1. Le principal objectif de l'adoption du RGPD est de rendre la vie difficile aux entreprises
En fait, l'objectif principal du RGPD est de permettre aux utilisateurs de contrôler qui et comment utilise leurs données personnelles et de pouvoir facilement et à tout moment interdire l'utilisation ou modifier les conditions d'utilisation des données personnelles à des fins de marketing.
Les données personnelles sont collectées par les entreprises afin d'améliorer le marketing et de le personnaliser - destiné à chaque utilisateur spécifique, en tenant compte de ses préférences et intérêts, qui sont collectées sur la base du comportement des utilisateurs sur Internet: visites de sites, likes de gauche, déplacement de la souris sur la page. Sur Internet, vous pouvez collecter ces données sur un utilisateur moyen actif
comme: sexe, âge, état matrimonial, profession, intérêts, habitudes de consommation. Si nous ajoutons à cela la surveillance de la géolocalisation, la quantité d'informations sur chaque personne qui est entre les mains de certaines entreprises devient effrayante, surtout quand on pense à la fuite de ces données. Cela devient encore pire lorsque l'on pense à la manipulation possible du comportement et des décisions des utilisateurs - un exemple de nouvelles liées aux activités de
Cambridge Analytica .
Certaines publications fournissent
un exemple de programme qui, basé sur une analyse de seulement 10 likes, vous permet de mieux connaître une personne que ses collègues ne la connaissent. À partir de 70 likes, le programme en apprend autant sur une personne que son ami proche, sur 150 likes - comme des parents, des frères ou des sœurs, et 300 ou plus - mieux que son conjoint ne le sait.
En y réfléchissant du point de vue de l'utilisateur, vous pouvez voir l'avantage inconditionnel de l'adoption du RGPD. Son objectif principal est de limiter l'utilisation incontrôlée des données personnelles à des fins commerciales, lorsque le sujet de ces données n'a aucune idée de qui, à quelles fins et comment utilise les informations le concernant collectées sur Internet à partir de diverses sources.
2. Le RGPD s'applique aux entreprises russes qui traitent les données personnelles d'au moins un citoyen d'un État membre de l'UE
C'est aussi une erreur. Le RGPD réglemente le travail avec les données personnelles non pas des citoyens de l'UE, mais de toutes les personnes situées dans l'UE
"Le présent règlement s'applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l'Union ... ".
RGPD, art. 3 (2) .
Selon le représentant de la Commission européenne (qui a réussi à poser officieusement des questions lors de la conférence internationale de juin 2018 [1]), le RGPD ne s'applique pas au traitement des données personnelles des personnes se trouvant en dehors de l'UE, même si elles sont temporairement parties. Dans le même temps, le traitement des données personnelles des citoyens russes qui voyagent en Europe est soumis au RGPD.
Encore une fois, en référence aux explications non officielles du représentant de la Commission européenne, afin d'attirer l'attention du régulateur, il est nécessaire de traiter principalement une grande quantité de données d'utilisateurs européens. Si l'objectif d'une entreprise russe n'est pas de collecter ou de traiter des données auprès des Européens et de ceux dont elle traite parfois les données en Europe, il est peu probable que le régulateur soit intéressé par les activités d'une telle entreprise en termes de conformité au RGPD.
L'opinion contraire est que si les services sont fournis en dehors de l'UE (par exemple, une chambre d'hôtel située en Russie peut être réservée à distance depuis l'UE), l'organisation ne devrait pas être soumise au RGPD, car ses activités ne sont pas exercées dans l'UE et ne sont pas soumis au droit de l'UE. Cet avis ne respecte pas pleinement les dispositions du RGPD: si une telle entreprise utilise les données de personnes résidant principalement en Europe, alors le RGPD s'applique. Si vous prenez l'exemple d'un hôtel, alors au moment de votre séjour à l'hôtel, l'Européen n'est vraiment pas en Europe. Mais si après son retour, l'hôtel continue de traiter ses données et, par exemple, de lui envoyer du matériel marketing, il s'avère qu'elle travaille avec les données d'une personne vivant en Europe. Eh bien, si les données ne seront pas utilisées à des fins de marketing, mais sont collectées uniquement pour la réservation et l'enregistrement de la résidence, alors ce n'est pas un problème: le RGPD permet la collecte et le traitement des données pour l'exécution du contrat, et le consentement du sujet des données personnelles n'est pas nécessaire dans ce cas.
3. Le consentement des utilisateurs à utiliser leurs données est toujours nécessaire
Pas vraiment comme ça. Dans le cas d'une entreprise non européenne, le RGPD est appliqué uniquement lors de l'utilisation de données personnelles à des fins de marketing (offre de biens ou de services) et de surveillance du comportement des utilisateurs en Europe. Si les données ne sont pas utilisées à ces fins, les dispositions du RGPD ne s'appliqueront pas.
Le présent règlement s'applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous -traitant non établi dans l'Union , lorsque les activités de traitement sont liées à:
a) l' offre de biens ou de services , indépendamment du fait qu'un paiement soit ou non exigé de la personne concernée, à ces personnes concernées dans l'Union; ou
b) le suivi de leur comportement dans la mesure où leur comportement a lieu au sein de l'Union.
RGPD, art. 3 (2) .
Lorsque des données sont obtenues aux fins de l'exécution du contrat, le consentement n'est pas requis. Il existe également d'autres cas où l'utilisation de données personnelles
ne nécessite pas de consentement . Mais si, après l'exécution du contrat, les données restent avec l'entreprise et sont stockées par elle (par exemple, dans CRM), dans ce cas, le consentement de l'utilisateur sera requis.
4. En cas de violation du RGPD, une amende sera immédiatement appliquée, les amendes seront très élevées
Personne ne sera immédiatement condamné à une amende. Les régulateurs de différents pays commencent tout juste à travailler avec les nouvelles règles et se méfieront de la formation de pratiques, en se surveillant mutuellement. Il est peu probable qu'ils soient pressés d'appliquer immédiatement des amendes, mais plutôt des avertissements et des instructions. Les amendes indiquées dans le RGPD sont la limite supérieure; en cas de violation, les amendes peuvent ne pas toujours s'appliquer et peuvent être faibles. Les amendes seront très probablement accumulées en fonction du fait qu'elles devraient être proportionnées et efficaces, et l'objectif principal n'est pas d'étrangler l'entreprise, mais de la diriger sur la bonne voie.
Par ailleurs, une pratique judiciaire (dont la Cour de justice du Luxembourg) sera formée en parallèle, dont l'apparition sera également attendue par les régulateurs avant d'entamer des inspections de masse et des sanctions.
Lors d'une conversation informelle avec un représentant de la Commission européenne lors de la conférence, l'idée a été émise qu'il serait possible de mener plusieurs procès-spectacles de certains géants, afin qu'en pratique, il devienne clair quel comportement est inacceptable et à quoi il peut conduire.
Sur la question de l'application d'amendes pour violation du RGPD, les positions suivantes sont les plus correctes:
«En général, il est nécessaire de percevoir des montants élevés d'amendes dans la loi comme une mesure de barrage, et non comme une nouvelle façon de reconstituer les budgets locaux des pays de l'UE»
«Le montant spécifique des amendes sera déterminé individuellement, en tenant compte d'un grand nombre de facteurs. Une amende de plusieurs millions de dollars peut être infligée à une organisation si elle a consciemment et malicieusement violé les droits des sujets, en la cachant soigneusement et en tirant un profit élevé d'un tel traitement de DP »
Quant aux préoccupations des entreprises russes concernant le fait qu'elles peuvent être condamnées à une amende pour non-respect du RGPD, ces préoccupations ne sont probablement pas prises en compte. Il ne sera pas facile pour le régulateur de tenir responsables les entreprises qui n'ont pas de bureau de représentation en Europe. Il sera encore plus difficile de mettre en œuvre les sanctions imposées sur le territoire d'un État qui ne fait pas partie de l'UE. Par conséquent, la principale réglementation prévue par rapport au RGPD passera par l'autorégulation dans l'industrie: les entreprises européennes refuseront progressivement de travailler avec des entreprises qui ne respectent pas les exigences du RGPD. En conséquence, la principale conséquence négative du non-respect du RGPD n'est pas les amendes, mais une perte de compétitivité sur le marché européen.
5. Les données personnelles ne peuvent pas être transférées vers d'autres pays sans supervision et autorisation appropriées.
Les données peuvent être transférées s'il existe un accord avec l'entreprise qui a transféré les données, et si certaines garanties sont prévues dans un tel accord. De plus, il y a
la Convention 108 du Conseil de l'Europe (à laquelle la Russie est partie), elle indique ce qui suit:
"Une partie n'interdit pas ni ne conditionne par une autorisation spéciale les flux transfrontières de données à caractère personnel vers le territoire d'une autre partie dans le seul but de protéger la vie privée"
Il n'y a pas de réponse exacte sur la façon dont les dispositions de la Convention 108 sont liées et les restrictions du RGPD sur la transmission de données, il peut y avoir une contradiction entre elles. Mais dans tous les cas, les données peuvent être transférées en présence d'un accord, ainsi que dans certains autres cas spécifiés dans le RGPD.
[1] Pearse O'Donohue, directrice par intérim de la direction des réseaux futurs de la DG CONNECT à la Commission européenne.