Typography

La protection des données a fait les manchettes des médias après le scandale de Cambridge Analytica et Facebook qui a révélé que les données personnelles de millions de personnes ont été collectées de Facebook et partagées avec l’entreprise de conseils politiques Cambridge Analytica. Le scandale a coïncidé avec l’annonce du Règlement européen de protection des données personnelles (RGPD) de l’Union Européenne après quatre ans de préparation et négociations. Qu’est-ce le RGPD et que sera son impact en Europe et au niveau international ?

Selon le site officiel du Règlement européen de protection des données personnelles, le nouveau règlement « remplace la Directive de la protection des données 95/46/EC et a été défini pour harmoniser les lois de protection des données en Europe, afin de protéger et consolider les données des citoyens de l’UE et changer la façon dont les entreprises dans la région abordent la protection des données. »

Les nouvelles règlementations de protection des données en Europe ont eu un impact mondial alors que les entreprises, dont celles sises aux États-Unis et en Chine, s’y conforment. Au moment où toutes les entreprises dans le monde doivent se conformer aux dispositions du Règlement européen de protection des données personnelles, les règles pourront avoir un impact plus significatif si les entreprises décident que cette protection couvre tous les utilisateurs sans se limiter aux données des Européens.

Facebook, Twitter, AirBnb, et les grandes plates-formes américaines ont commencé à notifier à leurs utilisateurs européens des modifications de leurs conditions d'utilisation, pour être conformes à la législation européenne. Elles doivent notamment s'assurer qu'elles ont obtenu un consentement « libre, spécifique, éclairé et univoque » de leurs utilisateurs pour leurs données personnelles.

Facebook par exemple a commencé à redemander ce consentement de ses utilisateurs européens pour le ciblage publicitaire et pour l'utilisation de la reconnaissance faciale. Mais il n'est pas encore clair quelles entreprises américaines appliqueront le RGPD à tous leurs clients et utilisateurs, et quelles entreprises le réserveront aux Européens.

« Nous avons l'intention de mettre les mêmes règles (de confidentialité) à disposition de tout le monde partout, pas simplement en Europe. Mais est-ce que ce sera exactement le même format ? Probablement pas », a ainsi déclaré Mark Zuckerberg, le patron de Facebook, en pleine tourmente après les révélations sur l'utilisation de données du réseau social par Cambridge Analytica.

Applicabilité du RGDP

Le nouveau règlement apportera le plus grand changement à la scène réglementaire dans l’Union Européenne à cause de ses claires conditions d’applicabilité, contrairement à l’ancienne Directive qui était ambigüe et se référait au processus des données « dans le contexte d’un établissement ».

Le RGDP sera applicable au traitement des données personnelles dans l’UE, indépendamment du fait que le traitement prend lieu dans l’UE ou pas. Le règlement sera aussi applicable au traitement des données personnelles des sujets dans l’UE par un contrôleur ou processeur qui n’est pas basé en Union Européenne, au niveau d’activités liées à : l’offre de services et biens aux citoyens de l’UE et la monétisation du comportement y prenant lieu. Les entreprises non européennes qui traitent des données des citoyens de l’UE doivent aussi y nommer un représentant.

Les entreprises ne sont pas toutes concernées au même niveau, selon le type de données qu'elles collectent, l'usage qu'elles en font ou, tout simplement, leur taille. Pour l'essentiel des petites et moyennes sociétés, il s'agit avant tout de protéger leur fichier clients ou fournisseurs, des « règles de bon sens », comme l'a répété la Cnil, plus que des obligations lourdes.

Le RGPD concerne en revanche toutes les entreprises travaillant dans un ou plusieurs pays européens, qu'elles soient européennes ou non. Comme pour les internautes, elles ont des possibilités de recours auprès des Cnil.

L'objectif est de « limiter la quantité de données traitées dès le départ ». Cela implique pour les entreprises de bien déterminer les données dont elles ont réellement besoin, et comment les protéger. Elles devront les mettre à jour régulièrement, mais aussi informer les clients ou sous-traitants des données récoltées et dans quel but, ainsi que de tous les outils nécessaires à la garantie de leurs droits.

Les entreprises devront aussi définir qui a la charge des fichiers de données et définir qui y a accès en leur sein; et il leur faudra mettre en place toutes les mesures nécessaires de protection, en particulier celles caractérisées de sensibles.

Le règlement comprend une série d’outils pour appliquer les nouvelles règles et pénaliser les entreprises qui les violent.  Celles détenant des données seront responsables des informations privées collectées et devront en assurer la protection sous peine d'amendes qui pourront s’élever jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros. Cette amende est imposée aux entreprises n’ayant pas le consentement suffisant des consommateurs pour traiter des données ou violer les concepts de Privacy by Design.

Avantage au niveau du marketing

Pour Sam Pfeifle, un spécialiste américain de l'Association des professionnels du traitement des données (IAPP), un certain nombre d'entreprises américaines n'auront pas vraiment d'autre choix que de se conformer au règlement européen valable pour tous.

« Pour certaines entreprises, être capables de discerner d'où leurs clients sont originaires, et faire une ségrégation entre les données suivant cette origine est sans doute trop difficile », explique-t-il.

Certaines sociétés transforment cette décision pragmatique en outil de marketing vis-à-vis de leurs clients américains. Elles affichent leur respect du règlement européen, en gage d'engagement en faveur du respect de la vie privée, explique Sam Pfeifle. A l'inverse, d'autres ont commencé à avertir qu'elles n'accepteraient pas de se soumettre au RGPD, et qu'elles refuseraient donc les utilisateurs européens.

En Chine, la sensibilité aux questions de vie privée est beaucoup moins forte, et le règlement européen sera certainement plus considéré comme une contrainte que comme un atout. « Bien sûr que nous allons respecter le RGPD pour nos clients européens », explique sous couvert d’anonymat un Européen travaillant pour un géant de l'internet chinois.

Mais pour ce qui est des ressortissants chinois eux-mêmes, l'application de dispositions de ce type n'est sans doute pas pour demain.

Les Chinois « n'ont pas de réticences à fournir leurs données personnelles s'ils voient qu'ils en tirent de la valeur », sous forme de services nouveaux ou de ristournes ou avantages financiers, explique le cadre européen.

La Chine et ses géants de l'internet sont en train de tester un programme pilote de crédit social, où le comportement de chacun des citoyens chinois est évalué et noté dans des domaines tels que leur historique de crédit, leurs comportements et préférences, voire leurs relations interpersonnelles.

Néanmoins, il n'est pas impossible que les efforts européens pour codifier et organiser le respect de la vie privée aient une influence car même en Chine, les internautes expriment parfois leur sensibilité sur la question.

En début d'année, Pékin a annoncé avoir réprimandé plusieurs groupes technologiques nationaux sur leurs pratiques « inadéquates » de collecte et de sécurisation des informations concernant leurs usagers, et ce à la suite d'une controverse sur la protection des données personnelles impliquant Alipay, la première plate-forme chinoise de paiement électronique (520 millions d'utilisateurs), affiliée au mastodonte du commerce en ligne Alibaba.

Des usagers avaient remarqué que la plate-forme les avait inscrits à leur insu dans un service de notation financière, partageant leurs données avec des tiers: le dispositif, accusé d'empiéter sur la vie privée, avait été abondamment dénoncé par les internautes chinois.

Droits renforcés pour les citoyens

Le Règlement européen de protection des données personnelles (RGPD) apporte ou renforce des droits existants pour l'ensemble des citoyens européens, au prix d'une série d'obligations pour les entreprises, variables selon leur taille et l'usage qu'elles font des données.  

Les principaux droits intégrés au RGPD, dont beaucoup étaient déjà garantis par diverses législations nationales comprennent:

- Le droit à être informé: si un internaute met à disposition une partie de ses données personnelles, il doit désormais savoir à quoi elles serviront, combien de temps elles seront conservées et si elles quitteront l'Union européenne, autant d'informations qui doivent être « claires et simples ».

- Le droit d'accéder à ses données, à les corriger et les supprimer: l'utilisateur d'un service doit pouvoir demander facilement une copie de ses données personnelles. En cas d'erreur, en particulier en cas de préjudice potentiel, l'organisme ou l'entreprise doit rectifier, dans les plus brefs délais, les informations détenues en cas de demande. Il est également possible de demander leur suppression en retirant son consentement à leur usage.

- Le droit à l'oubli: déjà connu des internautes,  qui doit permettre le déréférencement, c'est-à-dire le fait de ne plus voir apparaître des liens lors d'une recherche de contenus portant préjudice à une personne. Cependant, ce droit ne concerne théoriquement pas la liberté d'expression ou d'informer, et ne s'applique pas si l'intérêt public prévaut.

- Le droit de transférer ses données: changer de fournisseur d'adresse électronique sans perdre ses anciens courriels est normalement possible avec le principe de « portabilité des données ». Mais cela peut également concerner le fournisseur d'électricité ou une banque par exemple. L'entreprise dont l'utilisateur se sépare doit pouvoir transférer les données à la nouvelle entreprise prestataire ou, à défaut, remettre l'ensemble des données à l'utilisateur dans un format de fichier qui permette de l'intégrer à un autre système.

- Le droit d'intervenir dans un système automatisé: si les algorithmes jouent un rôle de plus en plus important dans les processus de décision, par exemple pour l'accès aux universités, une possibilité de contestation et de demande d'intervention humaine doit être offerte.

   - Une possibilité de recours en cas de non-respect de ces droits, auprès de la Commission nationale de l'informatique et des libertés (Cnil) de chaque pays d'Europe, qui se chargera alors de transmettre à la Cnil du pays de résidence de l'entreprise ou de l'organisme concerné. La décision finale sera prise par le « G28 », le regroupement des Cnil européennes, s'imposant à tous les pays européens.

Impact du RGPD en Afrique

Le règlement européen est un bon exemple à suivre quant à la protection des données personnelles des citoyens. Cette mesure forcera les acteurs de l’industrie à assumer leur responsabilité à l’égard des citoyens et à investir dans de nouvelles stratégies de gestion des données personnelles.

Le RGPD incitera sans doute les pays Africains à accroître leur niveau de protection de données et à déployer plus d’efforts afin de gérer les données personnelles des citoyens. Ces pays doivent adapter ce règlement au contexte de leur région et surmonter maints défis tels que le renforcement des mesures de sécurité et l’augmentation de l’investissement dans la protection des données. Les entreprises doivent œuvrer afin de pouvoir rapporter les violations de données dans un délai de 72 heures et nommer une équipe spécialisée en la protection des données et de la vie privée des consommateurs.

Selon Gregg Petersen, vice-président de vente régional pour le Moyen-Orient et l’Afrique chez Veeam Software, chaque entreprise doit savoir le type de données qu’elle détient, si elles sont stockées et comment. Elle doit aussi savoir pourquoi elle les détient et comment elle les a détenues.