Regardez le monde
avec les yeux ouverts

Inscrit ou abonné ?
CONNEXION

UP', média libre
grâce à ses lecteurs
Je rejoins

rejoignez gratuitement le cercle des lecteurs de UP’

RGPD

RGPD: L’Europe pourra-t-elle protéger nos données face aux géants du web ?

Commencez
Chaque jour, nous en apprenons plus sur la masse d’informations personnelles récoltées, à notre insu, par Facebook en particulier et les géants du web en général. Les excuses de Mark Zuckerberg ne suffisent plus à calmer la tempête qui s’est levée contre Facebook non seulement incapable de protéger nos données, mais coupable de conserver des masses considérables d’informations sur nous, peut-être même, selon certains médias, nos sms et messages téléphoniques. Le problème semble d’une ampleur si considérable qu’on se demande même s’il est possible d’y apporter une solution. C’est pourtant ce que s’attache à faire l’Europe en mettant en œuvre le règlement européen sur la protection des données (RGPD). Ce dispositif sera-t-il suffisant ? Le point avec un magistrat, spécialiste de cette question.
 
Depuis mi-mars, Facebook est au centre d’une violente polémique. Le New York Times et le Guardian (via son édition dominicale The Observer) ont en effet révélé le 17 mars que la société britannique Cambridge Analytica s’était indûment procuré, début 2014, les données de plus de 50 millions d’utilisateurs du réseau social sans leur autorisation. L’entreprise (dont la vice-présidence était à cette époque assumée par le sulfureux Steve Bannon, futur conseiller du président Donald Trump) aurait utilisé ces données pour concevoir des publicités politiques ciblant les attentes de ces 50 millions d’électeurs potentiels. Et ainsi les inciter à voter pour Donald Trump.

Ces accusations, niées par les responsables de Cambridge Analytica, ont fait perdre à l’action Facebook près de 14 % en quelques jours et ont enclenché des promesses d’enquêtes tous azimuts des deux côtés de l’Atlantique. Les bureaux londoniens de Cambridge Analytica à Londres ont d’ailleurs rapidement été perquisitionnés.

Le scandale touche au cœur du modèle économique de Facebook, lié à la revente des données personnelles des utilisateurs, notamment à des fins publicitaires. Resté silencieux pendant plusieurs jours, son PDG Mark Zuckerberg a fini par reconnaître mercredi 21 mars des erreurs, ainsi que la responsabilité de son entreprise.

En France, la fin de la loi « Informatique et libertés »

Cette affaire illustre parfaitement l’importance des enjeux liés à la protection des données personnelles, et les conséquences néfastes, sur le plan commercial ou de l’image, pour toute entreprise qui se risque à manipuler des données sans (manifestement) se préoccuper des règles de protection des données. Elle survient à l’heure ou, en Europe, et plus particulièrement en France, une petite révolution se joue : le règlement général européen sur la protection des données (RGPD) remplace, à compter du 25 mai 2018, la célèbre loi « Informatique et libertés » adoptée il y a plus de 40 ans en France.

Qu’est-ce qui change avec le RGPD ?

Si les grands principes de protection de données restent globalement inchangés, les modalités de gestion de la conformité sont totalement bouleversées, et les risques en cas de non-conformité (sanctions pénales, sanctions financières de la Cnil et risque d’image) sont significativement renforcés.

Dans un contexte de développement exponentiel des technologies (prédominance des algorithmes, nouveaux objets connectés, nouveaux usages d’Internet…), le RGPD ambitionne également d’améliorer la protection des personnes fichées et l’exploitation des données personnelles par des opérateurs établis dans le « nuage informatique » (cloud). Ces mesures concernent tout à la fois les « GAFAM » américains (Google, Apple, Facebook, Amazon et Microsoft), les tigres asiatiques tels que Tencent ou les prestataires de services situés dans l’Océan indien…

En particulier, le RGPD vise à mieux protéger les internautes européens lorsque leurs données personnelles sont manipulées par des opérateurs établis en dehors de l’Union européenne, comme c’est le cas des grands opérateurs américains de l’Internet (Facebook, Google, Microsoft, etc.). L’exercice des droits reconnus par l’actuelle loi « Informatique et Libertés » est en effet difficile dans le cas d’Internet, notamment en raison de la question des règles de droit applicables en fonction de la localisation des données : celles-ci varient en fonction du lieu où sont installés les serveurs informatiques qui les hébergent.

Pourquoi ne pas profiter d’une lecture illimitée de UP’ ? Abonnez-vous à partir de 1.90 € par semaine.

Ainsi que l’a relevé la Commission européenne :

« La rapidité des évolutions technologiques et la mondialisation modifient en profondeur la façon dont un volume sans cesse croissant de données à caractère personnel est collecté, consulté, utilisé et transféré. De nouveaux modes de partage de l’information via les réseaux sociaux et de stockage à distance de grandes quantités de données sont entrés dans les habitudes de nombre des 250 millions d’internautes en Europe. »

La problématique des « paradis de données » est d’ailleurs l’illustration de cette contradiction fondamentale à laquelle se heurte le droit de l’informatique : alors que les outils de communication sont, par essence, globalisés, ils ne sont régis que par des fragments de réglementations nationales dont le champ d’application est, par essence, étroit, limité à un territoire et à un champ de compétence ordonné et balisé.

Contraindre les opérateurs non européens à respecter les règles européennes de la protection des données

Le RGPD ambitionne de dépasser cette difficulté. Pour cela, il renforce les droits des personnes concernées. Dorénavant, si les données d’individus se trouvant sur le territoire de l’Union européenne sont traitées par une société ou un sous-traitant établi hors de l’Union, le droit européen s’appliquera lorsque ces activités sont liées :

  • à l’offre de biens ou de services à ces individus vivant dans l’Union, qu’un paiement soit exigé ou non desdits individus. Le RGPD précise à cet égard que des facteurs tels que « l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union » peuvent indiquer que le responsable du traitement envisage d’offrir des biens ou des services à des personnes qui se trouvent sur le territoire de l’Union européenne ;

  • au suivi du comportement de ces individus, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. Le RGPD indique sur ce point que sont concernées notamment les techniques de profilage d’une personne physique permettant « notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit », par exemple les dispositifs de « ciblage comportemental » et de « publicité ciblée » mis en cause dans l’affaire Facebook.

Il y a ici une sorte d’effet « extraterritorial » du droit européen puisque l’objectif du RGPD est de contraindre des opérateurs non européens à respecter les règles européennes de protection des données. Grâce au RPDG, les pratiques abusives reprochées à Facebook pourraient, si elles étaient avérées, donner lieu à l’application en France de sanctions pénales (jusqu’à cinq ans d’emprisonnement) ou financières particulièrement sévères. La CNIL pourra, à compter du 25 mai 2018, prononcer des sanctions pécuniaires à hauteur de 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.

Une justice européenne très vigilante quant à la vie privée

La Cour de justice de l’Union européenne (CJUE) accorde une grande importance à la vie privée des citoyens européens. Dans un arrêt du 6 octobre 2015, dit « Schrems », elle a ainsi invalidé la décision n° 2000/520/CE de la Commission européenne qui constatait que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées depuis l’Europe. Cette décision, qui permettait l’application de l’accord « Sphère de Sécurité » (« Safe Harbor ») conclu entre les États-Unis et l’Union européenne, rendait possible le transfert de données personnelles entre entreprises de l’Union européenne et entreprises américaines. L’accord posait un ensemble de principes de protection des données personnelles, auquel les entreprises établies aux États-Unis pouvaient volontairement adhérer afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne.

La Cour de justice a estimé que ce dispositif, qui visait à compenser l’insuffisance de la législation américaine en matière de protection des données personnelles par rapport à la législation européenne, ne présentait pas des garanties suffisantes du fait des ingérences possibles des autorités publiques américaines dans les données personnelles ainsi transmises et qu’il violait les droits garantis par la Charte européenne des droits fondamentaux. À la suite de l’arrêt « Schrems », la Commission a conclu en février 2016 un nouvel accord avec les États-Unis sur le cadre des transferts transatlantiques de données intitulé « Privacy Shield ». Celui-ci se veut plus protecteur, toutefois des interrogations demeurent quant au risque que cet accord soit également invalidé, à terme, par la justice européenne.

La législation et les juges européens tentent donc actuellement de renforcer la protection des citoyens européens. Si le renforcement des règles juridiques est un indéniable progrès, ce n’est pas une fin en soi car se pose bien souvent une difficulté pratique de taille : comment assurer l’effectivité des nouvelles règles, si l’opérateur étranger mis en cause n’est pas physiquement établi sur le territoire de l’UE ? Comment, dans ce cas, effectuer une perquisition, interpeller un dirigeant ou recouvrer une sanction financière ?

Pour lutter contre la désinformation et privilégier les analyses qui décryptent l’actualité, rejoignez le cercle des lecteurs abonnés de UP’

Sensibiliser les internautes

Jusqu’à l’informatisation de nos sociétés, l’oubli était une contrainte de la mémoire humaine. Depuis l’informatisation, l’oubli n’existe plus. Les capacités de la mémoire informatique sont aujourd’hui telles que la durée de conservation d’une information dépasse, de loin, la durée de la vie humaine. Ce « tout savoir » des machines peut ainsi devenir, potentiellement, un véritable livret social virtuel et, pour certains, un passeport pour l’exclusion.

Dans ce contexte, la protection de la vie privée et des données personnelles ne dépend pas uniquement des règles juridiques. Elle passe aussi par des solutions de nature technique, telles que l’utilisation d’outils de navigation sur Internet « privacy by design » (qui permettent de limiter les traces de navigation) ainsi que par la responsabilisation des internautes et l’application de certaines règles de prudence. Désormais, l’enjeu majeur est peut-être d’assurer une meilleure sensibilisation de tous les acteurs, et notamment des utilisateurs, en particulier les plus jeunes. Il s’agit de les encourager à plus de modération dans les informations qu’ils rendent délibérément publiques sur Internet.

Instaurée voici quatre décennies, la réglementation « Informatique et Libertés » visait à protéger les personnes contre le fichage abusif par les administrations ou les entreprises. Aujourd’hui, la question se pose différemment : comment protéger les utilisateurs contre eux-mêmes ?

Guillaume Desgens-Pasanau, Magistrat, Maître de conférences associé au CNAM, Conservatoire national des arts et métiers (CNAM)

La version originale de cet article a été publiée sur The Conversation, partenaire éditorial de UP’

The ConversationQuelque chose à ajouter ? Dites-le en commentaire.

 

S’abonner
Notifier de

0 Commentaires
Les plus anciens
Les plus récents Le plus de votes
Inline Feedbacks
View all comments
Tempête Facebook
Article précédent

Facebook : un monstre devenu incontrôlable ?

Données médicales
Prochain article

Facebook s’apprêtait aussi à récupérer nos données médicales

Derniers articles de Société de l'information

REJOIGNEZ

LE CERCLE DE CEUX QUI VEULENT COMPRENDRE NOTRE EPOQUE DE TRANSITION, REGARDER LE MONDE AVEC LES YEUX OUVERTS. ET AGIR.
logo-UP-menu150

Déjà inscrit ? Je me connecte

Inscrivez-vous et lisez trois articles gratuitement. Recevez aussi notre newsletter pour être informé des dernières infos publiées.

→ Inscrivez-vous gratuitement pour poursuivre votre lecture.

REJOIGNEZ

LE CERCLE DE CEUX QUI VEULENT COMPRENDRE NOTRE EPOQUE DE TRANSITION, REGARDER LE MONDE AVEC LES YEUX OUVERTS ET AGIR

Vous avez bénéficié de 3 articles gratuits pour découvrir UP’.

Profitez d'un accès illimité à nos contenus !

A partir de 1.70 € par semaine seulement.

Profitez d'un accès illimité à nos contenus !

A partir de $1.99 par semaine seulement.
Partagez
Tweetez
Partagez
WhatsApp
Email
Print