Check Point: le Règlement Général de Protection des Données sera-t-il prêt et efficace le 25 mai 2018?

Quelles données, comment les utiliser et les sécuriser

Ce règlement européen doit obliger les entreprises et les institutions à révéler quelles données personnelles elles collectent, comment elles sont utilisées et de quelle manière elles sont sécurisées. Et surtout, cette législation s’imposera à toutes les entreprises, PME et multinationales, y compris à celles qui sont basées en dehors de l’Union. Le seul critère est qu’elles s’adressent à des clients européens.

Le double but de ce règlement est d’empêcher le traitement abusif des données personnelles des internautes, et d’harmoniser le traitement des données au sein de l’Union.

Le Règlement garantit une série de droits aux citoyens européens

La liste des protections prévues par le RGPD est longue

- Un simple clic ne suffira plus pour permettre à une entreprise (site ou service en ligne) d’utiliser nos données personnelles. L’accord devra être consenti "par écrit et de manière explicite". Par exemple, un consentement accordé sous la menace de ne pas pouvoir accéder à un service (un site internet) n'est pas valide.

-Un accord parental est requis pour inscrire un jeune sur un réseau social. Chaque Etat peut déterminer cette limite entre 13 ans à 16 ans.

-Le droit à l’oubli garantit à l’internaute d’obtenir l’effacement de données personnelles en cas d’atteinte à la vie privée. Les données qui le concernent doivent être transférées sur demande dans un délai de 25 jours.

- La portabilité des données signifie que pour changer de réseau social, de fournisseur d’accès internet ou de site de streaming, le passage devra se faire sans perte d’informations.

-...

-L’internaute aura le droit d’être informé en cas de piratage des données d’une entreprise.

-Les internautes pourront être défendus par les associations dans le cadre d’une action de groupe (class action) en vue de faire cesser la partie illicite d’un traitement de données.

-Le profilage par internet est interdit. Tout individu "a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé". Sauf exception.

-Et en cas de problème, tout internaute peut s’adresser directement à l’organisme national chargé du contrôle des télécoms (la Cnil en France ou l’IBPT en Belgique). C’est lui qui se chargera de transmettre la réclamation à l’autorité de protection des données du pays dans lequel l’entreprise a son établissement principal.

Les imperfections du système

D’abord, les Gafa (Google, Apple, Facebook, Amazon) contournent la législation. Selon Audrey Chabal, journaliste à Forbes, le RGPD va paradoxalement favoriser les gros opérateurs. Alors que le règlement réduit l’usage des cookies, les géants du net sont déjà passés à l’étape supérieure en utilisant les ID (identifiants) des internautes. Car contrairement au cookie qui est lié à un navigateur, l’identifiant est lié à un utilisateur. Ce qui rend le pistage des données plus précis. Au risque d’entraîner un déséquilibre au détriment des entreprises plus petites, obligées d’utiliser les cookies et donc de prendre du retard par rapport aux géants mondiaux.

Un autre déséquilibre pourrait intervenir en faveur des grands acteurs internationaux qui fournissent des services gratuits aux consommateurs. Mohamed Messaoudi, directeur du pôle Data Management chez Publicis ETO explique que Facebook ou Google auront beaucoup moins de difficultés à obtenir le consentement "explicite et éclairé" des internautes pour l’utilisation de leurs données qu’un site de vente. Simplement parce qu’un consommateur accepte qu’un service en ligne gratuit (réseaux social, site de recommandation,…) soit rémunéré sous forme de données personnelles. Ce qui sera beaucoup plus difficile à obtenir par un site de e-commerce qui est déjà rémunérés financièrement lors des achats.

Au final, le RGPD pourrait donc renforcer l’hégémonie des GAFA sur le marché publicitaire. Ce qui n’est évidemment pas le but. Pour que l’équilibrage se fasse, il faudrait que Google rémunère chaque internaute lors de l’exploitation de ses données, estime Mohamed Messaoudi.. Mais on est aujourd’hui loin du compte.

Les entreprises européennes en retard sur le calendrier

Un autre maillon faible du RGPD est l’impréparation des entreprises européennes. Deux études récentes les mettent en garde.

La première, a été réalisée par Senzing (entreprise logicielle) dans 5 pays européens (Royaume-Uni, France, Allemagne, Espagne et Italie).  Il en ressort que 27% des entreprises françaises "ne sont pas certaines" de savoir où sont stockées toutes leurs données. Par ailleurs, 60% des entreprises de l’Union Européenne seraient "à risques" ou "en difficulté" d’être prêtes pour le 25 mai.

Une surcharge de travail conséquente

Selon Senzing, chaque entreprise recevra mensuellement de ses clients, une moyenne de 89 demandes liées au RGPD et devra recourir à 23 bases de données. Chaque requête devrait prendre 5 minutes. Pour les grandes entreprises, cette charge de travail représenterait 7,5 employés plein temps.

Même constat en Belgique où, une enquête réalisée en février dernier par Data News et Iris montrent que les entreprises sont loin d’être prêtes. Seuls 5,5% d’entre elles -parmi les plus grosses- se disent déjà conformes. A l’opposé, plus de 9% des entreprises disent ne pas savoir de quoi il s’agit ou ne pas savoir où elles en sont dans le processus. Parmi les chiffres inquiétants: près de 19% précisent devoir encore commencer la mise en œuvre de mesures concrètes. 7,5 % prétendent même que leur entreprise n’est pas concernée par ce règlement. Plus de 30% des entreprises pensent qu’elles ne seront pas prêtes dans les délais.

L’exemple de Google Play Store

Une autre étude (SafeDK) vient illustrer ce retard inquiétant des entreprises. En décembre 2017, plus de la moitié des applications sur Play Store (le magasin en ligne de Google) n’étaient pas encore conformes au RGPD. Et 5 mois avant l’entrée en vigueur du Règlement, 56 % des applications tentaient encore d'accéder à la géolocalisation de l'utilisateur. Deux applis sur cinq tentaient d’obtenir la liste des applications installées et près d’un tiers cherchaient à obtenir la liste des contacts de l’utilisateur. Autant de techniques qui seront interdites le 25 mai.

Les législations des Etats membres: gare aux retards

Mais les Etats membres de l’union semblent eux aussi à la traîne. En une phrase, La Commission invite les pays membres à mettre en conformité leur législation nationale avec le GPRD. Avant le 25 mai.

Mais à ce jour, trois pays membres de l'Union européenne sont bien préparés à l'introduction du GDPR. Seules l'Autriche, l'Allemagne et la Slovaquie ont mis au point une législation nationale adaptée à la nouvelle loi européenne. Or, exceptionnellement, les Etats ont eu deux ans pour adapter leurs les loi existantes et être prêts pour le 25 mai.

Un document de la Commission (ci-dessous) montre que la plupart des autres pays avancent à marche forcée pour tenter de respecter les délais. Mais certains sont encore loin du compte.

Règlement "EPRIVACY": la confusion?

La confusion semble aussi régner sur un autre règlement baptisé "Eprivacy". Une législation censée préciser le RGPD pour les services télécom tels que Whatsapp, Skype, Viber, etc.

Ce règlement doit définir les cas où le consentement de l’internaute n'est pas obligatoire. Par exemple pour l’historique d’une carte de fidélité. Et les entreprises qui pratiquent l’appel téléphonique devront s’identifier par un préfixe affiché sur l’écran du téléphone appelé.

A l’inverse, le texte pourrait autoriser les entreprises à géolocaliser leurs clients présents dans certains lieux comme des boutiques, sans autorisation préalable, ce que n’apprécie pas les associations de défense des libertés individuelles européennes, comme la Quadrature du Net.

Selon ce règlement parallèle, le consommateur ne déciderait qu'une seule fois s'il accepte les "cookies" d'un site et non plus pour chacun des sites séparément. Une faculté qui effraie les médias du web qui utilisent ces données pour adapter le contenu aux demandes des lecteurs.

Tout cela a eu pour conséquence, ce mois de mars 2018, de provoquer la levée de boucliers d’une cinquantaine d'entreprises européennes, bientôt rejointes par les associations de défense des droits des citoyens sur internet. 

Le Parlement européen a adopté une position en faveur de ce nouveau règlement mais les gouvernements de l'Union européenne doivent encore discuter de ces textes et se prononcer pour ou contre. ePrivacy, ce n'est donc pas pour demain.

Il reste les sanctions

La peur du gendarme permettra-t-elle d’accélérer la mise en place de la défense des consommateurs? Les récentes enquêtes menées auprès des entreprises laissent planer le doute. Le montant des amendes sera pourtant élevé: jusqu’à 20 millions d'euros ou 4 pour cent du chiffre d'affaires mondial des entreprises concernées. Avec un contrôle effectué par des vérificateurs de confidentialité nationaux.

Dès lors, lorsque la Commission européenne promet que nous assisterons, le 25 mai au "changement le plus important en matière de confidentialité des données depuis 20 ans", ce n'est qu'en partie vrai.

Dans le cadre de l'émission Europe Hebdo diffusée chaque dimanche à 23h25 sur La Trois, la RTBF vous propose une séquence de "fact checking" – autrement dit, de vérification par les faits – en partenariat avec les chaînes françaises LCP et Public Sénat, et avec le soutien du Parlement européen. Chaque semaine, une déclaration ou une idée reçue passera l'épreuve du "Check Point".

Pour retrouver tous les épisodes de Check Point, cliquez ici.