RGPD : qu'attendez-vous pour protéger vos données personnelles?

Vendredi matin, la Cnil (Commission nationale de l'informatique et des libertés) s'est réveillée avec des pouvoirs étendus. Quelques entreprises spécialisées dans le traitement des données personnelles se sont préparées à des batailles légales d'ampleur inédite. Les défenseurs de la protection des données sur Internet ont vu leur combat légitimé par une réglementation européenne ambitieuse. Et les citoyens européens se sont réveillés avec une nouvelle salve d'e-mails de mise à jour des conditions d'utilisation de toutes les plateformes numériques avec lesquelles ils ont un jour interagi. Beaucoup ont envoyé aussi sec ces messages dans la poubelle de leur boîte de courrier électronique.

Lire aussi : Aujourd'hui, le RGPD entre en vigueur, mais que se cache-t-il derrière ce sigle barbare?

Si quelqu'un devrait se préoccuper du Règlement général sur la protection des données (RGPD), ce sont pourtant bien les usagers. Entrée en vigueur dans l'Union européenne vendredi, cette législation nous arme contre les dérives du traitement de nos informations personnelles. "Avec le RGPD, on voit bien que les propriétaires des données sont les personnes, et non plus les entreprises qui les recueillent", explique au JDD Nathalie Devillier, qui enseigne le droit à l'Ecole de management de Grenoble et s'intéresse de près aux impacts du numérique sur la vie privée.

Des actions de groupe contre le traitement illicite des données personnelles

Nouveauté de taille : les citoyens peuvent désormais se faire représenter par une association ou organisation à but non lucratif (ONG) lorsqu'ils estiment leurs droits atteints en matière de traitement de leurs données. Ce qui ouvre la voie à des actions de groupe contre les entreprises.

Certains n'ont pas attendu vendredi pour afficher leur ambition de poursuivre les fautifs. La Quadrature du net, qui milite depuis des années pour la reconnaissance des libertés de l'internaute, prépare depuis mi-avril son dépôt collectif de plainte auprès de la CNIL contre les fameux "Gafa" (Google, Amazon, Facebook et Apple, quatuor auquel on ajoute désormais Microsoft).

Le consentement libre et éclairé, enjeu clé du traitement de données personnelles

En cause, une disposition clé du nouveau règlement européen : le "consentement libre et éclairé". Le RGPD invite à évaluer "si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat".

Un alinéa obscur qui, interprété littéralement, permettrait selon la Quadrature du net de déclarer illicite le "chantage au service" opéré par les géants du numérique. En clair, Facebook, WhatsApp, Gmail, etc., n'auraient pas le droit de vous demander d'accepter le traitement de vos données sous peine de devoir renoncer à leurs services. Ils "nous font payer leurs services avec nos libertés", dénoncent les activistes. La "surveillance de masse" de firmes comme Google "est illégale car se basant sur un consentement qui nous a été arraché", écrivent-ils encore. Autre source de critique, la collecte "déloyale" de données, explique Nathalie Devillier : le traitement de tous les indices qu'on laisse inconsciemment à chaque instant sur Internet.

"

Même sans jugement ni sanction, un procès est toujours très mauvais pour l'image de l'entreprise

"

La stratégie de l'action de groupe pourrait se révéler fructueuse selon Nathalie Devillier. En tout cas, bien plus que les amendes - jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires de l'entreprise. "C'est un maximum que l'on n'atteindra jamais, ce n'est pas ça qui risque de faire plier les entreprises. En revanche, elles chercheront toujours à éviter les atteintes à leur réputation - et même sans jugement ni sanction, un procès est toujours très mauvais pour l'image de l'entreprise."

Des démarches de protection des données à l'échelle européenne

L'initiative n'est pas isolée en Europe. L'Autrichien Max Schrems, connu pour ses précédentes actions contre Facebook, vient de fonder l'ONG None of your business ("Pas tes affaires"). Il a déjà déposé quatre plaintes contre des branches des GAFA dans différents pays de l'Union.

A chaque plainte déposée, la Cnil de l'Etat membre en réfère au Comité européen de protection des données. Celui-ci supervise alors les procédures administratives, et garde un oeil sur les éventuelles démarches judiciaires menées en parallèle. Des procès qui ont aussi de quoi inquiéter les entreprises peu regardantes sur les libertés des utilisateurs. "Car contrairement aux amendes, rappelle Nathalie Devillier, les dommages et intérêts ne connaissent pas de plafond…"

Alors pourquoi les citoyens tardent-ils à s'emparer de leurs données personnelles?

"Il y a eu ce compte à rebours du 25 mai, mais je pense que cette journée va vite être oubliée." Nathalie Devillier déplore l'absence de prise de conscience généralisée sur ces enjeux. Elle évoque la mentalité assez répandue du "on n'a rien à cacher". "J'ai l'impression que cette inconscience résulte de la méconnaissance de l'ampleur de la collecte de données, et des risques associés."

"

Est-ce que vous laissez vos fenêtres ouvertes? Les données personnelles, c'est aussi stratégique que cela

"

En cours, elle organise des expériences : comme la loi les y autorise, ses élèves demandent à différentes plateformes de quelles informations elles disposent sur eux. "Une élève me racontait : Google m'a dit que je me suis baladée ici et là, alors que je ne connaissais pas moi-même le nom de ces endroits." Une autre a découvert que Facebook avait conservé des contacts dont elle-même ne disposait plus, ayant changé de téléphone.

"Est-ce que vous laissez n'importe qui s'occuper de votre enfant? Non, mais pourtant dès qu'il saura lire et écrire, il se retrouvera entre les mains de Facebook. Est-ce que vous laissez votre voiture ouverte, vos fenêtres? Les données personnelles, c'est aussi important et stratégique que cela."