous donnons notre adresse email à un site Internet afin qu'il nous tiennes informé de son actualité, « nous tenir informé » est la finalité qu'il poursuit. Ce site ne peut utiliser notre adresse que pour cette finalité. Il ne peut pas revendre notre adresse à une régie publicitaire, car cela n'aurait rien à voir avec le fait de nous tenir informé de son actualité, tel qu'initialement prévu.</p>
<p><b>Le droit actuel</b> interdit qu'une décision nous concernant (par exemple, la détermination du prix des choses qui nous sont proposées) soit prise de façon automatique par l'analyse de nos données personnelles - par « profilage ».</p>
<p>Le profilage est toutefois autorisé lorsqu'il intervient dans le cadre d'un contrat que nous avons déjà conclu ou que nous cherchons à conclure, ou lorsqu'il est spécifiquement autorisé par une loi et bénéficie d'un encadrement suffisant.</p>
<p><b>Le droit actuel</b> n'exige pas spécifiquement qu'une entreprises vous informe lorsqu'elle perd dans la nature des données vous concernant (ce qui arrive hélas <ahref="http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/">bien trop souvent</a> [EN]).</p>
<p><b>Le projet de règlement</b> prévoit qu'une entreprise ayant égaré des données personnelles (par inadvertance ou suite à une intrusion) devra avertir, dans les 24 heures, une autorité de contrôle et, le plus rapidement possible, les personnes concernées par cette perte.</p>
<p><b>Le droit actuel</b> confie aux autorités de contrôle de chaque État Membre le soin de surveiller les entreprises exploitant nos données personnelles, et de les sanctionner au besoin. Hélas, les pouvoirs de sanction qui leur sont donnés sont souvent dérisoires en comparaison du chiffre d'affaire des entreprises en cause.</p>
<p>La CNIL, l'autorité de contrôle française, peut prononcer des amendes allant jusqu'à 150.000€ (le double en cas de récidive) ; l'autorité anglaise, jusqu'à 500.000£ ; pour les autorités allemandes, le plafond de base est à 300.000€. En face, Google a réalisé, en 2012, un chiffre d'affaire mondial de 50 milliards de dollars, Microsoft de 73 milliards, et Apple de 156 milliards, pour citer les plus importants.</p>
<p><b>Le droit actuel</b> n'autorise une entreprise à transférer des données personnelles en dehors de l'Union européenne que vers des pays considérés par la Commission européenne comme offrant une protection suffisante de la vie privée.</p>
<p>Il autorise aussi, par dérogations, les transferts basés sur le consentement ou un contrat passé par la personne concernée, les transferts réalisés pour des raisons d'intérêt public, médicales ou de contentieux, ou lorsque les données concernées sont déjà accessibles en Europe auprès d'un registre public.</p>
...
...
@@ -307,13 +307,13 @@
</div>
</div>
<divclass="panel panel-default">
<divclass="panel-heading"role="tab"id="head8">
<divclass="panel-heading"role="tab"id="thead8">
<h4class="panel-title">
<arole="button"data-toggle="collapse"data-parent="#tloi"href="#collapse8"aria-expanded="false"aria-controls="collapse8">Fuites de données</a>
<aclass="collapsed"role="button"data-toggle="collapse"data-parent="#tloi"href="#tcollapse8"aria-expanded="false"aria-controls="tcollapse8">Fuites de données</a>
<p> Une entreprise qui « perdra » nos données devra nous en avertir le plus rapidement possible.</p>
<p><b>Le droit actuel</b> autorise l'exploitation des données personnelles :
<ul>
...
...
@@ -332,13 +332,13 @@
</div>
</div>
<divclass="panel panel-default">
<divclass="panel-heading"role="tab"id="head9">
<divclass="panel-heading"role="tab"id="thead9">
<h4class="panel-title">
<arole="button"data-toggle="collapse"data-parents="#tloi"href="#collapse9"aria-expanded="false"aria-controls="collapse9">Droits de contrôle</a>
<aclass="collapsed"role="button"data-toggle="collapse"data-parents="#tloi"href="#tcollapse9"aria-expanded="false"aria-controls="tcollapse9">Droits de contrôle</a>
<p> Nous pourrons demander à une entreprise de nous dire quelles sont les données nous concernant qu'elle traite et qu'elle arrête de les traiter.</p>
<p><b>Le droit actuel</b> protège toutes nos données personnelles - toutes informations nous concernant et pouvant nous être rattachées.</p>
<p><b>Le projet de règlement</b> ne prévoit pas de changer cette définition mais, sous la pression de certaines entreprises, des députés européens ont proposé de créer une nouvelle catégorie de données personnelles, dont l'exploitation pourrait se faire sans notre consentement : les données « pseudonymes ». De telles données seraient toutes informations nous concernant mais ne pouvant pas nous être rattachées, à moins d'être recoupées à d'autres informations extérieures.</p>