Vie privée : ce qu'il faut savoir derrière l'avalanche de mails de conditions d'utilisation

Si vous êtes inscrit sur un service en ligne, que ce soit un réseau social, un site marchand, un média, vous avez certainement déjà reçu un ou plusieurs courriels vous parlant du respect de votre vie privée et vous priant d'accepter de nouvelles conditions d'utilisation de vos données ces dernières semaines.

Et pour cause. Les entreprises numériques sont tenues de se mettre en conformité avec le RGPD, le règlement général de protection des données personnelles, qui entre en vigueur ce vendredi dans les pays membres de l'Union européenne.

Globalement, les géants du web se sont facilement mis en conformité avec le RGPD, et Facebook a même annoncé jeudi qu'il proposerait à ses 2 milliards d'utilisateurs dans le monde des outils de contrôle de la vie privée inspirés de la législation européenne.

De quoi parle-t-on ?

Le RGPD renforce les droits des citoyens européens à s'informer de l'utilisation qui est faite de leurs données personnelles sur internet. La directive, qui a été votée il y a deux ans maintenant, arrive à point nommé alors que Mark Zuckerberg, le patron de Facebook, effectue une tournée mondiale de contrition après le récent scandale d'exploitation abusive des données des utilisateurs du réseau social.

La législation impose à toute entreprise, sur internet ou non, de demander un "consentement explicite et positif" pour utiliser des données personnelles collectées ou traitées dans l'UE. Elle donne aussi aux citoyens le "droit de savoir" quand leurs données sont piratées, comme lors de la fuite massive subie par la société Uber en 2016.

Quelles obligations pour les entreprises ?

Désormais, les entreprises doivent informer les citoyens, de façon simple et accessible, de l'utilisation qui sera faite des données personnelles mises à disposition, de la durée de conservation des données et de s'il est prévu que ces informations circulent en dehors de l'Union européenne (où elles ne seraient plus soumises au RGPD).

Les utilisateurs doivent par ailleurs pouvoir accéder à leurs données personnelles facilement, en demandant une copie de celles-ci, avec la possibilité de corriger ou supprimer dans les plus brefs délais les éléments détenus, en cas de préjudice potentiel pour la personne concernée.

Par ailleurs, les entreprises doivent prévoir une procédure pour supprimer les données dès lors qu'un utilisateur révoque son consentement à l'usage de ces dernières.

Enfin, les entreprises et les organismes doivent permettre le transfert des données entre entreprises concurrentes. Par exemple, il doit être possible de changer de fournisseur d'adresse électronique sans perdre son courriel passé grâce à la "portabilité des données". Mais cela peut également concerner le fournisseur d'électricité ou une banque par exemple. L'entreprise dont l'utilisateur se sépare doit pouvoir transférer les données à la nouvelle entreprise prestataire ou, à défaut, remettre l'ensemble des données à l'utilisateur dans un format de fichier qui permette de l'intégrer à un autre système.

L'objectif est de "limiter la quantité de données traitées dès le départ". Cela implique pour les entreprises de bien déterminer les données dont elles ont réellement besoin, et comment les protéger. Elles devront les mettre à jour régulièrement, mais aussi informer les clients ou sous-traitants des données récoltées et dans quel but, ainsi que de tous les outils nécessaires à la garantie de leurs droits. 

Les entreprises devront aussi définir qui a la charge des fichiers de données et définir qui y a accès en leur sein ; et il leur faudra mettre en place toutes les mesures nécessaires de protection, en particulier des données sensibles.

Que faire en cas d'abus ?

Le RGPD veut mettre en place plusieurs garde-fous, afin d'éviter les dérives. Il est notamment possible de se tourner vers la Commission nationale de l'informatique et des libertés (Cnil) en France, ou de ses équivalents dans chaque pays d'Europe, en cas de non respect de ces droits. Charge ensuite à l'institution de transmettre à celle du pays de résidence de l'entreprise ou l'organisme problématique. Et en cas de divergence, la décision finale sera prise par le "G28", le regroupement des "Cnil" européennes, s'imposant à tous les pays européens.

Par ailleurs, le droit à l'oubli, qui permet le déréférencement, lors d'une recherche sur internet, de contenus portant préjudices à une personne, reste de mise. Cependant, la liberté d'expression ou d'informer conserve en théorie toujours son avantage dès lors que l'intérêt public prévaut.

De plus, et ce dispositif pourrait bien être utilisé alors que le gouvernement éprouve en ce moment la première année de fonctionnement de son nouveau système post-bac, Parcoursup, le RGPD offre le droit aux utilisateurs de contester une décision prise par un algorithme et de demander une intervention humaine pour réévaluer cette dernière.

Quelles sont les sanctions éventuelles ?

L'application des sanctions reste encore floue, mais les entreprises qui ne respecteraient pas les règles imposées par le RGPD risquent des sanctions relativement lourdes, assez équilibrées par ailleurs au regard de la mine d'or que constituent les données personnelles revendues à des fins publicitaires. La loi prévoit des amendes pouvant aller jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires mondial.

Les entreprises ne sont pas toutes concernées au même niveau, selon le type de données qu'elles collectent, l'usage qu'elles en font ou, tout simplement, leur taille. Pour l'essentiel des petites et moyennes sociétés, il s'agit avant tout de protéger leur fichier clients ou fournisseurs, des "règles de bon sens", comme l'a répété la Cnil, plus que des obligations lourdes. Le RGPD concerne en revanche toutes les entreprises travaillant dans un ou plusieurs pays européens, qu'elles soient européennes ou non.  Comme pour les internautes, elles ont des possibilités de recours auprès des Cnil.