2. Technos & Medias

Le RGPD est officiellement en vigueur, et c'est le grand flou

Par Sylvain Rolland  |   |  1083  mots
Le Règlement général sur la protection des données (RGPD) est officiellement entré en application le vendredi 25 mai. (Crédits : DR)
Le Règlement général sur la protection des données (RGPD) est officiellement entré en application le vendredi 25 mai. La panique est générale car les entreprises, dans leur immense majorité, ne sont toujours pas prêtes et craignent les éventuelles sanctions financières. Mais si le corpus politique se réjouit de son arrivée, l'efficacité du RGPD pour encadrer les pratiques des entreprises et redonner du contrôle aux citoyens sur leurs données, reste à prouver.

Ce vendredi 25 mai, les utilisateurs du réseau social Twitter, en arrivant sur le site, ont eu une petite surprise : en lieu en place de leur fil d'actualités s'affichait un message les informant de la modification des conditions d'utilisation et de la politique de confidentialité, pour "préserver votre confiance en protégeant votre vie privée".

Il était temps : Twitter, comme beaucoup d'autres, a attendu le tout dernier moment pour se mettre en conformité RGPD avec ses utilisateurs. Et pour cause : le fameux Règlement général sur la protection des données, voté en mai 2016 par le Parlement européen, entre officiellement en vigueur aujourd'hui. Il définit de nouvelles règles communes qui renforcent la protection des données personnelles des citoyens, ainsi que les obligations des professionnels et des entreprises.

---------------

Retrouvez le dossier RGPD de La Tribune :

---------------

Services très populaires comme Google, Facebook ou Twitter : un assentiment consenti ou extorqué ?

Concrètement, les utilisateurs doivent être clairement informés de comment leurs données personnelles sont utilisées par toutes les entreprises ou administrations qui en détiennent sur eux, et donner leur "consentement explicite". Bien sûr, au-delà d'expliquer sa politique de gestion des données, l'entreprise ne peut pas en faire n'importe quoi : elle s'engage à les utiliser à des fins précises, légitimes et justifiées, et encadrées par le RGPD, notamment pour améliorer le service. Et dans le cas où elle les transmettrait à des tiers (pour de la publicité ciblée par exemple), elle doit respecter des procédures de sécurité et savoir expliquer à qui et pourquoi elle transmet les données. L'utilisateur est aussi censé pourvoir accepter ou refuser ce type de pratiques.

Dans le cas de Twitter, si l'utilisateur prend la peine de lire les nouvelles conditions générales, la nouvelle politique de confidentialité et le long -mais très intéressant- texte sur son utilisation des cookies, deux options s'offrent à lui : "accepter et continuer" ou "refuser". Et en cas de refus ? Impossible de continuer d'utiliser le service. Autrement dit: soit l'utilisateur accepte tout d'un bloc -et des études montrent que seule une infime minorité lit les conditions d'utilisation, et que personne ne va au bout-, soit il doit carrément se désinscrire.

Or, il a également été démontré que le bénéfice d'usage l'emporte sur les craintes liées à la vie privée ou à l'utilisation des données, surtout lorsqu'il s'agit de services extrêmement pratiques -comme Google- et massivement populaires -comme Facebook. C'est le "privacy paradox" : si la confiance dans les géants du Net se cesse de s'éroder, ils deviennent tout de même de plus en plus hégémoniques. Facebook s'attend bien à ce que le RGPD fasse stagner ou légèrement baisser son nombre d'utilisateurs en Europe, mais il peut se rassurer : le scandale Cambridge Analytica -pourtant gravissime- s'est traduit par un nombre de désinscriptions minime et ne l'a pas empêché de réaliser le meilleur profit de son histoire. Autrement dit : pour les entreprises qui détiennent le plus de données sur nos vies, comme les GAFA (Google, Apple, Facebook, Amazon) et les géants du Net américains en général, le RGPD n'est pas vraiment un problème, même s'il les oblige à faire preuve de davantage de transparence. Elles ont aussi largement les moyens de s'y adapter.

Les entreprises françaises pas prêtes du tout

En revanche, c'est une autre histoire pour les PME et les TPE. D'après les différentes études publiées ces derniers jours, seulement 20% à 30% des entreprises françaises seraient en situation de conformité ou de quasi-conformité. Les chiffres dégringolent pour les TPE et les PME qui n'évoluent pas dans le secteur numérique mais qui détiennent tout de même des données personnelles sur leurs clients. Pourtant, le règlement a été voté en mai 2016 : les entreprises avaient donc deux ans pour s'y préparer, mais la complexité de la tâche, le manque de culture de la data en France, et les coûts engendrés pour la mise en conformité ont fait office de repoussoir.

Lire aussi : Protection des données : le chaotique business de la conformité RGPD

Dans ce contexte, le 25 mai 2018 ne marque donc pas l'entrée dans une nouvelle ère où les entreprises sont toutes devenus "data-responsables" et où les citoyens sont désormais devenus les maîtres éclairés des données qu'ils disséminent un peu partout. Surtout que la Commission nationale Informatique et Libertés (CNIL), le régulateur, a annoncé qu'elle fera preuve de "compréhension" et de "patience", arguant que son but n'est non pas d'afficher un "catalogue de sanctions", mais de "diffuser la culture de la protection des données dans les entreprises" pour en faire un "avantage concurrentiel". Tout en prévenant que "les abus manifestes seront directement sanctionnés".

Lire aussi : Isabelle Falque-Pierrotin (Cnil) : "Le RGPD remet les acteurs européens et internationaux à égalité de concurrence"

L'arme des sanctions financières en cas de manquement au règlement -jusqu'à 4% du chiffre d'affaires mondial d'une entreprise- est donc à double tranchant. D'un côté les sanctions sont suffisamment dissuasives pour terrifier les entreprises et pousser un nombre de plus en plus important d'entre elles -bien qu'insuffisant- à se mettre en conformité. De l'autre côté, le RGPD est d'une ampleur telle -il concerne grosso modo toutes les entreprises et pas seulement en Europe- que les régulateurs débordés n'ont en fait pas les moyens humains de vérifier et de sanctionner vite en cas de manquement -sauf signalement ou abus grave.

Il faudra en outre surveiller les initiatives pour réduire la portée du RGPD, notamment le Cloud Act américain, voté en mai, qui vise à faciliter l'obtention pour l'administration américaine de données stockées ou transitant à l'étranger, sans en informer l'utilisateur, y compris en Europe malgré le RGPD.