Données personnelles: l’Europe en première ligne de défense

Le règlement général sur la protection des données impose de nouvelles obligations aux entreprises comme aux administrations et renforce les droits des utilisateurs.
Photo: Damien Meyer Agence France-Presse Le règlement général sur la protection des données impose de nouvelles obligations aux entreprises comme aux administrations et renforce les droits des utilisateurs.

De révélations en scandales, la confiance envers les géants d’Internet s’est largement fissurée. En réponse, l’Union européenne s’est dotée d’un cadre juridique protecteur et innovant, qui est entré en application vendredi et pourrait faire des envieux.

Les données personnelles, ou la revanche d’une Europe désormais à l’initiative en matière de protection de la vie privée ? Alors que Facebook continue à subir, du moins en pressions politiques, le contrecoup du « scandale Cambridge Analytica » — du nom de cette firme de « marketing » politique proche de l’alt-right américaine, accusée d’avoir siphonné les données de 87 millions d’utilisateurs du réseau social à des fins d’influence —, c’est vers le Vieux Continent que les regards se tournent, y compris aux États-Unis. Le patron de Facebook, Mark Zuckerberg lui-même, a finalement dû accepter de répondre, mardi à Bruxelles, aux présidents des groupes parlementaires européens. Et le règlement général sur la protection des données (RGPD), qui est entré en vigueur vendredi dans l’ensemble de l’Union, est regardé de près outre-Atlantique.

Ce texte, qui impose de nouvelles obligations aux entreprises comme aux administrations et renforce les droits des utilisateurs, va « changer le Web », écrivait Wired en mars. Pour le New York Times, c’est « la plus vaste réforme en matière de législation sur la confidentialité des données de ces vingt dernières années ». Nombre d’observateurs s’interrogent sur ses effets à long terme, sur sa capacité à vraiment faire pièce au pouvoir des grandes plateformes numériques américaines. Mais à tout le moins, c’est désormais l’Union européenne qui donne le tempo.

Cela n’a pourtant pas été une mince affaire : il a fallu plus de quatre ans aux Vingt-Huit pour se mettre d’accord sur ce texte très disputé, successeur d’une directive de 1995. Annoncé par la Commission en janvier 2012 et confié, côté Parlement, au vert allemand Jan Philipp Albrecht, inlassable défenseur des droits fondamentaux, le projet de règlement a longtemps patiné. Le documentaire Democracy du Suisse David Bernet, sorti en 2015, témoigne d’un processus sans cesse contrarié, enjeu d’un lobbying intense, et débloqué, à la mi-2013, par l’irruption sur la scène internationale d’un certain Edward Snowden… Les révélations de l’ancien consultant de la NSA sur la surveillance massive exercée par l’agence de renseignement américaine — notamment via le programme Prism, qui lui permet d’accéder aux données stockées par les géants du Net — sont en effet venues rebattre les cartes. Mais ce n’est qu’au printemps 2016 que le texte a été définitivement adopté.

Fébrilité

Avec une entrée en application fixée au printemps 2018, les acteurs concernés — de l’artisan qui gère un fichier client aux acteurs du big data — avaient donc deux ans pour se mettre dans les clous… mais il y a eu du retard à l’allumage. En France, « à part les très grandes entreprises qui s’y sont mises début 2016, le travail a commencé, pour les plus gros acteurs, mi-2017, explique Etienne Drouard, avocat associé au cabinet K L Gates. Et la panique a commencé à s’emparer des PME en novembre et décembre. »

L’an dernier, la Commission nationale de l’informatique et des libertés (CNIL) s’en inquiétait d’ailleurs, jugeant la « cote d’alerte » atteinte — en mars 2017, seules 10 % des entreprises françaises pensaient pouvoir être prêtes le jour J… Ces derniers mois, études et sondages se sont accumulés, débouchant sur le même constat : la grande majorité des acteurs privés sont en retard. « Bien sûr qu’il faut faire attention à la gestion des données, mais le RGPD risque d’apparaître comme une nouvelle contrainte », glisse-t-on du côté de l’Union des entreprises de proximité (U2P), qui prépare une déclinaison, à destination des patrons de TPE, du guide pratique élaboré par la Banque publique d’investissement (BPI France) et la CNIL.

Signe d’une fébrilité certaine, cette dernière a enregistré en avril et mai des pics de connexions à son site Web et d’appels téléphoniques. Et le branle-bas de combat produit des effets de bord. « L’un des effets non attendus du RGPD, c’est qu’il a généré une guerre nucléaire de la négociation contractuelle entre les entreprises européennes et leurs prestataires américains », explique Étienne Drouard — les seconds en profitant pour rejeter sur les premières la responsabilité de la conformité au règlement. L’échéance du 25 mai a aussi donné naissance à un business d’un nouveau genre : début mai, la CNIL s’est fendue d’une « alerte » dénonçant « les agissements de sociétés promettant de manière peu scrupuleuse une mise en conformité “clé en main” au RGPD » et se présentant comme « certifiées » par le gendarme de la vie privée…

La situation est manifestement meilleure côté secteur public : « Globalement, l’État est prêt », assure Henri Verdier, le patron de la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC). « Pour l’administration numérique, la seule évolution forte est l’obligation de délivrer une réelle information aux personnes sur les informations recueillies et leurs finalités, une pratique déjà rendue nécessaire par la jurisprudence européenne. »

Même très inégalement anticipée et vécue comme un couperet par beaucoup d’acteurs, l’entrée en application du règlement a, en tout cas, déjà commencé à produire des effets pour les utilisateurs, y compris les non-Européens : Apple, par exemple, a annoncé de nouvelles fonctionnalités accessibles à l’ensemble de ses clients. D’autres tentent d’évidence d’en limiter l’impact autant que possible. En avril, Facebook a confirmé à Reuters que les données de ses utilisateurs situés hors d’Europe et d’Amérique du Nord, qui jusqu’ici étaient sous la responsabilité de Facebook Irlande, relèveraient désormais du siège californien : 1,5 milliard de personnes se retrouvent ainsi exclues de la protection du droit européen. De quoi relativiser les louanges décernées par Zuckerberg au RGPD…

Jurisprudence

Côté société civile, en tout cas, l’entrée en application du règlement est attendue de pied ferme. En France, l’association La Quadrature du Net s’apprête à saisir la CNIL de plusieurs actions collectives contre les géants américains du Net. S’appuyer sur le texte européen pour engager des procédures juridiques est aussi l’objectif d’une association européenne, NOYB — acronyme de None of Your Business, « ça ne vous regarde pas » —, lancée par l’Autrichien Max Schrems, juriste et militant de la vie privée.

Et pour cause : si le RGPD marque sans conteste une avancée en matière de droits des utilisateurs, beaucoup reste à faire du côté de la jurisprudence. Les grandes plateformes numériques ont toutes annoncé, ces dernières semaines, des mises à jour de leurs conditions d’utilisation : reste à savoir si ces aggiornamentos sont conformes à l’esprit et à la lettre du cadre européen. Notamment dans le cas du réseau social de Mark Zuckerberg, dont les utilisateurs n’ont, par exemple, d’autre choix que de fermer leur compte s’ils ne souhaitent pas que leurs données soient partagées « à travers les produits des entités Facebook, y compris Instagram, WhatsApp et Oculus »…

En la matière, comme souvent, le diable se niche dans les détails : selon le règlement, un traitement de données personnelles est autorisé si l’utilisateur y consent librement et en connaissance de cause, s’il est indispensable (à l’exécution d’un contrat ou au fonctionnement d’un service, à une obligation légale ou à la préservation des intérêts vitaux d’une personne), mais également s’il répond aux « intérêts légitimes » d’une entreprise sans empiéter sur les droits fondamentaux d’un individu. Nul doute que les géants de la Silicon Valley, armés de bataillons d’avocats, ont bien en tête les subtilités du texte et ses marges d’interprétation. C’est désormais aux CNIL européennes et aux tribunaux qu’il revient de fixer le curseur entre les intérêts des champions de la data et les droits des citoyens.