Le mythe de la protection des données numériques

Vendredi dernier, Facebook a annoncé que 50 millions de ses abonnés avaient été piratés, permettant à des cybercriminels de prendre le contrôle de leur compte d’utilisateurs et d’accéder à leurs données personnelles. Un énième épisode de la saga des failles de sécurité chez les GAFAM.

Et pourtant les initiatives des régulateurs ne manquent pas. Depuis quelques mois vous devez d’ailleurs voir apparaître lors de l’ouverture des sites internet que vous consultez fréquemment une petite fenêtre insistante qui vous propose d’ "accepter les cookies" ou de "consulter les nouvelles conditions d’utilisation". Car depuis peu, l’Union européenne a adopté un tout nouveau règlement général sur la protection des données (RGPD), le "texte de référence européen en matière de protection des données personnelles pour les résidents de l’UE" comme le définit la Commission nationale de l’informatique et des libertés (CNIL).

C’est en mai 2016 que l’Union européenne a adopté pour la première fois le RGPD, venu remplacer la directive sur la protection des données de 1995, votée aux débuts d’internet. Déjà, il était inscrit dans la loi la nécessité de donner son consentement pour livrer ses données à des fins publicitaires. Cette loi s’inspirait elle-même des "lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel", publié en 1980 par l’OCDE. Et avant cette date, un vide juridique absolu.

L’Union européenne a accordé deux ans aux Etats membres pour appliquer le RGPD sur leur territoire. Parmi les grands changements introduits par le nouveau règlement, celui du droit à l’oubli : "vous pouvez demander qu’une organisation efface les données à caractère personnel qu’elle détient vous concernant", peut-on lire sur le site de la Commission européenne. D’autre part, le consentement à l’utilisation de ses données personnelles doit être explicite, alors qu’il pouvait être déduit d’un simple silence ou d’une inactivité prolongée. Enfin, alors que les sanctions prononcées par la CNIL ne pouvaient être supérieures à 150.000 euros, la peine est désormais bien plus prohibitive. Les sanctions peuvent atteindre 4% du chiffre d’affaires mondial, soit 3,7 milliards d’euros pour Google et 1,3 milliard d’euros pour Facebook, WhatsApp et Instagram.

D’autres réflexions par le Parlement européen ont naturellement exclu du RGPD ces mêmes règles dès lors que les données sont traitées "à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales". En janvier 2017, la Commission a d’autre part proposé deux nouveaux règlements pour renforcer la vie privée lors des communications électroniques ainsi que sur le respect par les institutions européennes des mêmes règles que celles auxquelles sont soumis les Etats membres. Ces règles ont été votées puis adoptées en cours de route par le Conseil et font partie du RGPD, transposé dans les législations nationales depuis le 25 mai dernier.

Mais tout l’enjeu consiste désormais à faire respecter à des multinationales – dont la puissance et l’influence ne sont plus à démontrer – une législation européenne avec des contrôles à une échelle nationale. Un chantier considérable quand l’on voit par exemple comment l’Union européenne peine à appliquer et faire respecter un ordre fiscal aux GAFAM. Un sondage mené par Veritas a révélé que les consommateurs français étaient 39% à envisager de faire valoir leurs droits concernant la confidentialité des données dans les six mois suivant l’entrée en application du Règlement européen. Bien-sûr, les chiffres montrent une toute autre réalité.

A l’occasion des 100 jours de l’entrée en vigueur du RGPD, une étude de Talend a montré que 70% des entreprises européennes testées n’ont pas répondu aux demandes de personnes cherchant à obtenir une copie de leurs données personnelles, comme l’exige le RGPD dans un délai d’un mois. Mais sur cette même période, seules 2.770 plaintes ont été enregistrées. Contacté par WanSquare, Fabrice Haccoun, CEO d’Advanced Schema et spécialiste de ces questions, considère-lui que le délai d’un mois est bien trop court. Car pour la majorité des entreprises numériques, comprendre si l’ensemble des données récoltées sont utilisées de manière frauduleuse nécessite une analyse extrêmement fine des systèmes informatiques internes.