Depuis aujourd’hui, 25 mai 2018, le traitement des données personnelles est soumis au règlement n°2016/679, dit « règlement général sur la protection des données » (RGPD). Ce nouveau texte de loi, qui s’applique de façon homogène dans tous les pays de l’Union européenne, est vu par tous les acteurs comme une révolution copernicienne dans le domaine. Il renforce de manière considérable les droits des citoyens qui transmettent leurs données. Et il alourdit, par contrecoup, la responsabilité et le risque juridique pour toutes les entreprises et organisations qui réceptionnent et traitent ces données, qu’elles soient établies ou non dans l’Union européenne.
Ainsi, le RGPD contraint les organisations à donner aux individus davantage de contrôle et de transparence sur le traitement de leurs données. Elles doivent recueillir un consentement explicite de l’utilisateur – ou de ses parents s’il a moins de 16 ans – et préciser quelles données sont traitées et dans quel but. En particulier, elles doivent indiquer si ces traitements sont automatisés et constituent un profilage. Elles doivent permettre aux personnes d’accéder à ces données, de les rectifier et de les effacer. Le RGPD confère également un droit à la portabilité des données, c’est-à-dire de pouvoir les récupérer sous un « format structuré, couramment utilisé et lisible par machine », et de pouvoir les transmettre à une autre organisation « lorsque cela est techniquement possible ».
En cas de problème, l’utilisateur peut s’adresser à l’autorité de protection des données de son pays, quel que soit le lieu d’implantation de l’organisation qui traite les données. Pour défendre son droit vis-à-vis des géants du Net, il pourra donc désormais se tourner directement vers la CNIL, plutôt que de contacter son homologue irlandais. En cas de violation des droits, l’organisation responsable encourt une sanction pouvant s’élever à 4 % de son chiffre d’affaires mondial, ce qui est plutôt dissuasif.
Autre nouveauté potentiellement explosive : les utilisateurs pourront désormais lancer des actions de groupe pour défendre leurs droits et demander réparation pour l’éventuel préjudice subi. Plusieurs associations collectent d’ores et déjà des plaintes pour se mettre en ordre de marche. Ainsi, la Quadrature du net lance dès aujourd’hui cinq actions de groupe visant Google, Apple, Facebook, Amazon et Microsoft. Pour rejoindre les différentes procédures, il suffit de s’inscrire sur le site de l’association et lui donner un mandat de représentation. Les reproches sont multiples : surveillance de masse chez Google, tracking par méga-cookie chez Apple, consentement forcé chez Facebook, utilisation illégale de conservations privées chez Microsoft pour entraîner Cortana, etc.
Il faut préciser que ces procédures sont purement administratives et seront initiées auprès de la CNIL. Toutefois, l’association prévient que « si au 3 septembre elle n’a encore entamé aucune démarche, nous porterons nos actions devant l’autorité judiciaire, civile ou pénale ».
L’association Internet Society France, de son côté, ne compte pas passer par la case CNIL. Elle prévoit d’aller directement en justice et de lancer une action de groupe dès le 26 mai dans un but indemnitaire, sous la bannière « e-Bastille ». « Nous sommes en train de collecter les plaintes qui seront ensuite validées par un organe central. Nous prévoyons d’engager la procédure judiciaire à la rentrée », explique Maître Olivier Iteanu, avocat et membre du « Comité du Salut Numérique » qui est responsable de cette initiative. Parmi les pistes envisagées figurent la surveillance, le profilage et le croisement de fichiers.
Max Schrems, l’Autrichien qui a fait annuler l’accord américano-européen de partage de données Safe Harbor, s’est également lancé dans la défense des données personnelles avec la création de l’association « Noyb » (ce qui veut dire « None Of Your Business », que l’on pourrait traduire par « cela ne te regarde pas »). Cette structure a pour objectif de faire appliquer la loi européenne, le cas échéant en allant au tribunal et au travers d’actions de groupe. La création de Noyb s’est fait par un financement participatif à hauteur de plus de 340.000 euros. Toutefois, Noyb ne compte pas faire d’action en solitaire mais veut tisser des liens en Europe avec les associations de consommateurs, les universités et les hackers. Schrems veut également créer un réseau de juristes européens capable d’aider les citoyens et les associations dans leurs démarches.
Le fait que toutes ces associations fourbissent leurs armes est non seulement rassurant, mais aussi cruellement nécessaire. Sans elles, il est probable que le déséquilibre entre les géants du net et les utilisateurs ne se résorbera jamais, même avec une loi contraignante comme le RGPD. « Sur le papier, ce texte est une avancée, mais il faudra que cela se confirme dans la pratique. Certes, la CNIL va jouer son rôle et procéder à des contrôles, mais ses moyens sont limités. Elle ne peut pas, à elle seule, faire bouger les grands acteurs. Il faut créer de réels contre-pouvoirs sous la forme de puissantes associations de consommateurs », estime Caroline Lancelot-Miltgen, responsable Recherche du Département Marketing de l’école de commerce nantaise Audencia.
D’après cette enseignante-chercheuse, les grands acteurs du net ne comptent d’ailleurs faire aucun cadeau à leurs utilisateurs et adoptent une position minimaliste face à la loi. « Ils ont modifié leurs conditions d’utilisation, mais les textes sont toujours aussi imbuvables et personne ne les lit. Ce ne sont pas des textes pour informer les utilisateurs. Ils ont été faits par une armée de juristes pour protéger les entreprises. Il est dommage que cela n’aille pas plus loin », poursuit Caroline Lancelot-Miltgen pour qui, par ailleurs, le consentement n’est pas si libre que cela. « Certes, on peut refuser de donner son consentement à Facebook, mais quelle est l’alternative pour les utilisateurs? Vers quel service équivalent peuvent-ils réellement se tourner? », souligne-t-elle.
L’une des échappatoires juridiques que les entreprises vont être tentées d’utiliser est la clause de l’intérêt légitime. En effet, et contrairement à ce que l’on peut penser, le consentement n’est pas toujours obligatoire pour traiter des données personnelles. Le RGPD prévoit cinq autres situations licites (article 6) : l’exécution d’un contrat, l’obligation légale, la sauvegarde des intérêts vitaux de la personne, l’exécution d’une mission d’intérêt publique et… les intérêts légitimes de l’entreprise. Plutôt que de demander un consentement sur un type de données, un acteur pourrait être tenté de le faire entrer dans cette catégorie, par exemple en arguant d’une nécessité pour bien faire fonctionner son service en ligne. Selon Max Schrems, cette stratégie aurait été adoptée par Google, Facebook et Microsoft au niveau de leurs nouvelles conditions d’utilisation.
https://twitter.com/maxschrems/status/995201681959931905
A ce jour, il est évidemment impossible de savoir si les nouvelles conditions d’utilisation respectent la loi européenne. Seule la jurisprudence permettra d’y voir plus clair, ce qui suppose d’aller au front judiciaire. A priori, nous aurons donc de belles batailles en perspective.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.