Le RGPD est officiellement en vigueur, et c'est le grand flou

Le Règlement général sur la protection des données (RGPD) est officiellement entré en application le vendredi 25 mai. La panique est générale car les entreprises, dans leur immense majorité, ne sont toujours pas prêtes et craignent les éventuelles sanctions financières. Mais si le corpus politique se réjouit de son arrivée, l'efficacité du RGPD pour encadrer les pratiques des entreprises et redonner du contrôle aux citoyens sur leurs données, reste à prouver.
Sylvain Rolland
Le Règlement général sur la protection des données (RGPD) est officiellement entré en application le vendredi 25 mai.
Le Règlement général sur la protection des données (RGPD) est officiellement entré en application le vendredi 25 mai. (Crédits : DR)

Ce vendredi 25 mai, les utilisateurs du réseau social Twitter, en arrivant sur le site, ont eu une petite surprise : en lieu en place de leur fil d'actualités s'affichait un message les informant de la modification des conditions d'utilisation et de la politique de confidentialité, pour "préserver votre confiance en protégeant votre vie privée".

Il était temps : Twitter, comme beaucoup d'autres, a attendu le tout dernier moment pour se mettre en conformité RGPD avec ses utilisateurs. Et pour cause : le fameux Règlement général sur la protection des données, voté en mai 2016 par le Parlement européen, entre officiellement en vigueur aujourd'hui. Il définit de nouvelles règles communes qui renforcent la protection des données personnelles des citoyens, ainsi que les obligations des professionnels et des entreprises.

---------------

Retrouvez le dossier RGPD de La Tribune :

---------------

Services très populaires comme Google, Facebook ou Twitter : un assentiment consenti ou extorqué ?

Concrètement, les utilisateurs doivent être clairement informés de comment leurs données personnelles sont utilisées par toutes les entreprises ou administrations qui en détiennent sur eux, et donner leur "consentement explicite". Bien sûr, au-delà d'expliquer sa politique de gestion des données, l'entreprise ne peut pas en faire n'importe quoi : elle s'engage à les utiliser à des fins précises, légitimes et justifiées, et encadrées par le RGPD, notamment pour améliorer le service. Et dans le cas où elle les transmettrait à des tiers (pour de la publicité ciblée par exemple), elle doit respecter des procédures de sécurité et savoir expliquer à qui et pourquoi elle transmet les données. L'utilisateur est aussi censé pourvoir accepter ou refuser ce type de pratiques.

Dans le cas de Twitter, si l'utilisateur prend la peine de lire les nouvelles conditions générales, la nouvelle politique de confidentialité et le long -mais très intéressant- texte sur son utilisation des cookies, deux options s'offrent à lui : "accepter et continuer" ou "refuser". Et en cas de refus ? Impossible de continuer d'utiliser le service. Autrement dit: soit l'utilisateur accepte tout d'un bloc -et des études montrent que seule une infime minorité lit les conditions d'utilisation, et que personne ne va au bout-, soit il doit carrément se désinscrire.

Or, il a également été démontré que le bénéfice d'usage l'emporte sur les craintes liées à la vie privée ou à l'utilisation des données, surtout lorsqu'il s'agit de services extrêmement pratiques -comme Google- et massivement populaires -comme Facebook. C'est le "privacy paradox" : si la confiance dans les géants du Net se cesse de s'éroder, ils deviennent tout de même de plus en plus hégémoniques. Facebook s'attend bien à ce que le RGPD fasse stagner ou légèrement baisser son nombre d'utilisateurs en Europe, mais il peut se rassurer : le scandale Cambridge Analytica -pourtant gravissime- s'est traduit par un nombre de désinscriptions minime et ne l'a pas empêché de réaliser le meilleur profit de son histoire. Autrement dit : pour les entreprises qui détiennent le plus de données sur nos vies, comme les GAFA (Google, Apple, Facebook, Amazon) et les géants du Net américains en général, le RGPD n'est pas vraiment un problème, même s'il les oblige à faire preuve de davantage de transparence. Elles ont aussi largement les moyens de s'y adapter.

Les entreprises françaises pas prêtes du tout

En revanche, c'est une autre histoire pour les PME et les TPE. D'après les différentes études publiées ces derniers jours, seulement 20% à 30% des entreprises françaises seraient en situation de conformité ou de quasi-conformité. Les chiffres dégringolent pour les TPE et les PME qui n'évoluent pas dans le secteur numérique mais qui détiennent tout de même des données personnelles sur leurs clients. Pourtant, le règlement a été voté en mai 2016 : les entreprises avaient donc deux ans pour s'y préparer, mais la complexité de la tâche, le manque de culture de la data en France, et les coûts engendrés pour la mise en conformité ont fait office de repoussoir.

Lire aussi : Protection des données : le chaotique business de la conformité RGPD

Dans ce contexte, le 25 mai 2018 ne marque donc pas l'entrée dans une nouvelle ère où les entreprises sont toutes devenus "data-responsables" et où les citoyens sont désormais devenus les maîtres éclairés des données qu'ils disséminent un peu partout. Surtout que la Commission nationale Informatique et Libertés (CNIL), le régulateur, a annoncé qu'elle fera preuve de "compréhension" et de "patience", arguant que son but n'est non pas d'afficher un "catalogue de sanctions", mais de "diffuser la culture de la protection des données dans les entreprises" pour en faire un "avantage concurrentiel". Tout en prévenant que "les abus manifestes seront directement sanctionnés".

Lire aussi : Isabelle Falque-Pierrotin (Cnil) : "Le RGPD remet les acteurs européens et internationaux à égalité de concurrence"

L'arme des sanctions financières en cas de manquement au règlement -jusqu'à 4% du chiffre d'affaires mondial d'une entreprise- est donc à double tranchant. D'un côté les sanctions sont suffisamment dissuasives pour terrifier les entreprises et pousser un nombre de plus en plus important d'entre elles -bien qu'insuffisant- à se mettre en conformité. De l'autre côté, le RGPD est d'une ampleur telle -il concerne grosso modo toutes les entreprises et pas seulement en Europe- que les régulateurs débordés n'ont en fait pas les moyens humains de vérifier et de sanctionner vite en cas de manquement -sauf signalement ou abus grave.

Il faudra en outre surveiller les initiatives pour réduire la portée du RGPD, notamment le Cloud Act américain, voté en mai, qui vise à faciliter l'obtention pour l'administration américaine de données stockées ou transitant à l'étranger, sans en informer l'utilisateur, y compris en Europe malgré le RGPD.

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 12
à écrit le 13/08/2018 à 16:21
Signaler
vu ce que viennent de nous faire nos LREM avec leurs fichiers politiques il est évident que non seulement c'est le flou mais si ceux qui sont censés nous l'imposer ne le respectent pas c'est du grand n'importe quoi !

à écrit le 28/05/2018 à 1:46
Signaler
Je lis en ce moment de plus en plus de commentaires et d'articles visant àlimiter la portée de la RGPD. Le but n'est pas de "réduire" la portée du RGPD mais au contraire de la soutenir via la mise en place de pouvoirs accrus pour les CNIL avec des bu...

à écrit le 26/05/2018 à 19:51
Signaler
L'art de causer des problèmes au lieu d'offrir des solutions! Mais cela génère du fric!

à écrit le 26/05/2018 à 12:28
Signaler
Je lis en ce moment de plus en plus de commentaires et d'articles visant àlimiter la portée de la RGPD. Le but n'est pas de "réduire" la portée du RGPD mais au contraire de la soutenir via la mise en place de pouvoirs accrus pour les CNIL avec des bu...

à écrit le 26/05/2018 à 12:28
Signaler
Je lis en ce moment de plus en plus de commentaires et d'articles visant àlimiter la portée de la RGPD. Le but n'est pas de "réduire" la portée du RGPD mais au contraire de la soutenir via la mise en place de pouvoirs accrus pour les CNIL avec des bu...

à écrit le 26/05/2018 à 9:06
Signaler
Une usine à gaz qui ne change rien, les assentiments sont extorqués ou consentis par défaut puisque parfois, dans une langue (anglais) pas toujours comprise dans la subtilité du jargon juridique. Bref, désinscription reste la seule solution ce qui n'...

à écrit le 25/05/2018 à 22:27
Signaler
Les gafa se gavent en vendant les données sans consentement et les "autorités" installent le contrôle des petits. Toujours aussi bons à ne pas défendre l'intérêt des peuples ces gouvernants. Vivement les élections.

à écrit le 25/05/2018 à 17:45
Signaler
Le retard dans la préparation des entreprises vient plutôt du manque d'animation et de pilotage que de la complexité... Un chantier correctement animé aurait du partir dès 2016 avec un pilote dans l'avion. Nous avons réussi à introduire l'Euro dans l...

à écrit le 25/05/2018 à 16:36
Signaler
LA PUISSANCE DE L'ESPRIT Ils peuvent épouser les droits de leurs citoyens. Ils peuvent les priver d'avoir accès à la vie. Mais vous ne pouvez pas punir votre droit d'utiliser votre esprit. Grâce à votre esprit, vous donnerez vie aux idées qui von...

à écrit le 25/05/2018 à 16:21
Signaler
Le but n'est pas de "réduire" la portée du RGPD mais au contraire de la soutenir via lamise en place de pouvoirs accrus pour les CNIL avec des budgets cohérents ainsi que des relais régionaux et départementaux afin de décentraliser la gestion de la f...

à écrit le 25/05/2018 à 15:51
Signaler
Comme si l'UE allait sanctionner toutes les entreprises pas encore aux normes d'un coup. Et comme si elle en avait le temps et les moyens. Les contrôles mettront des mois, voire des années à se mettre en place.

à écrit le 25/05/2018 à 15:39
Signaler
Et contre nos officiers de la DGSE qui piquent nos données pour les revendre aux chinois la RGDP a prévu un truc ? https://www.latribune.fr/depeches/reuters/KCN1IQ1US/dgse-tension-avec-pekin-on-peut-avoir-un-dialogue-franc.html Incroyable et ...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.