À compter du 25 mai, les Européens seront protégés par le RGPD, un texte qui va notamment limiter la collecte des informations au strict nécessaire. (Photo: Mixmagic)

À compter du 25 mai, les Européens seront protégés par le RGPD, un texte qui va notamment limiter la collecte des informations au strict nécessaire. (Photo: Mixmagic)

Face au débat majeur sur la protection des données personnelles, face au scandale Cambridge Analytica et l’utilisation de 87 millions de profils Facebook pour influencer l’élection américaine, face à une prise de conscience – jusqu’en Silicon Valley – sur les abus liés à la monétisation de la vie privée, l’Europe dégaine son arme de prédilection: la régulation

À compter du 25 mai, les Européens seront protégés par le règlement général sur la protection des données personnelles (RGPD, ou GPRD pour les anglophones). Le texte va notamment limiter la collecte des informations au strict nécessaire pour fournir un service, tout ce qui est demandé au-delà de ce minimum devenant optionnel. Et dans tous les cas, avec le consentement libre et explicite de l’utilisateur, qui devra être informé en détail de la nature de la demande. Le principe de transparence est également réaffirmé et la portabilité des données (la possibilité de récupérer ses informations personnelles pour les transférer chez un autre prestataire de service), devient la norme. 

Des règles uniques pour les 27 pays de l’UE

Le règlement s’appliquera à tous, géants américains de l’internet compris, dès lors qu’ils s’adressent à des utilisateurs présents sur le sol européen. Les contrevenants s’exposent à de lourdes amendes (jusqu’à 4% du chiffre d’affaires mondial de l’entreprise sanctionnée). La sévérité de la sanction constitue un point majeur. «Avant le Règlement européen, les possibilités de sanctions étaient faibles, fragmentées, différentes selon le territoire. D’ailleurs, la Commission nationale pour la protection des données (CNPD) du Luxembourg n’avait pas le pouvoir de sanctionner financièrement. À partir du 15 mai, cela sera possible», confirme Christophe Buschmann, membre de la CNDP. L’émergence d’une réglementation européenne contraignante va obliger les Gafam à revoir leurs pratiques (Facebook a d’ores et déjà entrepris une refonte de ses règles de confidentialité) et à adopter un comportement vertueux.

Regrouper les plaintes pour peser davantage

En cas de manquement aux règles de confidentialité, l’utilisateur doit dans un premier temps contacter directement l’entreprise visée et son «DPO», le responsable de la protection des données personnelles. «S’il n’est pas satisfait de la réponse de l’entreprise, il peut nous faire remonter la plainte», explique Christophe Buschmann. La CNDP mène alors une enquête. Et sanctionne l’entreprise si le manquement est avéré, en imposant l’arrêt du traitement des données du plaignant ou encore en fixant une astreinte à payer pour chaque jour de non-exécution de la décision. «Mais attention, les amendes ne sont pas versées à l’utilisateur. Ce sont des sanctions administratives. Si le plaignant veut obtenir un droit à réparation, il devra faire appel à la justice», précise encore la Commission nationale pour la protection des données. Pas de quoi voir les plaintes individuelles s’envoler, donc. 

C’est pourquoi les associations de défense des consommateurs misent sur le regroupement. La Quadrature du net est la première en Europe à entamer une série de procédures collectives contre les grandes entreprises du Net. Elle accuse les Google, Amazon, Facebook, Apple et Microsoft de «marchandiser» la vie des citoyens européens: «Les Gafam nous font payer leurs services avec nos libertés», peut-on lire sur le site. L’association de défense des libertés numériques appelle les internautes à lui donner mandat, en leur nom, pour saisir la CNIL (équivalent de la CNDP, en France). L’objectif est d’inverser le rapport de forces pour faire plier les géants d’Internet et leur imposer un changement radical de leurs pratiques en matière d’utilisation des données personnelles.

Articles Associés