L'un et l'autre ne sont pas liés et pourtant le calendrier semble idéal. Quelques semaines après l’éclatement du scandale Cambridge Analytica, du nom de cette entreprise accusée d'avoir récupéré frauduleusement les données de 87 millions d'utilisateurs de Facebook, de nouvelles règles très strictes en matière de données personnelles entrent en vigueur le 25 mai. Regroupées dans le RGPD, le règlement général pour la protection des données, ces règles s'appliquent dans toute l’Union européenne et vont notamment obliger à plus de transparence sur l'usage fait des données personnelles.
Transparence sur l'usage des données
Depuis quelques jours, tous les services en ligne invitent leurs utilisateurs à accepter leurs nouvelles conditions générales d'utilisation et à vérifier les données personnelles dont dispose chaque entreprise. Il s'agit pour eux de se mettre en conformité avec le RGPD avant son entrée en vigueur, le 25 mai. Ce nouveau système, appelé consentement, est une nouvelle obligation pour tous. "On doit vous dire très clairement pourquoi est-ce qu’on collecte vos données, pour quelle finalité. On doit vous dire qui va être destinataire de ces données et qui y aura accès. Vous devez aussi savoir combien de temps on va conserver vos données. Et on doit vous dire quels sont les droits que vous avez par rapport à ces données", précise Thomas Dautieu, directeur conformité de la Cnil, la commission nationale informatique et libertés.
Mais malgré l'entrée en vigueur prochaine de ces règles, tout n'est pas encore évident. "Il faudrait parfois presque un master de droit pour comprendre" la présentation des données personnelles de certains services, s’énerve Paula Forteza, députée LREM des Français de l'étranger et rapporteur du texte sur les données personnelles en France. Elle critique aussi le "chantage" de certains, comme Facebook, qui proposent à leurs utilisateurs d’accepter ses conditions, ou… de supprimer leur compte. Au cours d'une procédure en trois étapes, les utilisateurs de Facebook sont invités à vérifier les données personnelles dont dispose le réseau social, à revoir le niveau de ciblage publicitaire qu'ils acceptent et à autoriser l'usage de la reconnaissance faciale. Problème : il reste toujours plus facile d'accepter que de refuser. "Les boutons 'J’accepte' sont toujours plus mis en avant que les autres. En théorie, on avait le 'privacy by design', c'est à dire que toutes les options par défaut doivent être les plus protectrices. Ce n’est pas toujours le cas", regrette la député.
Changer de service plus facilement
S'il y a bien une mesure qui ne plaît pas aux géants du numérique, c'est la possibilité, prévue dans le RGPD, de changer de service plus facilement. Grâce à la "portabilité" des données, les utilisateurs pourront transférer leurs données. Ceux qui en ont marre de Gmail ou de Yahoo Mail pourraient par exemple transférer leurs données vers un service français comme laposte.net. Idem avec ses photos sur Instagram, son historique d’achats chez Amazon ou les données de sa carte de fidélité de supermarché. L'utilisateur pourra désormais récupérer toutes les données qu'ils a fournies à un site avant de les transférer ailleurs.
Cette "portabilité" donne même des idées de nouveaux services. "Quand je consulte mes comptes bancaires, je peux voir une facture téléphonique. Si elle n’est pas du montant habituel, d’un simple clic, ça m’affiche cette facture. Je peux regarder en quoi j’ai dépensé plus que d’habitude. Et si on combine ça avec un carnet d’adresses, on peut dire : ah tiens, tante Machin, c’est elle qui me coûte le plus cher. Et puis quand j’ai fini, je clique dessus, ça se ferme et je peux continuer à regarder mes comptes bancaires et mieux comprendre comment je dépense mon argent", explique Tristan Nitot, de l’entreprise Cozycloud.
Des sanctions en cas de non respect des règles
Pour que ces règles soient respectées, l'Union européenne a prévu des sanctions pour le moins dissuasives. La Cnil pourra infliger dans amendes jusqu'à 20 millions d’euros pour une administration et jusqu’à 4% du chiffre d’affaires mondial pour une entreprise. Pour Google, cela représenterait tout de même 3,7 milliards d'euros. En cas de problème, chaque citoyen peut saisir la Cnil sur internet ou par courrier. Des actions de groupes sont également possibles, via des associations comme l’UFC-Que choisir ou la Quadrature du net.
Seul problème, pour que le texte entre en vigueur le 25 mai, à la date d'application du RGPD en Europe, la loi française doit encore être votée. En raison de problèmes avec certains amendements et de divergences entre l'Assemblée Nationale et le Sénat, il a été rejeté en commission mixte paritaire il y a quelques semaines. Un dernier vote doit donc avoir lieu à l'Assemblée le 14 avril avant la publication des décrets. "Tous les décrets sont prêts et nous seront prêts à temps", assure le secrétaire d'Etat en charge du Numérique, Mounir Mahjoubi. "De toute façon le RGPD étant un règlement européen il s'appliquera automatiquement le 25 mai, ça ferait juste un cadre qui manquerait (si le texte français n'était pas prêt le 25 mai, ndlr), notamment pour les pouvoirs d’enquête de la Cnil", précise Paula Forteza.
Des entreprises en panique. A l'approche de l'entrée en vigueur du texte, certaines entreprises commencent à paniquer. "On le sait depuis deux semaines et encore. C'est une vraie surprise. Pour nous l'amende, ce serait 4% de notre chiffre d'affaires de 12 millions, c'est à dire 480.000 euros et là je n'ai plus de mots. C'est un coup à nous faire fermer", explique Yann, grossiste en épicerie fine à Rungis dont l'entreprise compte 50 salariés et un millier de clients. Pour se mettre en conformité, il prévoit d'engager un informaticien.