Depuis plusieurs semaines, pour les internautes chaque jour est marqué par un nouveau mail d’une société l’informant que ses conditions générales d’utilisation ont changé. Ces changements sont dus au nouveau règlement général de protection des données (RGPD).
Un règlement européen
Adopté en 2016 par le Parlement européen, ce nouveau règlement relève sensiblement la protection des donnés personnelles dans beaucoup de pays européens. La France était déjà dotée d’une législation relativement protectrice, mais les internautes français vont tout de même noter quelques changements.
La directive européenne a été transcrite cette année en droit français. Les débats parlementaires, encore une fois marqués du sceau de la procédure accélérée, n’ont pas passionné les foules. Pourtant les échanges ont été vifs et ont fait apparaître des divergences entre le Sénat et l’Assemblée. Le premier souhaitait notamment l’obtention d’un délai supplémentaire pour les collectivités territoriales.
Une protection renforcée
Une “majorité numérique” est instauré, par défaut à partir de 16 ans, âge que les États membres peuvent baisser [regarder pour la France]. Certaines données ne pourront pas être recueillies en dessous de cet âge sans obtenir le consentement des parents. Outre les aspects techniques sur la vérification de ce consentement parental, Facebook a déjà annoncé qu’il se contenterait de proposer une version de son réseau social sans prise en compte de ces données.
Les conditions d’utilisations et le recueil du consentement aux traitements des données personnelles devront être plus claires. Plus précisément le règlement prévoit que l’information et le recueil du consentement soient :
“Sous une forme compréhensible et aisément accessible et formulée en des termes clairs et simple”
C’est notamment pour répondre à ces exigences nouvelles que beaucoup d’entreprises mettent à jour les conditions d’utilisation de leur produit, et redemandent des consentements à l’utilisation des données déjà obtenues.
Il faut noter qu’un droit au transfert des données est également mis en place par le règlement, ainsi il sera possible de changer d’opérateur mail en obtenant le transfert automatique de tous ses mails.
Un règlement qui se veut effectif
Les plus grands acteurs de l’économie de la collecte de données personnelles sont américains. Ces derniers arguaient régulièrement que le siège de leur entreprise n’étant pas dans l’Union européenne, ils n’étaient pas soumis à ses règlements. Cette fois, les devants ont été pris, le règlement prévoit explicitement s’appliquer à toute collecte de données réalisée au sein de l’UE, peu importe où est situé le siège de l’entreprise.
La possibilité de porter collectivement un préjudice en justice en cas de non respect du règlement est également prévu. Un moyen d’envisager que des poursuites judiciaires puissent réellement être engagées contre les géants du web.
Le montant des amendes encourues se veut également dissuasif. De minimum 20 millions d’euros, elles peuvent monter à 4% du chiffre d’affaire mondial. De quoi faire peur même à Google, Facebook et consorts. Des amendes qui font également très peur à beaucoup d’entreprises de taille nettement plus modeste dont le fond de commerce n’est pas nécessairement le traitement de ces données.
Un bouleversement économique
Sur le plan économique, ce nouveau règlement inquiète par son effectivité nouvelle. De nombreuses entreprises ne sont pas en règle avec la législation actuelle sans s’en inquiéter particulièrement devant le peu de risque et le faible montant des sanctions. La portée nouvelle de la protection des données impose d’importants investissements.
Pour les plus gros groupes, ces investissements sont largement supportables et ont été généralement anticipés. Pas de problème non plus pour ceux dont c’est le cœur de métier, même si certains le font à contrecœur. Ainsi Facebook proposera des paramètres spécifiques aux utilisateurs de l’Union européenne de son réseau, preuve que ce règlement vient heurter son modèle économique.
Pour des entreprises plus petites dont ce n’est pas le cœur de métier, ce règlement n’a souvent pas été anticipé et les investissements nécessaires sont faits en catastrophe. Pire, le règlement imposant de sécuriser et de veiller dans le temps au respect de ces données, ce sont des dépenses de long terme qu’il faut envisager. La collecte de données personnelles est ainsi nettement plus coûteuse.
Un métier est même en plein développement, le DPO, acronyme anglais pour Data privacy officer ou data protection officer trouve désormais sa place dans la plupart des grands groupes et même des groupes plus petits. Ce dernier généralement issu d’une formation juridique est chargé de veiller au respect des règles de protection des données dans les pratiques de l’entreprise.
Les données personnelles sont-elles uniquement personnelles ?
Si la protection de l’utilisation des données personnelles par des grands acteurs capitalistes n’est pas un mal, l’approche utilisée par l’Union européenne est sans surprise très libérale. L’utilisateur est finalement mis seul face aux entreprises dans son choix de transmission des données. Les données sont uniquement perçues comme appartenant individuellement à l’utilisateur.
Pourtant il est possible d’envisager des utilisations larges, groupées et anonymisées de ces données. Ces usages dont sont friands les grands groupes capitalistes, se trouvent ainsi de fait privatisés alors qu’ils pourraient intéresser l’intérêt général. Que ce soit pour observer les flux de déplacement dans un aire urbaine, bénéficier d’une lecture précise et fine de la consommation électrique, etc.
Autant d’usages d’intérêt général dont ce règlement aurait pu être l’occasion de leur consacrer le caractère de biens communs. En se bornant à ne voir dans la collecte de données uniquement une relation commerciale trop inégale, les législateurs européens et français ont manqué une fois l’occasion de faire coïncider progrès technique et progrès social.
