Accueil
À propos
Open Source Applications mobiles Questions fréquentes Migrer depuis Google Photos À propos de PixelUnion
Tarifs Blog
Centre d'Aide
Compte Immich Migration Autres Contacter le support
Connexion S'inscrire
Privacy

Qu'est-ce que le GDPR, et vous protège-t-il vraiment ?

Odin from PixelUnion
5 min read
#GDPR #Privacy #Data Protection #Digital Rights #Europe
Qu'est-ce que le GDPR, et vous protège-t-il vraiment ?

Je vous laisse deviner. Vous avez cliqué sur « Tout accepter » plus de fois que vous ne pouvez le compter, et quelque part dans un coin de votre tête, vous savez que ça a un rapport avec le RGPD. Mais si quelqu’un vous demandait d’expliquer ce qu’est réellement le RGPD, vous changeriez probablement de sujet.

Sans jugement. J’aurais fait pareil il y a quelques années.

Si vous vous êtes déjà demandé ce qui se cache derrière cet acronyme, et si cela vous est vraiment utile, cet article est pour vous.

Le GDPR est également connu sous le nom de RGPD, soit Règlement Général sur la Protection des Données. Les deux sigles désignent la même loi. Dans cet article, nous utilisons GDPR, qui est la désignation la plus répandue au niveau international.

Qu’est-ce que le RGPD ?

RGPD signifie Règlement Général sur la Protection des Données, connu internationalement sous le sigle GDPR. Il s’agit d’une loi européenne entrée en vigueur en 2018, qui fixe les règles encadrant la collecte, le stockage et l’utilisation de vos données personnelles par les entreprises.

Les données personnelles, c’est un terme large. Cela inclut votre nom et votre adresse e-mail, mais aussi votre localisation, vos photos, votre historique de navigation, votre adresse IP, et tout ce qui peut servir à vous identifier en tant que personne.

Le règlement s’applique à toute entreprise qui traite des données de personnes vivant dans l’UE. Cela inclut des entreprises américaines comme Google et Meta. Si elles veulent opérer en Europe, elles doivent respecter les règles européennes.

Quels droits vous accorde-t-il réellement ?

C’est là que ça devient intéressant. Le RGPD n’est pas simplement un document de politique que les entreprises peuvent ignorer. Il vous confère des droits réels et opposables.

Le droit d’être informé. Vous pouvez demander à n’importe quelle entreprise quelles données elle détient sur vous. Elle est légalement tenue de vous répondre dans un délai d’un mois.

Le droit d’accès. Vous pouvez demander une copie complète de vos données. Google, Meta, Apple : toutes disposent d’outils pour cela. C’est souvent une expérience révélatrice.

Le droit à l’effacement. Vous pouvez demander à une entreprise de supprimer vos données. Elle doit s’y conformer, sauf si elle dispose d’une raison légitime de les conserver, comme un contrat en cours ou une obligation légale.

Le droit à la portabilité. Vous pouvez demander vos données dans un format qui vous permet de les transférer ailleurs. Vos photos, vos messages, votre historique. Ils vous appartiennent, et vous devez pouvoir les emporter.

Le droit d’opposition. Si une entreprise utilise vos données à des fins publicitaires, vous pouvez lui demander d’arrêter. C’est plus compliqué en pratique, mais ce droit existe.

Ce ne sont pas des détails mineurs. Avant le RGPD, tout cela dépendait entièrement de la bonne volonté des entreprises.

Pourquoi a-t-on alors l’impression que rien n’a changé ?

Parce que l’application est lente, et les amendes sont souvent retardées de plusieurs années. Les entreprises qui détiennent le plus de données disposent aussi du plus grand nombre d’avocats.

Meta a été condamnée à une amende de 1,2 milliard d’euros au titre du RGPD en 2023. Cela semble énorme. C’était environ quatre jours de chiffre d’affaires. Google a fait face à des amendes similaires. Elles paient, font appel, et entre-temps, continuent comme avant.

Le RGPD a des dents. Mais il mord lentement.

Ce dont le RGPD ne vous protège pas

C’est la partie que la plupart des gens ignorent.

Le RGPD encadre ce que les entreprises peuvent faire de vos données de leur propre initiative. Il ne vous protège pas contre les demandes des gouvernements.

En vertu du CLOUD Act américain, les autorités américaines peuvent demander l’accès à des données détenues par des entreprises américaines, même si ces données sont stockées en Europe, et même si vous êtes un citoyen européen. L’entreprise peut être légalement contrainte de les transmettre sans vous en informer.

Le RGPD dit : les entreprises ne peuvent pas exploiter vos données de leur propre chef. Le CLOUD Act dit : le gouvernement américain peut quand même les réclamer. Ces deux lois sont en conflit direct.

Mon collègue a déjà rédigé un article plus approfondi sur le fonctionnement exact du CLOUD Act et ce que cela signifie pour vos photos.

Est-ce que la localisation d’une entreprise change quelque chose ?

Oui. Considérablement.

Si vos données sont stockées chez une entreprise dont le siège est dans l’UE, constituée selon le droit européen et sans société mère américaine, le CLOUD Act ne s’applique pas. Une ordonnance d’un tribunal européen fondée sur le droit européen est une tout autre chose qu’une demande du gouvernement américain.

Ce n’est pas un détail technique. C’est tout le sujet.

Chez PixelUnion, nous stockons vos photos sous le droit européen. Non pas parce que nous y étions obligés, mais parce que c’est la seule façon de rendre la protection réelle. Stockées dans l’UE, gérées sous le droit de l’UE, sans société mère américaine, sans pipeline de données opaque.

Le RGPD est une base solide. Mais il ne fonctionne pleinement que lorsque l’entreprise qui détient vos données y est véritablement soumise.

Vous voulez aller plus loin dans la reprise en main de vos données ? Notre collègue a rédigé un guide pratique sur comment quitter entièrement les Big Tech, avec des alternatives concrètes pour chaque service.