Le 25 mai entre en vigueur le Règlement général de protection des données personnelles (RGPD). Un texte ambitieux, qui pourrait pourtant buter sur le manque de culture numérique des internautes.
Facebook, Uber, WhatsApp, Airbnb… Si vous êtes actif sur certaines de ces plateformes - et bien d'autres -, vous avez probablement reçu des messages sur la mise à jour de leurs conditions d'utilisation. Les grandes entreprises du web se sont préparées : le 25 mai prochain entre en vigueur le Règlement général de protection des données personnelles (RGPD) dans l'Union européenne. Un sigle rébarbatif pour un texte pourtant crucial. A compter de vendredi, aucune plateforme numérique - petite ou grande entreprise, collectivité, association - ne pourra plus traiter les données personnelles de ses utilisateurs sans leur consentement écrit, clair et explicite.
Si le consentement libre et éclairé introduit une notion clé dans le droit européen de la protection des données, tous les acteurs ne sont pas égaux sur la question. Pendant que PME, associations et collectivités territoriales luttent pour se mettre à la page avant le 25 mai, les géants du web ont déployé depuis des mois des armadas de juristes pour s'adapter - si possible, de façon à ce que votre consentement ou non consentement modifie le moins possible leur manière de gérer les données personnelles.
Premier ressort activé par les Gafa (Google, Apple, Facebook, Amazon) et leurs émules : le réflexe désormais bien ancré de cliquer sans réfléchir sur "J'accepte les conditions d'utilisation". Cet accord - réversible moyennant un certain temps de fouille dans les paramètres - met la plateforme à l'abri au regard de la loi européenne. Le RGPD réglemente l'usage de nos données, mais ne le restreint pas automatiquement. L'utilisateur s'en trouve lui aussi responsabilisé.
Si toutefois vous faites le choix de vous aventurer dans le détail des conditions générales d'utilisation et autres chartes de protection des données, de nouveaux obstacles se dressent. Les usagers d'Airbnb se sont vus présenter une alternative simple : "Voulez-vous vraiment les refuser? Vous ne serez plus en mesure d'utiliser le site web et les applications pour tablettes ou mobiles d'Airbnb si vous refusez les conditions actualisées." Voilà pour le consentement libre et éclairé.
La manière dont Facebook a présenté ce changement constitue un véritable cas d'école de consentement assisté
Le réseau social Facebook a opté pour des formes de "chantage au service" un peu plus subtiles. La plateforme met en avant les bienfaits de l'utilisation des données pour les utilisateurs, sans jamais mentionner l'usage qu'elle-même en fait. Des arguments dissuasifs sont agités : il y aura toujours des pubs, elles seront simplement moins "pertinentes" sans l'algorithme basé sur vos données personnelles. "La manière dont Facebook a présenté cette modification de ses CGU [Conditions générales d'utilisation, ndlr] constitue un véritable cas d’école de "consentement assisté"", écrit le juriste Lionel Maurel sur son blog.
L'enjeu est de taille pour les géants du web. Le modèle économique de Facebook repose sur cette exploitation de données personnelles. En analysant ce que l'internaute consulte et ses actions (messages, "likes", publications), le réseau social dresse un profil d'utilisateur. Ces caractéristiques servent notamment à identifier les meilleurs cibles pour la publicité de telle ou telle entreprise.
Le profilage dépasse de loin les GAFA : à chaque seconde de navigation sur Internet, nous laissons des "indices" sur nous, qui sont récoltés par le site consulté. Notamment sous la forme des "cookies" que l'on accepte désormais de façon mécanique, parce que le bandeau de bas de page gène la lecture.
Faute d'éducation au numérique et de prise de conscience citoyenne, le consentement n'est pour l'instant qu'une étape vers la protection de nos données personnelles. Il n'est en outre que le premier d'une série de points clés développés dans le RGPD.
L'UE s'est cette fois-ci dotée de moyens coercitifs. En cas d'infraction au RGPD, une amende pourra être infligée : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel de l'entreprise - le plus élevé des deux montants, selon les cas. Pour faciliter le recours des citoyens en cas de manquement au RGPD, les autorités compétentes de chaque Etat auront pour mission de transmettre la demande à leurs homologues du pays de résidence de l'entreprise visée. En France, il faudra s'adresser à la Cnil pour toute réclamation.
Autre recours possible : les actions de groupe. Pour faire cesser un traitement illicite de données, les particuliers peuvent faire appel à des collectifs pour porter leur parole. L'association de défense des internautes La Quadrature du net n'a pas attendu l'application du RGPD pour annoncer son action de groupe contre les Gafa (Google, Apple, Facebook, Amazon). Celle-ci débutera officiellement le 25 mai, à l'entrée en vigueur du Règlement.