Comment l'Europe compte mieux protéger les données des internautes

Comment l’Europe compte mieux protéger les données des internautes

Les données LIBErées, délivrées

Avatar de l'auteur
Guénaël Pépin

Publié dans

Droit

17/12/2015 11 minutes
16

Comment l'Europe compte mieux protéger les données des internautes

La commission LIBE du Parlement européen vient d'adopter les nouvelles règles sur la protection des données personnelles, sur lequel les institutions européennes se sont mises d'accord ce mardi. Les textes apportent de nombreuses avancées et renforce les sanctions potentielles.

Le chantier des données personnelles avance doucement mais sûrement en Europe. Après quatre ans de négociations, la Commission, le Conseil et le Parlement européens sont arrivés à un accord technique sur une version commune (PDF) mardi soir. Le but : unifier la protection des données personnelles dans tous les États de l'Union. Ce matin, ces textes ont été adoptés par la commission des Libertés civiles, justice et affaires intérieures (LIBE) du Parlement européen, à une très large majorité.

Repenser les règles pour l'ère du big data

Le règlement sur la protection des données personnelles et la directive sur leur usage par les autorités sont le fruit de longues négociations, qui ont subi dès le début un lobbying fort des industries numériques. « Ce sont des négociations très dures avec les Etats membres. On a réussi à obtenir un cadre unifié pour la protection des données personnelles, le droit à l'oubli, le droit à la portabilité des données, [tout en permettant] l'arrivée d'innovations dans des conditions équitables pour les entreprises, avec des sanctions fortes » s'est félicité avant le vote l'eurodéputé Jean Philipp Albrecht, rapporteur du texte.

Celui-ci s'inscrit dans le projet de marché unique numérique (voir notre analyse), porté par la Commission européenne, qui doit faire tomber les barrières entre pays sur le numérique, en unifiant les lois.

Le règlement doit en effet remplacer les règles actuelles, qui datent de 20 ans, une époque où l'exploitation massive des données était encore un mirage et l'existence même d'un acteur comme Facebook de la science-fiction. « Les objectifs et principes de la directive [de 1995 sur les données personnelles] restent sains, mais elle n'a pas empêché la fragmentation de l'implémentation de la protection des données à travers l'Union, un doute légal et une perception publique qu'il y a des risques importants pour la protection des individus en ligne » explique le texte européen.

Une histoire de consentement

Parmi ce flot de propositions, une a particulièrement fait polémique ces derniers jours. Le texte indiquait ainsi que l'accord d'un parent serait nécessaire pour l'inscription à un service en ligne jusqu'à 16 ans, ce qui vise notamment les réseaux sociaux. Il est depuis revenu à une version plus sage, où l'âge limite peut être compris entre 13 et 16 ans, selon ce que souhaite le pays. Chaque service doit « mener des efforts raisonnables » pour s'en assurer.

Un autre point devrait faire grand bruit : l'obligation d'un accord explicite de l'internaute pour exploiter ses données. Aujourd'hui, un consentement est nécessaire dans le cas où un site récolte des données ou utilise des trackers divers. Mais cette notion est encore floue et son application n'est presque pas respectée.

Comme nous avons déjà eu l'occasion de l'évoquer, les sites affichent bien un bandeau d'information, mais se contentent souvent de renvoyer vers une page qui laisse l'utilisateur se débrouiller avec quelques solutions d'« opt-out », sans lui permettre réellement de refuser le ciblage. La CNIL, qui dispose d'une documentation assez précise sur le sujet, indique pourtant sur son site que « des solutions conviviales doivent être mises en œuvre pour que la personne puisse retirer, à tout moment, son consentement aussi facilement qu'elle a pu le donner ». 

De plus, le dépôt des cookies se fait le plus souvent directement, les éditeurs considérant que le fait de visiter le site vaut un accord, alors que là aussi les choses sont claires : « Tant que la personne n'a pas donné son consentement, ces cookies ne peuvent être déposés ou lus sur son terminal. Il doit être requis à chaque fois qu'une nouvelle finalité vient s'ajouter aux finalités initialement prévues. [...] Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. ».

Mais voilà, aucun site ne veut perdre la première visite d'un internaute dans sa mesure d'audience ou même dans le cadre du ciblage publicitaire. Et depuis la transposition de la directive en France, on ne peut pas dire que des décisions drastiques aient été prises sur le sujet. La CNIL dispose néanmoins depuis peu de nouveaux moyens de contrôle en ligne qui lui facilitent la tâche (voir notre analyse).

L'internaute doit exprimer ses choix clairement

Avec son projet de règlement, l'Europe renforce la définition du consentement, considérant que celui-ci doit être « donné par une action claire et affirmative » avec une indication détaillée de l'usage des données. Si plusieurs types de traitements (audience, publicité, etc.) ou services sont concernés, l'utilisateur devra donner son accord pour chacun.

« Cela peut inclure cocher une case sur un site web ou choisir ses paramètres pour un service » propose le texte. « Le silence, des cases pré-cochées ou une inactivité ne doivent donc pas constituer un consentement » prévient-il. Cet accord doit être d'autant plus explicite pour les données sensibles, affirme encore le projet de règlement.

De quoi mettre de l'ambiance dans le secteur. Si le texte reste en l'état, les éditeurs de site seront obligés de revoir leurs pratiques en profondeur. Ils feront en outre face à des internautes pas forcément enclin à laisser l'accès à leurs données si les choses leurs sont présentées plus clairement. D'ailleurs, pourra-t-on encore se féliciter de disposer de 200 millions de cookies déposés chez ses lecteurs d'ici l'année prochaine ?

L'autre secteur qui va devoir s'adapter est celui de la publicité puisque ce dernier voit son avenir dans la collecte et l'utilisation massive de données outre la constitution de profils.

Un renforcement de la notion de consentement pourrait ansi se faire au détriment de tous ceux qui ont misé fort sur le ciblage et renforcer les acteurs qui disposent d'un lien direct avec leur audience. Ceux-ci ne seront évidemment pas épargnés de l'obligation d'informer leurs utilisateurs de la finalité de la collecte, tout en obtenant le précieux consentement.

Portabilité des données et information en cas de fuite

L'Union européenne propose également que les données d'un internaute sur un service soient facilement transportables chez un autre. Chaque service doit donc fournir à l'utilisateur ses données dans un format exploitable et importable par ses concurrents. Pour le moment, cette possibilité reste rare.

Et si certains grands groupes comme Facebook ou Google le proposent pour certains contenus, c'est uniquement en téléchargement, pas dans l'autre sens. Cette portabilité ne doit par contre pas concerner les données d'intérêt public ou scientifique.

Et dans le cas d'une société qui aurait rencontré une fuite d'informations suite à une faille de sécurité par exemple, celle-ci doit notifier l'autorité nationale de surveillance, dans les 72h après la découverte du problème. « Cela à moins que le [service] soit en mesure de démontrer que la faille ne résulte pas en un risque pour les droits et libertés des individus » pondère le projet.

Aujourd'hui, en France, cette obligation ne concerne que les opérateurs télécoms. Les entreprises devront également désigner un agent de protection des données, si elles traitent beaucoup d'informations personnelles et que c'est leur cœur de métier.

Le droit à l'oubli est de la partie

Le texte prône également le droit à l'oubli, qui permet à chaque internaute de faire supprimer ses données par un site ou service. « Ce droit est particulièrement pertinent quand le sujet a donné son consentement enfant, quand il n'était pas pleinement conscient des risques qu'implique un traitement, et veut ensuite supprimer ces données personnelles d'Internet » est-il écrit.

Le droit à l'effacement, qui existe de longue date dans les législations européennes, a déjà été étendu aux moteurs de recherche par la Cour de Justice de l'Union Européenne (CJUE) depuis début 2014.  Aujourd'hui, le sujet donne surtout lieu à un bras de fer entre la CNIL et Google, l'un voulant qu'un déréférencement soit mondial, quand l'autre demande à ce qu'il soit limité à l'Europe, pour l'instant sans succès.

Le droit à l'oubli dans l'optique du règlement, nettement plus musclé, a tout de même des exceptions claires visant le droit d'information ou de recherche. « La rétention ultérieure des données doit être [permise] pour exercer la liberté d'expression et d'information, pour se conformer à une obligation légale, pour l'exercice d'une tâche d'intérêt public, [...] pour la santé publique, des buts de recherche scientifique, statistique, historique ou pour l'exercice d'une réclamation judiciaire » détaille le projet européen.

Amendes : jusqu'à 4 % du chiffre d'affaires mondial

Toutes ces mesures ne serviraient à rien sans des sanctions appropriées en cas de non-respect. C'est l'une des grandes faiblesses du système actuel, où la CNIL - par exemple - a infligé à Google une amende de 150 000 euros début 2014. De l'argent de poche pour le groupe américain.

Avec ce texte, il pourra être question de sommes bien supérieures. « La non-conformité avec un ordre de l'autorité doit être sujet à une amende administrative pouvant atteindre 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires mondial de l'année précédente, selon ce qui est le plus élevé » précise le texte. Les GAFA sont donc prévenus, mais cela devrait aussi calmer les ardeurs de nombreux autres acteurs parfois tentés de jouer avec le feu.

Un désastre... selon les entreprises qui brassent les données

La réception de cette version du texte a été très contrastée. D'un côté, le Parlement européen et certains groupes (comme les députés socialistes) félicitent un texte qui protège bien mieux les internautes. De l'autre, de nombreuses entreprises semblent s'inquiéter de ces nouvelles règles, qui restreignent largement leur champ d'action.

« Même si nous reconnaissons que c'est le moyen d'apporter une plus grande cohérence sur la protection des données en Europe, le résultat n'arrive pas à trouver un équilibre entre la protection du droit des citoyens à la vie privée et la capacité des entreprises européennes à être plus compétitives » affirmait mercredi Digital Europe (PDF), qui représente les géants de l'industrie numérique. « Nous craignons que le texte sur lequel se sont accordés la Commission, le Conseil et le Parlement ne sape la capacité des entreprises à investir, innover et créer de l'emploi » prévient le lobby, qui sera attentif à l'implémentation des mesures.

L'industrie publicitaire s'inquiète également, cette fois de l'obligation de donner un consentement explicite pour la collecte de données. Pour Digiday, le projet européen pose plusieurs problèmes, relevés par des organisations comme l'IAB. La définition de données personnelles serait ainsi trop large, sans granularité.

Surtout, les sociétés qui ne communiquent pas directement avec les internautes mais traitent leurs données, comme les places de marché publicitaires Criteo et AppNexus, vont souffrir de ces nouvelles règles, estime Digiday. Selon eux, ce sont les géants comme Google ou Facebook, qui ont à la fois des liens directs avec les internautes et des plateformes publicitaires, qui y gagneront.

Prochaine étape pour le texte : le vote en séance plénière du Parlement européen, en début d'année prochaine. Si le règlement sur les données et la directive sur leur usage par la police et la justice sont adoptés par les trois institutions européennes, le premier s'appliquera rapidement, quand la deuxième devra être transposée en droit national par les Etats membres deux ans après le vote, soit au plus tard en 2018.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Repenser les règles pour l'ère du big data

Une histoire de consentement

L'internaute doit exprimer ses choix clairement

Portabilité des données et information en cas de fuite

Le droit à l'oubli est de la partie

Amendes : jusqu'à 4 % du chiffre d'affaires mondial

Un désastre... selon les entreprises qui brassent les données

Commentaires (16)




Les données LIBErées, délivrées





BuRn iN HeLL!!!





Nous craignons que le texte sur lequel se sont accordés la Commission, le Conseil et le Parlement ne sape la capacité des entreprises à investir, innover et créer de l’emploi





<img data-src=" /> cette blague a beau revenir tout le temps je ne m’en lasse pas, les lobbys non plus apparemment!


Faut voire comment ils comptent gerer le consentement a chaque fois.

Ca risque aussi d’etre chiant a l’usage.



Pour les publicitaires indirect. non au contraire, ce seront les meilleurs qui resteront, et ca aidera a se concentrer sur les annonceurs ethiques.

La collecte sauvage est tout sauf productif.


Je pense que le plus gros du travail consistera déjà à faire respecter le cas de l’absence de consentement. Il va falloir proposer des solutions de mesure d’audience & co qui sont validées par la CNIL comme Xiti et Piwik sous certaines conditions, et les acteurs feraient mieux de se concentrer sérieusement là dessus avant que ça leur pète à la gueule <img data-src=" />



Pour le reste, c’est surtout une inversion de la charge de la preuve du consentement d’une certaine manière. Actuellement on a les éditeurs qui disent “le lecteur ne refuse pas, donc il accepte”. Là l’Europe dit “comme il n’accepte pas volontairement, c’est qu’il refuse”.&nbsp;


Les cookies, c’est comme un boulet au pied qui se goinfre et grossit, ça en devient pesant <img data-src=" />


“Les données LIBErées, délivrées”

<img data-src=" />


“Un désastre… selon les entreprises qui brassent les données”



Ça fait des années qu’ils pompent les données et ça fait des années qu’on retrouve des navets en DVD ou CD en quantités monstrueuses invendus.&nbsp;


Pitié, pas encore une barre explicative qu’on devra fermer sur tous les sites web.

Plus saoulant tu meurs.



Mon avis est que le consentement devrait être D’ABORD un réglage à faire dans le navigateur. Par défaut, pas de consentement. Et si l’utilisateur veut consentir à l’exploitation de ses données (systématique, au cas par cas où avec liste blanche/noire), LE NAVIGATEUR explique et propose les réglages de vie privée, UNE FOIS pour toutes.








seerom a écrit :



Pitié, pas encore une barre explicative qu’on devra fermer sur tous les sites web.

Plus saoulant tu meurs.



Mon avis est que le consentement devrait être D’ABORD un réglage à faire dans le navigateur. Par défaut, pas de consentement. Et si l’utilisateur veut consentir à l’exploitation de ses données (systématique, au cas par cas où avec liste blanche/noire), LE NAVIGATEUR explique et propose les réglages de vie privée, UNE FOIS pour toutes.





Mais quand les mêmes cookies sont repris par d’autres, on se laisse manipuler du fait de l’accepter pour un









David_L a écrit :







Pour le reste, c’est surtout une inversion de la charge de la preuve du consentement d’une certaine manière. Actuellement on a les éditeurs qui disent “le lecteur ne refuse pas, donc il accepte”. Là l’Europe dit “comme il n’accepte pas volontairement, c’est qu’il refuse”.







A voir comment cela se traduira en pratique, mais en théorie, c’est une excellente chose ^^









2show7 a écrit :



Mais quand les mêmes cookies sont repris par d’autres, on se laisse manipuler du fait de l’accepter pour un





Ça s’appelle les cookies tiers, et il y a un réglage spécifique pour eux dans le navigateur (sur firefox en tout cas). Personnellement j’ai réglé sur “refuser les cookies tiers”.









seerom a écrit :



Ça s’appelle les cookies tiers, et il y a un réglage spécifique pour eux dans le navigateur (sur firefox en tout cas). Personnellement j’ai réglé sur “refuser les cookies tiers”.





C’est fait, mais qui songe à ça ?









2show7 a écrit :



C’est fait, mais qui songe à ça ?





C’est ce que je dis plus haut, le navigateur devrait tout refuser par defaut (à l’achat du pc ou à l’installation) et dès la 1ère tentative de posage de cookie par un site, le navigateur devrait couiner et proposer à l’utilisateur la palette de réglages adéquate.



Comme il fait pour les certificats SSL frauduleux d’ailleurs, explication didactique et concrète, mais appliqué aux réglages de vie privée.









seerom a écrit :



LE NAVIGATEUR explique et propose les réglages de vie privée, UNE FOIS pour toutes.



Non, ma confiance ce n’est pas “tout le monde ou personne”.



Si je vais accepter plus facilement que d’habitude des demandes de Nxi, je serai bien plus méfiant que d’habitude face à un facebook.



“« entre la protection du droit des citoyens à la vie privée et la capacité des entreprises européennes à être plus compétitives » affirmait mercredi Digital Europe ”

En une phrase ils avouent jouer leur compétitivité par le défaut de vie privée, ce qu’ils confirment ensuite

« sape la capacité des entreprises à investir, innover et créer de l’emploi »



Ce qui casse un certain nombre de sites qui sont répartis sur plusieurs domaines. La seule solution qui ne casse pas trop de sites, pour les cookies tiers, c’est l’extension “self-destructing cookies”, combinée avec un privacy badger et un ublock origin/disconnect pour les trackers. Self-destructing cookies efface automatiquement les cookies après fermeture de l’onglet d’un site, par défaut.

Les cookies sont tellement incrustés dans le tissus du web moderne que c’est devenu délicat de s’en débarasser sans impacter les cookies légitimes.








MuadJC a écrit :



Non, ma confiance ce n’est pas “tout le monde ou personne”.



Si je vais accepter plus facilement que d’habitude des demandes de Nxi, je serai bien plus méfiant que d’habitude face à un facebook





Personne n’a parlé d’un réglage “tout le monde ou personne “.

Il s’agit simplement de donner au navigateur les bonnes consignes pour qu’il fasse le job, et ne plus devoir se taper les p* de popup à chaque site web.