RGPD : un an après, a t-il tenu ses promesses pour les citoyens et consommateurs ?

25 mai 2018

Il y avait un avant, mais l’après a t-il apporté du mieux ? Le règlement général sur la protection des données (RGPD) est entré en application il y a un an (le 25 mai 2018). Ce texte redessine les droits des citoyens et les devoirs des entreprises en matière de données personnelles dans toute l’Union Européenne (UE).

Plus de plaintes

Depuis son application, la Commission nationale de l’informatique et des libertés (CNIL) a enregistré une augmentation de 32 % des plaintes. Près de 12 000 se sont adressées à l’institution pour ce qu’elles considèrent comme une utilisation frauduleuse ou abusive de leur "data".
À l’évidence, le RGPD correspondait à une forte demande...

Aspiration

À vrai dire, avant le RGPD, le droit français protégeait déjà assez bien
les internautes, mieux en tous cas que dans les pays anglo-saxons.
Mais depuis mai 2018, 2 044 signalements ont été faits auprès de l’autorité de contrôle à la suite d’un piratage ou d’une faille de sécurité. Un chiffre pouvant paraître peu élevé mais qui concerne en fait beaucoup de monde : sur Facebook, les données personnelles de millions d’utilisateurs ont été aspirées par des petits "malins".

Protection des jeunes

La "majorité numérique" a été fixée à 16 ans par le RGPD, âge en dessous duquel les sites et applications n’ont pas le droit de collecter les informations concernant les enfants et ados sans l’accord explicite de leurs parents.

Amendes amères...

Des plaintes ont été déposées dans plusieurs pays européens contre de
de grands groupes (Facebook, Apple, Amazon, LinkedIn et Google).
Si les amendes infligées par l’autorité du RGPD sont limitées à 300 000€,
un niveau largement suffisant pour ramener à la raison les PME et ETI,
celles de la CNIL peuvent être beaucoup plus conséquentes et adaptées
à la puissance des géants du Net : Google a ainsi écopé de... 50 millions d’euros. Et la pénalité peut monter à 4% du chiffre d’affaires mondial !

Complexité du consentement

Revers de la médaille : tous les sites ou presque demandent à leurs utilisateurs de donner préalablement leur accord avant de naviguer.
On passe donc son temps à valider des conditions que l’on n’a bien sûr pas le temps de lire (on ne ferait que cela)... même si elles doivent apparaître "sous une forme compréhensible, aisément accessible, et doivent être formulées en termes clairs et simples".

Pistage électronique

Le New York Times a testé l’an dernier dix-sept applications : seules quatre indiquent aux utilisateurs que leurs données peuvent être utilisées à des fins publicitaires. Le quotidien révèle aussi que les annonceurs sont en mesure d’identifier précisément les consommateurs grâce aux données de géolocalisation en actualisant 14 000 fois par jour (!) la position géographique des utilisateurs et en croisant avec d’autres données publiques...

Un exemple pour la Californie

La mise en place du RGPD protégeant les 500 millions d’habitants de l’Union Européenne (plus nombreux que les 330 millions d’Américains) a conduit des états à une réflexion sur les données.
La Californie par exemple s’en est inspirée pour sa propre loi "California Consumer Privacy" qui entrera en vigueur en janvier 2020. Mais qui ne concernera que les sociétés exerçant leurs activités dans cet État de l’ouest, qui réalisent un CA annuel de + 20 M$ et dont les données collectées concernent au moins 50 000 personnes.
Les GAFA sont évidemment concernés, pas la petite boutique en ligne du coin...