Check Point – Nos données personnelles seront-elles bientôt mieux protégées ?

Pour les 92% des Européens qui réclament la confidentialité de leurs mails et messages en ligne, le 25 mai devrait être marqué d’une pierre blanche. C’est ce jour-là qu’entrera en vigueur le règlement sur le traitement des données personnelles (RGPD ou GPRD en anglais) A Cette date, les entreprises ne pourront plus faire ce qu’elles veulent de nos données. Du moins en théorie, car les blocages et les critiques se multiplient au point de faire douter d’une mise en place effective pour le 25 mai 2018.

À la commission, les avis sont unanimes : «Il s'agira là d'un grand pas en avant, et nous ferons le nécessaire pour que cela soit un succès pour tout un chacun", affirme Andrus Ansip, Commissaire en charge du marché numérique unifié.

Věra Jourová, Commissaire responsable des droits des consommateurs renchérit : "Dans le monde actuel, la façon dont nous traitons les données, détermine grandement notre avenir économique et notre sécurité personnelle. Nous invitons donc les autorités européennes, les pouvoirs publics et les entreprises à utiliser de manière efficiente le temps qui reste, et à prendre leurs responsabilités en prévision du grand jour."

Quelles données, comment les utiliser et les sécuriser ?

Ce règlement européen doit obliger les entreprises et les institutions à révéler quelles données personnelles elles collectent, comment elles sont utilisées et de quelle manière elles sont sécurisées. Et surtout, cette législation s’imposera à toutes les entreprises, PME et multinationales, y compris à celles qui sont basées en dehors de l’Union européenne. La seule condition est qu’elles s’adressent à des clients européens.

Le double but de ce règlement est d’empêcher le traitement abusif des données personnelles des internautes, et d’harmoniser le traitement des données au sein de l’Union.

Le Règlement garantit une série de droits aux citoyens européens

La liste des protections prévues par le RGPD est longue :

- Un simple clic ne suffira plus pour permettre à une entreprise, (site ou service en ligne) d’utiliser nos données personnelles. L’accord devra être consenti « par écrit et de manière explicite». Par exemple, un consentement accordé sous la menace de ne pas pouvoir accéder à un service (un site internet) n'est pas librement donné et n'est donc pas valide.

-Un accord parental est requis pour inscrire un jeune sur un réseau social. Chaque État peut déterminer cette limite entre 13 ans à 16 ans.

-Le droit à l’oubli garantit à l’internaute d’obtenir l’effacement de données personnelles en cas d’atteinte à la vie privée. Les données le concernant doivent être transférables au client dans un délai de 25 jours.

- La portabilité des données signifie que pour changer de réseau social, de fournisseur d’accès internet ou de site de streaming, le passage devra se faire sans perte d’informations.

-L’internaute aura le droit d’être informé en cas de piratage des données d’une entreprise.

-Les internautes pourront être défendus par les associations dans le cadre d’une action de groupe (class action) en vue de faire cesser la partie illicite d’un traitement de données.

-Le profilage par internet est interdit. Tout individu « a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé ». Sauf exception.

-Et en cas de problème, tout internaute peut s’adresser directement à l’organisme national chargé du contrôle des télécom. (La Cnil en France ou l’IBPT en Belgique). C’est lui qui se chargera de transmettre la réclamation à l’autorité de protection des données du pays dans lequel l’entreprise a son établissement principal.

Les imperfections du système

D’abord, les Gafa (Google, Apple, Facebook, Amazon) contournent la législation. Selon Audrey Chabal, journaliste à Forbes, le RGPD va paradoxalement favoriser les gros opérateurs. Alors que le règlement réduit l’usage des cookies, les géants du net sont déjà passés à l’étape supérieure en utilisant les ID (identifiants) des internautes. Car contrairement au Cookie qui est lié à un navigateur, l’ID est lié à un utilisateur. Ce qui rend le ciblage plus précis. Au risque d’entraîner un déséquilibre au détriment des entreprises plus petites, obligées d’utiliser les cookies et donc de prendre du retard par rapport aux géants mondiaux.

Un autre déséquilibre pourrait intervenir en faveur des grands acteurs internationaux qui fournissent des services gratuits aux consommateurs. Mohamed Messaoudi, directeur du pôle Data Management chez Publicis ETO  explique que Facebook ou Google auront beaucoup moins de difficultés à obtenir le consentement «explicite et éclairé» des internautes pour l’utilisation de leurs données qu’un site de vente. Simplement parce qu’un consommateur accepte qu’un service en ligne gratuit (réseaux sociaux, site de recommandation, …) soit rémunéré sous forme de données personnelles. Ce qui sera beaucoup plus difficile à obtenir par un site d’e-commerce qui est déjà rémunéré financièrement lors des achats.

Au final, le RGPD pourrait donc renforcer l’hégémonie des GAFA sur le marché publicitaire. Ce qui n’est évidemment pas le but. Pour que l’équilibrage se fasse, il faudrait que Google rémunère chaque internaute lors de l’exploitation de ses données, estime Mohamed Messaoudi.. Mais on est aujourd’hui loin du compte.

Les entreprises européennes en retard sur le calendrier

Un autre maillon faible du RGPD est l’impréparation des entreprises européennes. Deux études récentes les mettent en garde.

La première, a été réalisée par Senzing (entreprise logicielle) dans 5 pays européens (Royaume-Uni, France, Allemagne, Espagne et Italie).  Il en ressort que 27% des entreprises françaises «ne sont pas certaines» de savoir où sont stockées toutes leurs données. Par ailleurs, 60% des entreprises de l’Union Européenne seraient « à risque » ou « en difficulté » d’être prêtes pour le 25 mai.

Une surcharge de travail conséquente

Selon Senzing, chaque entreprise recevra mensuellement, une moyenne de 89 demandes liées au RGPD et devra recourir à 23 bases de données. Chaque requête devrait prendre 5 minutes. Pour les grandes entreprises, cette charge de travail représenterait 7,5 employés plein temps.

Même constat en Belgique où, une enquête réalisée en février dernier par Data News et Iris (http://datanews.levif.be/ict/actualite/la-grande-enquete-gdpr-les-entreprises-risquent-de-manquer-la-date-butoir/article-longread-793601.html)montrent que les entreprises sont loin d’être prêtes. Seuls 5,5% d’entre elles -parmi les plus grosses- se disent déjà conformes. À l’opposé, plus de 9% des entreprises disent même ne pas savoir de quoi il s’agit ou ne pas savoir où elles en sont dans le processus. Parmi les chiffres inquiétants: près de 19 % précisent devoir encore commencer la mise en œuvre de mesures concrètes. 7,5 % prétendent même que leur entreprise n’est pas concernée par ce règlement.  Plus de 30% des entreprises pensent qu’elles ne seront pas prêtes dans les délais.

L’exemple de Google Play Store

Une autre étude (SafeDK) vient illustrer ce retard inquiétant des entreprises. En décembre 2017, plus de la moitié des applications sur Play Store (le magasin en ligne de Google) n’étaient pas encore conformes au RGPD. Et 5 mois avant l’entrée en vigueur du Règlement, 56 % des applications tentaient encore d'accéder à la géolocalisation de l'utilisateur. Deux applis sur cinq tentaient d’obtenir la liste des applications installées et près d’un tiers cherchaient à obtenir la liste des contacts de l’utilisateur. Autant de techniques qui seront interdites le 25 mai.

Les législations des États membres: gare aux retards

Mais les États membres de l’union semblent eux aussi à la traîne. En une phrase, La Commission invite les pays membres à mettre en conformité leur législation nationale avec le GPRD. Avant le 25 mai.

Mais à ce jour, seuls trois pays membres de l'Union européenne sont bien préparés à l'introduction du GDPR. l'Autriche, l'Allemagne et la Slovaquie  ont mis au point une législation nationale adaptée à la nouvelle loi européenne. Or, exceptionnellement, les États ont eu deux ans pour adapter leurs lois existantes et être prêts pour le 25 mai.

Un document de la Commission montre que la plupart des autres pays avancent à marche forcée pour tenter de respecter les délais. Mais certains sont encore loin du compte

Règlement « EPRIVACY »: la confusion ?

La confusion semble aussi régner sur un autre règlement baptisé « Eprivacy ». Une législation censée préciser le RGPD pour les services télécom tels que Whatsapp, Skype, Viber, etc.

Ce règlement doit définir les cas où le consentement de l’internaute n'est pas obligatoire. Par exemple pour l’historique d’une carte de fidélité. Et les entreprises qui pratiquent l’appel téléphonique devront s’identifier par un préfixe affiché sur l’écran du téléphone appelé.

À l’inverse, le texte pourrait autoriser les entreprises à géolocaliser leurs clients présents dans certains lieux comme des boutiques, sans autorisation préalable, ce que n’apprécient pas les associations de défense des libertés individuelles européennes, comme la Quadrature du Net.

Selon ce règlement parallèle, le consommateur ne déciderait qu'une seule fois s'il accepte les "cookies" d'un site et non plus pour chacun des sites séparément. Une faculté qui effraie les médias du web qui utilisent ces données pour adapter le contenu aux demandes des lecteurs.

Tout cela a eu pour conséquence, ce mois de mars 2018, de provoquer la levée de boucliers d’une cinquantaine d'entreprises européennes, bientôt rejointes par les associations de défense des droits des citoyens sur internet.

Le Parlement européen a adopté une position en faveur de ce nouveau règlement mais les gouvernements de l'Union européenne doivent encore discuter de ces textes et se prononcer pour ou contre. ePrivacy, ce n'est donc pas pour demain.

Il reste les sanctions

La peur du gendarme permettra-t-elle d’accélérer la mise en place de la défense des consommateurs? Les récentes enquêtes menées auprès des entreprises laissent planer le doute. Le montant des amendes sera pourtant élevé:  Jusqu’à 20 millions d'euros ou 4 pour cent du chiffre d'affaires mondial des entreprises concernées.  Avec un contrôle effectué par des vérificateurs de confidentialité nationaux.

Dès lors, lorsque la Commission européenne promet que nous assisterons, le 25 mai au "changement le plus important en matière de confidentialité des données depuis 20 ans.", il faut bien reconnaître que c'est contestable.