Depuis le 25 mai, un nouveau règlement européen, le RGPD, régit le traitement des données à caractère personnelle. Ce texte propose plusieurs avancées intéressantes pour protéger notre vie privée sur le Net. Juriste de formation, conservateur des bibliothèques à l’université Paris Lumières et membre de l’association La Quadrature du Net, Lionel Maurel a réalisé une conférence sur le sujet à l’UTC en mai dernier. Il décrypte pour nous les enjeux principaux de cette nouvelle législation.
Comment peut-on définir les données personnelles ?
« C’est l’ensemble des informations permettant d’identifier un individu
qu’il s’agisse de son nom, ses opinions, son numéro de sécu, compte
bancaire, de l’adresse IP de son ordinateur, de clichés rétiniens,
d’empreintes digitales ou d’une photo personnelle… Dès 1978, la France
a été pionnière dans la protection de ces informations avec la loi
Informatique et libertés. Avec l’informatisation des services publics,
il s’agissait alors d’empêcher un fichage par l’Etat. Depuis les années
90, certains des principes de cette loi ont été repris dans des
directives européennes. Le RGPD unifie et renforce ces dispositions. »
En quoi le Règlement général sur la protection des données (RGPD) marque t‑il une étape importante ?
« Auparavant, les entreprises extra-européennes pouvaient facilement contourner les législations en vigueur. Maintenant, tout traitement de données personnelles concernant des citoyens européens quel que soit l’acteur concerné est soumis à cette réglementation. C’est une première au niveau mondial. Il a fallu plus de deux ans de débats au parlement européen pour arriver à ce résultat. Les Google et autre Facebook ont fait un intense lobbying mais la société civile s’est également mobilisée. »
Quels sont les principaux progrès en matière de protection de l’usager ?
« Ce nouveau cadre juridique contient des points très importants comme la nécessité d’un consentement libre et éclairé. Cela signifie que pour collecter, analyser ou échanger une donnée personnelle, une entreprise ou une institution doit dans la plupart des cas avoir l’accord exprès de l’intéressé. Par exemple, la simple consultation d’une page ne peut plus être considérée comme un consentement tacite pour recevoir des cookies. Conditionner l’accès à un service au fait de devoir accepter l’utilisation de ses informations personnelles est désormais illégal. Un paramétrage des différentes options de confidentialité doit être possible. Les choix par défaut doivent correspondre à la configuration rendant le moins accessible ses données personnelles. Des fonctionnalités comme la reconnaissance faciale proposée par Facebook à l’ouverture d’un profil ne seront plus activées automatiquement. »
Quel est le domaine qui mériterait d’être le plus approfondi ?
« Le RGPD exige que les données soient utilisées dans un but clairement
défini, justifié par les besoins du service et transparent pour
l’utilisateur. Le stockage sans finalité particulière n’est pas
autorisé. Cependant, des exceptions au nom de « l’intérêt légitime » ont
été prévues. Cette mesure concerne surtout les données de connexion
nécessaires pour assurer la sécurité via des identifiants. Malgré tout,
il faut rester vigilant. Le flou du concept est en effet la porte
ouverte à des abus de la part des acteurs du marché. Ceux dont le modèle
économique repose sur le fichage publicitaire pourraient facilement
l’invoquer au nom de la survie même de leurs prestations. »
Quelles sont les sanctions en cas de non-respect ?
« Jusqu’à aujourd’hui, les sanctions de la CNIL étaient plafonnées. Désormais, elles pourront atteindre 4 % du chiffre d’affaire, ce qui est loin d’être symbolique, surtout pour les grands du Net. Avant, l’utilisateur devait attaquer individuellement en justice les grandes entreprises. Les recours collectifs ou actions de groupe sont désormais possibles. Dans ce cadre, l’association La quadrature du Net lance plusieurs actions en justice contre les GAFAM qui ont déjà recueilli l’adhésion de plusieurs milliers de personnes. »