Tirer profit du Big Data sans compromettre nos libertés (3/5)

Est-ce que le RGPD vous protège vraiment ?

Partager sur:
Sauvegarder cet article
Aimer cet article 0
GDPR and eprivacy regulation by Dennis van der Heijden (CC BY 2.0)

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Tirer profit du Big Data sans compromettre nos libertés (3/5)

Publié le 31 mai 2020
- A +

 

Soucieuse de protéger la sphère privée, mais également consciente des enjeux économiques, L’Europe a introduit le RGPD, censé protéger les individus tout en permettant le développement économique. Est-ce que la mission est accomplie ?

Les deux premiers articles de cette série (ici et ici) ont montré les bénéfices extraordinaires qu’offre l’exploitation des données, mais aussi la menace de rejet par les individus sentant leurs libertés individuelles menacées. Nous allons à présent voir la réponse donnée par l’Europe.

Qu’est-ce que le RGPD ?

Le RGPD – Règlement Général de Protection des Données – est entré en application le 25 mai 2018, il y a donc tout juste deux ans. Il vise à encadrer l’utilisation des données personnelles par les entreprises. Ces objectifs sont :

  1. Limiter l’utilisation des données personnelles par les entreprises au strict minimum nécessaire et faire adopter le principe du privacy by design qui place le respect des données personnelles en amont de la conception.
  2. Fournir une description précise des données collectées, des traitements appliqués, de la période de rétention de l’information, et demander un consentement explicite à la personne fournissant ses données personnelles.
  3. Maintenir les données personnelles à jour.
  4. Interdire les données dites sensibles : la religion, l’origine ethnique, les idées politiques, les orientations sexuelles.
  5. Fournir sur demande d’un client une copie de l’ensemble des données le concernant, permettre la portabilité de ses données vers d’autres entités, permettre la rectification ou la suppression ses données personnelles (droit à l’oubli). Ces demandes de rectification et d’effacement doivent ensuite, par cascade, être transférées aux entités auxquelles les données ont été transmises, et ainsi permettre de propager ces instructions à chaque intermédiaire.
  6. S’assurer que les entreprises mettent en œuvre les moyens nécessaires pour garantir un niveau de sécurité adapté au risque.
  7. Prévoir des amendes en cas de non-respect de ces règles allant jusqu’à 4 % du chiffre d’affaires.

Et tout cela en respectant évidemment toutes les autres réglementations existantes qu’elles soient européennes ou nationales.

Le RGPD prévoit aussi que chaque entreprise se dote d’un DPO (Data Protection Officer) qui veillera à la bonne application de cette réglementation, et coordonnera toutes les demandes de copie, rectification ou effacement de données.

Il s’agit d’un règlement extraterritorial s’appliquant non seulement aux entités actives sur le territoire européen, mais également à toutes celles qui traitent des données concernant des citoyens européens où qu’elles se trouvent dans le monde.

RGPD, un résultat peu probant

Un premier effet visible lors son introduction a été l’apparition sur les sites Internet d’un bandeau demandant d’accepter l’utilisation de cookies. Le cookie est une fonctionnalité informatique qui demande un bon niveau technique pour comprendre précisément de quoi il s’agit. Souvent, un lien « plus d’informations » vous redirige vers une page d’explication.

Malheureusement, c’est sans doute un peu plus de confusion que cette page apporte à l’internaute. Souvent, il n’a pas le choix : c’est ça ou rien. Au passage, il n’aura toujours pas compris le fondement technique du cookie, ni les raisons qui ont conduit à son utilisation, ni son rôle à la fois essentiel mais très limité, ni ce que le site en question va faire de ces cookies qu’il laissera sur votre appareil.

Plus important encore, il ne pourra pas savoir si des données personnelles vont lui être soutirées par le site ou par d’autres sites partenaires. Cet exemple de l’application du RGPD n’a rien d’anecdotique. Au contraire, il est très révélateur.

Il montre la prédominance d’une approche juridique par l’acceptation d’une décharge souvent incompréhensible qui ne protège pas l’utilisateur, mais le site, ne réduit ni ne limite les données transmises au site, et ne rend pas au visiteur le contrôle de ces données.

À verser au crédit du RGPD, toutes les entreprises sont désormais sensibilisées, ont mis en place des structures dédiées et ont sensibilisé leurs collaborateurs. Ce qui est déjà un premier pas. Mais pour l’instant, très peu réussissent à respecter les règles édictées par le RGPD.

Hormis les effets les plus visibles que sont les bandeaux de validation des cookies, les conditions générales mise à jour et la création du rôle de DPO, les objectifs fixés par le RGPD sont encore loin d’être respectés par la plupart des entreprises. Il est en effet très compliqué de réduire les données collectées au strict minimum alors que les systèmes et les processus sont déjà en place.

Encore plus compliqué de garantir l’extraction des données personnelles et leur effacement à la demande. Dans bien des cas, les entreprises déploient une grande part des efforts à faire signer des décharges de plus en plus complexes aux usagers.

Pour preuve de cet échec, en l’espace d’un an, 89 000 notifications de violations de données et 144 000 plaintes ont été déposées en France. Ce nombre, en forte augmentation, montre qu’il existe une véritable attente de la part des usagers et qu’elle n’est pas satisfaite.

Autres pays

D’autres pays suivent le même chemin : la Californie avec CCPA, une forme de RGPD moins contraignant mais aussi extra-territorial, la future LPD Suisse qui peine à être finalisée sera moins contraignante aussi. De manière générale l’Europe sera la région la plus contraignante. Cette carte établie par la CNIL montre que beaucoup de pays ont un cadre législatif concernant les données personnelles.

Difficulté de mise en œuvre

Non seulement le RGPD demande à chaque entreprise de créer une expertise forte sur un sujet complexe, mais surtout ses exigences demandent de modifier les systèmes informatiques pour limiter les données personnelles au strict minimum et pour en permettre l’extraction et l’effacement à la demande des usagers.

Tout cela a un coût et requiert de l’énergie non productive. Même avec beaucoup de bonne volonté et des moyens suffisants, rares sont les entreprises satisfaisant pleinement les règles du RGPD.

L’objectif pourra néanmoins être atteint avec le temps et en y mettant les moyens. À noter que cette situation n’est pas inédite, d’autres règlements ont été définis sans prendre en considération la difficulté de mise en œuvre : MIFID2, taxes sur les transactions, etc. sont si complexes que les objectifs ne sont pas toujours pleinement atteints et que les coûts grèvent malheureusement les résultats de beaucoup d’entreprises.

Pensons aussi aux entreprises étrangères pour qui l’investissement peut être totalement disproportionné si leurs relations européennes sont minoritaires. Elles auront le choix de refuser des citoyens européens dans leurs relations.

Le RGPD ne règle pas la question de l’anonymat

Sans mystère, les entreprises collectent de plus en plus de données personnelles car nous interagissons de plus en plus avec elles. Nous le faisons à présent en ligne et donc en nous identifiant. Et c’est précisément en nous identifiant que nous avons perdu l’anonymat qui nous protégeait dans l’ancienne économie.

Remontons à l’époque où la carte de crédit n’existait pas encore, la quasi-totalité des transactions étaient anonymes : taxis, bus, métro, trains, parking, seuls les billets d’avion étaient nominatifs. Achats, spectacles, lectures, regarder la TV étaient des activités anonymes.

La divulgation des données personnelles a commencé avec l’introduction de la carte de crédit, permettant à votre banque –  ainsi que l’organisme gérant la carte – de connaître vos dépenses en détail : le commerçant, le lieu, le montant et l’instant exact de chaque transaction ont été mises à disposition de votre banque.

Ensuite, le succès des plateformes digitales a eu comme conséquence une extension spectaculaire de cette intrusion dans la sphère privée. Tous les échanges par e-mail sont visibles de votre fournisseur de mail, il en est de même pour les messageries instantanées, vos trajets sont enregistrés dans les moindres détails, vos achats, vos activités, et les programmes TV que vous regardez par votre box ou plateforme TV.

Même lors d’une balade en forêt, durant laquelle vous prendrez votre téléphone avec vous, sera géotracé. Les objets connectés prolongeront encore le phénomène en enregistrant vos paramètres physiologiques (poids, rythme cardiaque, sommeil, etc.) et vos comportements, déplacements, agissement au plus intime de votre propre domicile.

À partir du moment où les services sont payants, vous devez créer un compte et payer, donc divulguer votre vrai nom pour l’utilisation de votre carte de crédit. Les plateformes de transport, d’achat en ligne, de vidéo, de musique, de service cloud connaissent votre identité par vos paiements. Même une plateforme d’e-mail gratuit, en consultant vos mails, peut facilement vous identifier.

Est-ce que le RGPD vous protège ?

Face à cette violation de la sphère privée, le RGPD vous propose de valider des décharges incompréhensibles ou alors de quitter le monde moderne. On rappellera que dans le scandale Cambridge Analytica les usagers avaient explicitement validé l’accès à leurs données personnelles alors qu’ils voulaient juste accéder à un jeu dans l’environnement Facebook. Noyés dans les conditions générales et sans vraiment avoir le choix, s’ils voulaient accéder à ce jeu, la plupart des internautes avaient cliqué “J’accepte”.

Le RGPD apportera un peu plus de transparence et permettra d’éviter des dérapages grossiers, mais il n’évitera pas la collecte massive de données personnelles, ni leur transmission à des entités tierce. Par le lien que conserveront ces entités, elles pourront utiliser tout ce que révèleront vos données pour exercer une influence sur votre personne. Donc non, le RGPD ne protège pas à la hauteur des exigences à venir.

L’un des effets garantis du RGPD est l’augmentation inévitables des coûts nécessaires au financement de la mise en œuvre de ce règlement bureaucratique et peu tourné vers les technologies naissantes.

Que faire ?

Faut-il accepter cette situation faute de mieux ? Faut-il compter sur la multiplicité des acteurs pour que ses données soient diluées et donc peu menaçantes ? Faut-il une réglementation plus contraignante, au risque de produire des effets encore plus nocifs ? Ou faut-il tout simplement baisser les bras en se disant que c’est le prix à payer pour ces nouveaux services qui nous ont changé la vie et que la défense de la sphère privée n’est finalement qu’un concept individualiste freinant le progrès ?

Le risque est grand de voir notre liberté se réduire en nous obligeant à considérer chaque décision sachant qu’elle sera enregistrée dans les moindres détails, que personne ne maîtrisera vraiment son accès et sa diffusion, et qu’elle pourra être exploitée plus tard dans un autre contexte. Cette pression sur nos libertés n’est pas acceptable.

Sans compter que la pire des menaces ne vient pas du secteur privé, mais des gouvernements eux-mêmes. La Chine est l’exemple le plus extrême. Le pays ne s’en cache même pas. Les États-Unis, terre de libertés, appliquent pourtant le Cloud act qui permet à l’administration d’obtenir des données personnelles en court-circuitant le pouvoir judiciaire.

L’administration française, qui collecte déjà un nombre impressionnant d’informations sur ses administrés, semblent également prendre une orientation fortement liberticide.

Comment sortir de cette impasse sans faire peser un nouveau fardeau sur le dos des entreprises, mais au contraire en les libérant de la gestion des données personnelles et d’identification ?

Le prochain article exposera la proposition de Génération Libre. Le dernier article de cette série présentera une approche ouverte fondée sur l’anonymat.

Voir les commentaires (4)

Laisser un commentaire

Créer un compte Tous les commentaires (4)
  • Merci pour cet article. J’attends la suite car j’ai fini par renoncer (car dans la majorité des cas c’est fait pour) et je clique maintenant systématiquement sur « j’accepte » en ayant chaque fois la désagréable impression d’accepter des choses que je ne souhaite pas accepter.

  • Merci pour cet article qui en attendant la suite permet de désinstaller nombres d’applications sur son téléphone.

  • Il est vrai que ce règlement n’est pas la panacée, mais bien que l’on accepte sans trop savoir ce que l’on accepte, nous avons le choix d’accepter :-). C’est mieux que rien, mais ce pourrait être mieux.
    Dans mon entreprise, c’est un point extrêmement important, qui a été dur à mettre en place, car nous traitons des millions d’adresses postales liées à des publications publicitaires par courrier : en gros, une personne qui aurait accès à nos fichiers pourraient savoir tout ce que M. X a reçu comme publicité ciblée de la part de dizaine de magasins.
    Perso, mes plus grosses craintes sur mes données personnelles sont le secteur privé. Par contre, je ne souhaite pas que l’Etat sache quel site je visite, mais je m’en fous s’il sait que j’ai payé 20 euro chez Carrefour tant qu’il ne sait pas ce que j’ai acheté.
    La défense des données perso n’est pas facile.. Pour l’anecdote, il y a quelques mois, un site bien connu m’a menacé de poursuites car je souhaitais exercer mon droit de regard sur mes données et que mon insistance légitime n’était pas de leur goût. Bref bref.

  • Actualité récente : Surgisphère (la source du fameux fumeux article paru au Lancet) se vante d’avoir constitué une base de dossiers santés électroniques dans des conditions d’opacité absolue, et cela ne pose pas de problème à Véran pour utiliser leurs résultats… Et l’éthique alors ?
    Pire, une directrice de recherche a regretté que l’étude ne soit pas par pays. Imaginez un peu si des résultats apparaissaient pour la France ?

  • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

L'auteur : Yoann Nabat est enseignant-chercheur en droit privé et sciences criminelles à l'Université de Bordeaux

Dans quelle mesure les différentes générations sont-elles plus ou moins sensibles à la notion de surveillance ? Un regard sur les personnes nées au tournant des années 1980 et 1990 montre que ces dernières abandonnent probablement plus facilement une part de contrôle sur les données personnelles, et n’ont sans doute pas eu totalement conscience de leur grande valeur.

Peut-être qu’à l’approche des Jeux olympiques de ... Poursuivre la lecture

Internet rend toutes vos données publiques et éternelles. Or, chaque donnée peut vous porter préjudice ultérieurement.

Dans cet article, nous examinerons les mesures que vous pouvez prendre pour protéger les données de vos enfants et garantir leur sécurité en ligne.

 

Sensibiliser au risque

Les données alimentent notre traçage sur internet, et parfois des trafics douteux.

On trouve sur internet des reventes massives de comptes Facebook ou Instagram, de cartes bancaires pirates ou des photos illégales. De pl... Poursuivre la lecture

Devant le Congrès américain, Sam Altman a semblé, comme j’ai pu l’évoquer dans un précédent article, vouloir se faire passer pour un lanceur d’alerte en appelant concomitamment de ses vœux une régulation par le politique.

Notre bien étrange lanceur d’alerte menaçait de retirer l’ensemble de son activité de l’Union européenne si le texte sur la régulation de l’IA sur laquelle cette dernière travaillait : The Artificial Intelligence Act (AI Act), était adopté en l’état.

 

Paradoxe ? Pas le moins du monde 

Lors de son... Poursuivre la lecture

Voir plus d'articles