Ce vendredi 25 mai, le Règlement général sur la protection des données (RGPD) entre officiellement en vigueur dans l’Union européenne. Mais au fait, qu’est-ce que c’est ? Thomas Fauré, fondateur de Whaller, un réseau social sans exploitation des données personnelles, nous aide à y voir plus clair.
À voir aussi sur Konbini
Depuis quelques jours, nos boîtes mails sont inondées par des messages envoyés par des services web auxquels on a souscrit (et qu’on a parfois oubliés), qui nous informent de la mise à jour de leurs conditions d’utilisation. Parfois, cela prend aussi la forme de petites fenêtres intempestives lorsqu’on se connecte sur tel ou tel site de vente en ligne.
En bons élèves, ces services se préparaient à l’entrée en vigueur dans l’Union européenne (UE) du Règlement général sur la protection des données (RGPD), ce vendredi 25 mai. Ce texte vise à uniformiser les règles de protection des données dans les pays membres de l’UE.
Thomas Fauré, fondateur de Whaller, un réseau social sans exploitation des données personnelles, nous aide à y voir plus clair. Selon lui, la notion de “consentement explicite” que le RGPD met en place permet aux grandes plateformes de faire du chantage à leurs utilisateurs.
-
C’est quoi le RGPD ?
C’est le Règlement général sur la protection des données (RGPD), qui a été élaboré par le Parlement européen, avant d’être décliné dans chacun des pays adhérents à l’Union européenne, et qui rentre en application ce 25 mai.
L’objectif principal du RGPD, contrairement à ce qu’on raconte partout, n’est pas la protection, mais la libre circulation des données. La nouvelle réglementation encadre les données pour qu’elles puissent circuler plus librement sur Internet.
-
C’est quoi une donnée personnelle ?
C’est tout ce qui permet d’identifier une personne physique.
-
Qu’est-ce qui va changer aujourd’hui ?
Il va y avoir des restrictions sur la collecte de données. Elles suivent deux principes : la finalité et la proportionnalité. Désormais, un professionnel peut uniquement collecter des données personnelles en rapport avec la finalité de son activité. Évidemment, il y a un aspect du RGPD qui s’intéresse au consentement des utilisateurs. Désormais, il faut que le consentement soit explicite, et qu’il ne soit jamais donné par défaut.
Le deuxième aspect c’est la proportionnalité : la nature des informations récoltées doit être proportionnelle à cette finalité. Si on veut vendre un produit, on va pouvoir collecter des données sur l’appétence liée à ce produit mais pas sur autre chose, comme l’orientation sexuelle par exemple.
-
Qu’est-ce que ça va changer pour les utilisateurs ?
Le vrai changement sur le fond, c’est la portabilité. Avant, on pouvait exiger l’accès à ses données et il existait un droit à l’oubli, à l’effacement. Ce que rajoute le RGPD, c’est la portabilité, c’est-à-dire notamment le droit de demander un export de ses données sous forme de fichier.
La deuxième chose, c’est que les utilisateurs vont devoir donner leur consentement explicite sur la collecte de ces données. C’est d’ailleurs pour ça qu’on voit en ce moment arriver dans nos boîtes mails des tas de courriels du type “consentement explicite, veuillez cliquer ici si vous acceptez qu’on vous envoie encore des mails”.
-
Concrètement, que se passe-t-il si on refuse de “consentir explicitement” ?
Si vous ne faites rien, si vous ne cliquez pas sur le lien, en principe ces services n’ont plus le droit de vous solliciter. Mais je n’y crois pas une seule seconde : c’est hyper contraignant.
-
Nos données seront-elles mieux protégées ?
À mon avis, non. L’esprit du texte, ce n’est pas de mettre des barrières autour des données, mais plutôt d’encadrer leur libre circulation. Prenons l’exemple de Facebook, qui collecte des données personnelles sur tout et n’importe quoi : clics, likes, photos, etc. Pensez-vous que Facebook va changer quelque chose de son logiciel ?
Désormais, dès qu’un utilisateur a consenti explicitement aux règles ordonnées par les plateformes, elles peuvent faire ce qu’elles veulent. Le seul enjeu maintenant pour ces grandes plateformes, c’est de faire accepter leurs conditions générales d’utilisation.
Elles ont donc toutes fait la même chose. On se connectait une fois et soit on pouvait dire “j’accepte les conditions de traitement des données”, soit on cliquait sur non et on n’avait plus accès au service. Ça s’appelle du chantage. Donc c’est une fumisterie. C’est un texte bien intentionné, mais ce n’est pas très réaliste. De plus, ça pénalise davantage les petites entreprises que les GAFA [Google, Apple, Facebook et Amazon, ndlr]. Toutes les entreprises qui ont un fichier clients qui contient des données personnelles sont concernées.