Tirer profit du Big Data sans compromettre nos libertés (3/5)

GDPR and eprivacy regulation by Dennis van der Heijden (CC BY 2.0) — Dennis van der Heijden, CC-BY

Est-ce que le RGPD vous protège vraiment ?

Par Philippe Mösching.

Soucieuse de protéger la sphère privée, mais également consciente des enjeux économiques, L’Europe a introduit le RGPD, censé protéger les individus tout en permettant le développement économique. Est-ce que la mission est accomplie ?

Les deux premiers articles de cette série (ici et ici) ont montré les bénéfices extraordinaires qu’offre l’exploitation des données, mais aussi la menace de rejet par les individus sentant leurs libertés individuelles menacées. Nous allons à présent voir la réponse donnée par l’Europe.

Qu’est-ce que le RGPD ?

Le RGPD – Règlement Général de Protection des Données – est entré en application le 25 mai 2018, il y a donc tout juste deux ans. Il vise à encadrer l’utilisation des données personnelles par les entreprises. Ces objectifs sont :

  1. Limiter l’utilisation des données personnelles par les entreprises au strict minimum nécessaire et faire adopter le principe du privacy by design qui place le respect des données personnelles en amont de la conception.
  2. Fournir une description précise des données collectées, des traitements appliqués, de la période de rétention de l’information, et demander un consentement explicite à la personne fournissant ses données personnelles.
  3. Maintenir les données personnelles à jour.
  4. Interdire les données dites sensibles : la religion, l’origine ethnique, les idées politiques, les orientations sexuelles.
  5. Fournir sur demande d’un client une copie de l’ensemble des données le concernant, permettre la portabilité de ses données vers d’autres entités, permettre la rectification ou la suppression ses données personnelles (droit à l’oubli). Ces demandes de rectification et d’effacement doivent ensuite, par cascade, être transférées aux entités auxquelles les données ont été transmises, et ainsi permettre de propager ces instructions à chaque intermédiaire.
  6. S’assurer que les entreprises mettent en œuvre les moyens nécessaires pour garantir un niveau de sécurité adapté au risque.
  7. Prévoir des amendes en cas de non-respect de ces règles allant jusqu’à 4 % du chiffre d’affaires.

Et tout cela en respectant évidemment toutes les autres réglementations existantes qu’elles soient européennes ou nationales.

Le RGPD prévoit aussi que chaque entreprise se dote d’un DPO (Data Protection Officer) qui veillera à la bonne application de cette réglementation, et coordonnera toutes les demandes de copie, rectification ou effacement de données.

Il s’agit d’un règlement extraterritorial s’appliquant non seulement aux entités actives sur le territoire européen, mais également à toutes celles qui traitent des données concernant des citoyens européens où qu’elles se trouvent dans le monde.

RGPD, un résultat peu probant

Un premier effet visible lors son introduction a été l’apparition sur les sites Internet d’un bandeau demandant d’accepter l’utilisation de cookies. Le cookie est une fonctionnalité informatique qui demande un bon niveau technique pour comprendre précisément de quoi il s’agit. Souvent, un lien « plus d’informations » vous redirige vers une page d’explication.

Malheureusement, c’est sans doute un peu plus de confusion que cette page apporte à l’internaute. Souvent, il n’a pas le choix : c’est ça ou rien. Au passage, il n’aura toujours pas compris le fondement technique du cookie, ni les raisons qui ont conduit à son utilisation, ni son rôle à la fois essentiel mais très limité, ni ce que le site en question va faire de ces cookies qu’il laissera sur votre appareil.

Plus important encore, il ne pourra pas savoir si des données personnelles vont lui être soutirées par le site ou par d’autres sites partenaires. Cet exemple de l’application du RGPD n’a rien d’anecdotique. Au contraire, il est très révélateur.

Il montre la prédominance d’une approche juridique par l’acceptation d’une décharge souvent incompréhensible qui ne protège pas l’utilisateur, mais le site, ne réduit ni ne limite les données transmises au site, et ne rend pas au visiteur le contrôle de ces données.

À verser au crédit du RGPD, toutes les entreprises sont désormais sensibilisées, ont mis en place des structures dédiées et ont sensibilisé leurs collaborateurs. Ce qui est déjà un premier pas. Mais pour l’instant, très peu réussissent à respecter les règles édictées par le RGPD.

Hormis les effets les plus visibles que sont les bandeaux de validation des cookies, les conditions générales mise à jour et la création du rôle de DPO, les objectifs fixés par le RGPD sont encore loin d’être respectés par la plupart des entreprises. Il est en effet très compliqué de réduire les données collectées au strict minimum alors que les systèmes et les processus sont déjà en place.

Encore plus compliqué de garantir l’extraction des données personnelles et leur effacement à la demande. Dans bien des cas, les entreprises déploient une grande part des efforts à faire signer des décharges de plus en plus complexes aux usagers.

Pour preuve de cet échec, en l’espace d’un an, 89 000 notifications de violations de données et 144 000 plaintes ont été déposées en France. Ce nombre, en forte augmentation, montre qu’il existe une véritable attente de la part des usagers et qu’elle n’est pas satisfaite.

Autres pays

D’autres pays suivent le même chemin : la Californie avec CCPA, une forme de RGPD moins contraignant mais aussi extra-territorial, la future LPD Suisse qui peine à être finalisée sera moins contraignante aussi. De manière générale l’Europe sera la région la plus contraignante. Cette carte établie par la CNIL montre que beaucoup de pays ont un cadre législatif concernant les données personnelles.

Difficulté de mise en œuvre

Non seulement le RGPD demande à chaque entreprise de créer une expertise forte sur un sujet complexe, mais surtout ses exigences demandent de modifier les systèmes informatiques pour limiter les données personnelles au strict minimum et pour en permettre l’extraction et l’effacement à la demande des usagers.

Tout cela a un coût et requiert de l’énergie non productive. Même avec beaucoup de bonne volonté et des moyens suffisants, rares sont les entreprises satisfaisant pleinement les règles du RGPD.

L’objectif pourra néanmoins être atteint avec le temps et en y mettant les moyens. À noter que cette situation n’est pas inédite, d’autres règlements ont été définis sans prendre en considération la difficulté de mise en œuvre : MIFID2, taxes sur les transactions, etc. sont si complexes que les objectifs ne sont pas toujours pleinement atteints et que les coûts grèvent malheureusement les résultats de beaucoup d’entreprises.

Pensons aussi aux entreprises étrangères pour qui l’investissement peut être totalement disproportionné si leurs relations européennes sont minoritaires. Elles auront le choix de refuser des citoyens européens dans leurs relations.

Le RGPD ne règle pas la question de l’anonymat

Sans mystère, les entreprises collectent de plus en plus de données personnelles car nous interagissons de plus en plus avec elles. Nous le faisons à présent en ligne et donc en nous identifiant. Et c’est précisément en nous identifiant que nous avons perdu l’anonymat qui nous protégeait dans l’ancienne économie.

Remontons à l’époque où la carte de crédit n’existait pas encore, la quasi-totalité des transactions étaient anonymes : taxis, bus, métro, trains, parking, seuls les billets d’avion étaient nominatifs. Achats, spectacles, lectures, regarder la TV étaient des activités anonymes.

La divulgation des données personnelles a commencé avec l’introduction de la carte de crédit, permettant à votre banque –  ainsi que l’organisme gérant la carte – de connaître vos dépenses en détail : le commerçant, le lieu, le montant et l’instant exact de chaque transaction ont été mises à disposition de votre banque.

Ensuite, le succès des plateformes digitales a eu comme conséquence une extension spectaculaire de cette intrusion dans la sphère privée. Tous les échanges par e-mail sont visibles de votre fournisseur de mail, il en est de même pour les messageries instantanées, vos trajets sont enregistrés dans les moindres détails, vos achats, vos activités, et les programmes TV que vous regardez par votre box ou plateforme TV.

Même lors d’une balade en forêt, durant laquelle vous prendrez votre téléphone avec vous, sera géotracé. Les objets connectés prolongeront encore le phénomène en enregistrant vos paramètres physiologiques (poids, rythme cardiaque, sommeil, etc.) et vos comportements, déplacements, agissement au plus intime de votre propre domicile.

À partir du moment où les services sont payants, vous devez créer un compte et payer, donc divulguer votre vrai nom pour l’utilisation de votre carte de crédit. Les plateformes de transport, d’achat en ligne, de vidéo, de musique, de service cloud connaissent votre identité par vos paiements. Même une plateforme d’e-mail gratuit, en consultant vos mails, peut facilement vous identifier.

Est-ce que le RGPD vous protège ?

Face à cette violation de la sphère privée, le RGPD vous propose de valider des décharges incompréhensibles ou alors de quitter le monde moderne. On rappellera que dans le scandale Cambridge Analytica les usagers avaient explicitement validé l’accès à leurs données personnelles alors qu’ils voulaient juste accéder à un jeu dans l’environnement Facebook. Noyés dans les conditions générales et sans vraiment avoir le choix, s’ils voulaient accéder à ce jeu, la plupart des internautes avaient cliqué “J’accepte”.

Le RGPD apportera un peu plus de transparence et permettra d’éviter des dérapages grossiers, mais il n’évitera pas la collecte massive de données personnelles, ni leur transmission à des entités tierce. Par le lien que conserveront ces entités, elles pourront utiliser tout ce que révèleront vos données pour exercer une influence sur votre personne. Donc non, le RGPD ne protège pas à la hauteur des exigences à venir.

L’un des effets garantis du RGPD est l’augmentation inévitables des coûts nécessaires au financement de la mise en œuvre de ce règlement bureaucratique et peu tourné vers les technologies naissantes.

Que faire ?

Faut-il accepter cette situation faute de mieux ? Faut-il compter sur la multiplicité des acteurs pour que ses données soient diluées et donc peu menaçantes ? Faut-il une réglementation plus contraignante, au risque de produire des effets encore plus nocifs ? Ou faut-il tout simplement baisser les bras en se disant que c’est le prix à payer pour ces nouveaux services qui nous ont changé la vie et que la défense de la sphère privée n’est finalement qu’un concept individualiste freinant le progrès ?

Le risque est grand de voir notre liberté se réduire en nous obligeant à considérer chaque décision sachant qu’elle sera enregistrée dans les moindres détails, que personne ne maîtrisera vraiment son accès et sa diffusion, et qu’elle pourra être exploitée plus tard dans un autre contexte. Cette pression sur nos libertés n’est pas acceptable.

Sans compter que la pire des menaces ne vient pas du secteur privé, mais des gouvernements eux-mêmes. La Chine est l’exemple le plus extrême. Le pays ne s’en cache même pas. Les États-Unis, terre de libertés, appliquent pourtant le Cloud act qui permet à l’administration d’obtenir des données personnelles en court-circuitant le pouvoir judiciaire.

L’administration française, qui collecte déjà un nombre impressionnant d’informations sur ses administrés, semblent également prendre une orientation fortement liberticide.

Comment sortir de cette impasse sans faire peser un nouveau fardeau sur le dos des entreprises, mais au contraire en les libérant de la gestion des données personnelles et d’identification ?

Le prochain article exposera la proposition de Génération Libre. Le dernier article de cette série présentera une approche ouverte fondée l’anonymat.

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.