RGPD : nos données personnelles sont-elles vraiment en sécurité ?

Il y a deux ans, le parlement Européen a adopté le Règlement Européen pour la protection des données personnelles. Le 25 mai, c’est le grand jour-J, date à laquelle toutes les entreprises doivent mettre en application ce fameux RGPD.

Vous n’êtes pas sans le savoir, la protection des données est entrée en application le 25 mai. Ce n’est pas grâce à l’importante avancé qu’apporte cette nouvelle réglementation, mais plutôt par la quantité de mailings d’entreprises vous demandant votre consentement et en vous rappelant « ô combien » la protection des données est importante à leurs yeux. Car oui, l’avancée est de taille ! À l’air du big data, il était nécessaire d’étendre la loi « Informatique et liberté » de 1978 et de cadrer d’autant plus l’utilisation de cette masse d’informations personnelles, et ainsi créer des contraintes afin d’assurer la confidentialité des informations individuelles. Un coût parfois important (en temps et financier) pour les entreprises afin d’éviter les sanctions importantes, avec des amendes pouvant s’élever jusqu’à 4% du chiffre d’affaire mondial ou 20 millions d’euros.

 

Éviter les fuites de données (Facebook et Cambridge Analytica)

Dans un premier temps, c’est bien les GAFAM* qui sont ciblées. L’exemple le plus parlant étant le scandale de la fuite des données de Cambridge Analytica.

Pour rappel, Cambridge Analytica est une société de conseil en communication et d’analyse des données dont la spécialité est de prédire les réactions psychologiques des individus, grâce à un croisement des données qualitatives et quantitatives, afin de cibler précisément les utilisateurs et ainsi changer leurs habitudes de consommations, voir même leurs comportements. Dans le terme marketing, c’est le micro-targeting. (Slogan « changer le comportement grâce aux données »). Nous sommes bien dans la manipulation de masses.

Le scandale a éclaté le 17 mars, lorsque la presse a révélé l’utilisation frauduleuse des données de 70 millions d’utilisateurs  récoltés via un quizz Facebook, par le biais de « thisIsYourDigitalLife » (une société dite de recherche) sans que ces derniers n’aient été prévenus. À noter que ce n’est pas uniquement les personnes ayant joué au Quizz mais également les contacts « amis » Facebook en utilisant la viralité de chaque compte. Ces contacts ont étés vendus pour des milliards de dollars à Cambridge Analytica.

Pire encore, ces données ont été utilisées pour manipuler l’opinion publique lors des présidentielles américaines (en savoir plus – lien).

Facebook, au courant depuis 2015 a tout d’abord banni l’application qui récoltait c’est données, mais est resté silencieux. C’est seulement, une fois l’affaire révélée, qu’ils se sont dit désolé : d’abord dans une publication Facebook et un communiqué de presse, puis « Vraiment désolé » devant le congrès américain et enfin « vraiment, vraiment, vraiment désolé » devant le parlement européen le 22 mai dernier.

 

Le géant américain face au parlement européen

C’est bien à 2 jours de l’entrée en vigueur du RGPD que le parlement Européen a tenu à auditionner Mark Zuckerberg. Une rencontre pour le moins décevante vu le format, le temps de la rencontre et les réponses obtenues. On aurait pu espérer un débat plus poussé et technique face aux parlementaire européen, mais le patron de Facebook s’est juste contenté de répéter les mêmes propos que devant le congrès américain : soit des excuses, l’acceptation que sa société devait faire mieux pour protéger la vie privée de ses utilisateurs et l’aveu de se voir dépassé par autant de responsabilités « sociales et démocratiques ».

La rencontre n’a duré que 15 minutes. C’est donc sous le prétexte du temps que Mark Zuckerberg a évité une quarantaine de questions, et il ne s’est ainsi jamais retrouvé en difficulté comme aux Etats-Unis.

Mais ces 40 questions auxquelles il n’a pas répondu (Voir toutes les questions) sont importantes : « Que faites-vous avec les données des non utilisateurs Facebook ? Les commercialisez-vous ? Est-ce moralement acceptable ? », « Cambridge américain est-il un cas isolé ? Pouvez-vous nous garantir qu’un autre scandale n’arrivera pas d’ici 3, 6 ou 9 mois ? » ou encore « Facebook compte-t-il payer les impôts dans les pays où il a une présence opérationnelle ?».

Enfin, Mark Zuckerberg reconnaît qu’une réglementation est nécessaire, et indique que Facebook va mettre en place la réglementation européen (RGPD) en Europe et aussi au niveau mondial.

 

Comment le RGPD protégera nos données ?

Le Règlement Général sur la Protection des Données vise à protéger les utilisateurs en leur permettant d’avoir un meilleur contrôle de leurs données. Pour cela, il est composé de 3 volets importants : le consentement, la traçabilité et un regard sur ces données personnelles.

Concrètement, les sites internet sont dans l’obligation d’informer les utilisateurs sur l’utilisation faite des données récoltées et partagées que ce soit via les cookies ou bien par les formulaires de contact (inscription à des newsletters, téléchargement de documents…). Pour cela un renforcement du consentement est mis en place, ainsi que des conditions d’utilisations plus précises.

La législation durcit également les lois existantes par rapport aux failles de sécurité de la data. L’entreprise doit mettre en place un dispositif de sécurité en amont afin de mettre en place une haute sécurité de la date et assurer la traçabilité des données.

Enfin, les données dont disposent les entreprises doivent être facilement accessibles par l’internaute, lui permettant à rectifier, modifier, supprimer ou réveiller ses données à tout moment.

Cette réglementation touche bien évidemment toutes les données, pas uniquement les sites internet. Les collectivités, les entreprises, les associations, les entrepreneurs,… sont tous dans l’obligation de mettre en place les directives, même si parfois à des degrés d’obligation différentes.

Le 14 mai, l’Assemblée nationale a adopté en première lecture la loi renforçant la protection des données personnelles. Ce texte, d’application du droit européen englobe le RGPD et l’aspect pénal, mais il donne aussi la possibilité aux associations et aux ONG d’organiser des actions et des recours. Un amendement a également été ajouté afin d’interdire les navigateurs et moteurs de recherche imposés par Google ou encore Apple, donnant ainsi les utilisateurs de choisir une application de recherche moins invasive et plus « RGPD friendly »

 

Bilan de la première semaine de mise en œuvre du RGPD

Les GAFAM sont pointés du doigt. Dès le vote du texte de loi par l’Assemble nationale, des collectifs ont fait savoir que des actions allaient être menées face aux GAFAM, estimant qu’ils conditionnent l’accès à leurs services à ce consentement à l’exploitation des données. Cette pratique étant le modèle économique de ces géants du net, de plus que la publicité étant le principal revenu de ceux-ci, il est intéressant d’observer la suite de cette action en justice.

Sont dénoncés, le scandale Cambridge Analytica et Facebook, Google qui récolte des données quotidiennement via Androïde ou encore les écoutes via Google Home, Apple et Microsoft avec leurs assistant vocal intrusif,… et bien d’autres encore.

Cette semaine, nous avons pu également remarquer que bon nombre de presse en ligne étrangère (surtout américaine) ont fermé leurs sites dans l’Union Européenne. N’étant pas (encore) adapté à la législation, la pénalité financière à poussé ces titres à fermer les sites selon leurs géolocalisation. Certains ont trouvé des solutions en créant un abonnement spécial ou encore en créant des plateformes uniquement destinées à l’Union Européenne.

La data étant trop précieuse pour ne pas appliquer la réglementation mondialement.

Enfin, le 25 mai n’étant qu’une première échéance de début de mise en conformité, il nous faut d’être vigilants de quelles données nous donnons et à qui. Car des fuites de données ne sont pas des cas isolés et sont bien plus régulières que ce que l’on pense.

Agatha Miquel
Chargée de mission du Groupe UDI et apparentés
Métropole de Lyon


*GAFAM : Google, Apple, Facebook, Amazon et Microsoft

 

Laisser un commentaire