Les fermetures et blocages d'internautes se multiplient à l'approche d'une meilleure protection des données personnelles en Europe. Brandi par certains comme un épouvantail, il sert parfois de prétexte pour couper des activités gênantes pour d'autres raisons.
Branle bas de combat sur la vie privée. Le Règlement général sur la protection des données (RGPD) entre en application demain. Le service de sauvegarde d'articles Instapaper vient d'annoncer une fermeture temporaire pour les Européens, le temps de se conformer au texte, voté il y a deux ans. Aucun changement n'est détaillé dans l'email envoyé aux utilisateurs, sans date de retour en ligne.
Cette fermeture restera en principe temporaire. Ce ne sera pas le cas pour d'autres sociétés, qui ont prévenu de l'arrêt de leur activité dans l'Union européenne, estimant le risque trop grand. Des jeux vidéo, des boutiques et des spécialistes du pistage publicitaires abandonnent ainsi le Vieux continent.
Pour rappel, le RGPD partage de nombreux principes avec la loi CNIL, tout en apportant de nouvelles obligations et de nouveaux droits. L'une des principales nouveautés réside dans le rehaussement des sanctions (jusqu'à 4 % du chiffre d'affaires mondial) et l'application de ces règles hors de l'Union européenne. Dans de nombreux cas, les entreprises qui ne peuvent pas se conformer au règlement violent sans doute déjà la loi CNIL de 1978 et la directive de 1995 sur la protection des données.
Dites adieu à certains jeux vidéo
L'une des premières annonces est venue de Gravity Playground, l'éditeur de jeux en ligne tel Ragnarok Online. « Tous les comptes enregistrés depuis l'Europe seront désactivés le 25 mai. Tout accès depuis l'Europe sera interdit et nous n'accepterons plus d'utilisateurs européens sur notre service » écrit l'entreprise sur le forum de son portail WarpPortal. L'accès est censé être coupé ce 24 mai, le remboursement des clients ayant débuté le 15 mai.
Super Monday Night Combat a fermé ses portes le 23 mai. Sur Steam, Uber Entertainment déclare que se conformer au règlement serait trop coûteux, donc qu'il vaut mieux fermer les serveurs, après six ans d'activité. Le jeu compterait une dizaine de joueurs en simultané sur le mois dernier, en moyenne.
Même destin pour Loadout, qui ferme ce soir. « Nous protégeons toujours votre vie privée, et nous ne voulons rien d'autre. Nous n'avons simplement pas les moyens de remanier Loadout et implémenter de nouvelles fonctions pour répondre à la longue liste de nouvelles obligations » écrit l'équipe. Le jeu, qui aurait accueilli neuf millions de joueurs depuis la bêta fermée en 2012, subit aussi la fermeture d'une vieille offre de son hébergeur, ainsi que la hausse des coûts d'hébergement.
Goodbye Loadout.
Le service Tunngle, qui permettait de jouer « en LAN via Internet », donc de simuler un réseau local pour les jeux le réclamant pour le multijoueur, a mis la clé sous la porte le 30 avril. Le coût d'adaptation au règlement est aussi invoqué.
Une autre disparition serait à imputer indirectement au RGPD. C'est celle du site de statistiques Steam Spy, qui se fonde sur les profils publics des membres de Steam pour évaluer le succès des jeux. À la mi-avril, Valve a passé l'ensemble des profils de ses membres en privé par défaut, le privant de ces précieuses données.
Ce n'est qu'un au revoir, Unroll.me
L'une des fins d'activité les plus spectaculaires est celle d'Unroll.me, qui bloque désormais les internautes européens. Le service est temporairement inaccessible depuis hier pour le Vieux continent. Comme Instapaper, le service ne fournit aucune date de retour. Dans sa FAQ, il assure que la suppression des comptes des résidents européens « est la loi ».
Pour mémoire, Unroll.me se spécialise dans l'analyse des emails pour détecter les newsletters et aider les internautes à s'en désinscrire. Une noble intention qui cache un modèle économique plus trouble. L'an dernier, il a été révélé qu'Uber a acheté des reçus anonymisés de concurrents à Unroll.me, piochées dans les boites email des utilisateurs. La société avait simplement rappelé que les internautes avaient accepté cette revente à l'inscription.
Parity, une entreprise spécialisée dans les crypto-monnaies, coupe aujourd'hui son service Picops, destiné à garantir l'identité des possesseurs de portefeuilles Ethereum. L'idée était ainsi de rendre les levées de fonds (ICO) plus sûres. Dans le cas où Parity pourrait conformer Picops au RGPD, l'outil verrait ses fonctions drastiquement réduites.
« Le géoblocage n'est pas une stratégie valide »
Comme tout changement, le règlement est une formidable opportunité marketing. De très nombreuses sociétés de conseil ont sauté dans le wagon, pour aider petites et grandes entreprises à se mettre en conformité avant le terrible couperet du 25 mai. D'autres vendent des solutions de facilité, comme GDPR Shield.
Le service, qui a fait sensation à son annonce, propose tout simplement de bloquer les internautes européens. Plus d'Européens, plus de problème. Il suffisait d'y penser. Le site est inaccessible ce jeudi 24 mai, et l'efficacité concrète de l'approche pose question. Dans la mesure où les internautes devront de toute façon se connecter aux sites avant d'être bloqués, et qu'il est possible d'éviter la détection (par exemple via un VPN), il n'est pas dit que l'outil serve à autre chose que donner un faux sentiment de sécurité.
Ha. . . I should have checked to make sure the blocking was live (it is now). Yes, we're blocking EU visitors.
— Steel Root (@steel_root) 5 mai 2018
Steel Root, une société de Boston « spécialiste de la cybersécurité et de la conformité », dit aussi bloquer les internautes européens. Pourtant, la société l'affirme : « Le géoblocage en soi n'est pas une stratégie valide, vu que le RGPD couvre les Européens peu importe leur position physique ». Quand bien même l'article 3 du RGPD limite l'application aux personnes « sur le territoire de l'Union ». Pour Steel Root, l'important reste de montrer son attention pour la protection des données.
De même, les sociétés qui ne s'adressent pas aux clients européens pourraient s'estimer en sécurité. C'est l'une des raisons invoquées par Brent Ozar, une société de formation à Microsoft SQL Server, qui coupe son activité européenne, représentant moins de 5 % de son chiffre d'affaires.
Le pistage publicitaire en question
Ces derniers jours, nombre de grands groupes comme Oath (ex-Yahoo) ont révisé le dépôt de cookies par leurs sites. Certaines entreprises pistant les internautes disent abandonner la partie. Drawbridge, spécialiste du tracking d'un internaute sur plusieurs terminaux, coupe aussi son activité européenne. À AdExchanger, la société déclare qu'elle est incapable d'obtenir le consentement explicite de chaque internaute pour son tracking, vu que son service ne leur apparaît jamais.
Drawbridge déplace ses équipes londoniennes à New York. Elle compte tout de même revenir en Europe, par exemple en ouvrant l'accès à ses données à d'autres entreprises, sans pour autant héberger celles d'utilisateurs européens.
Le 11 mai, Verve a fermé ses bureaux à Londres et Munich. « Nous avons déterminé que la régulation n'est pas favorable à notre modèle économique spécifique » déclare l'entreprise, spécialiste de la géolocalisation, qui se concentre désormais sur les États-Unis. Selon Digiday, le RGPD serait utilisé comme prétexte pour quitter l'Europe, un marché plus difficile que d'autres vu le poids des agences médias, qui feraient notamment proxy avec les annonceurs au Royaume-Uni.
Apple a récemment retiré certaines applications de l'AppStore, dont celles de médias français, pour l'intégration de Teemo, un outil de géolocalisation des mobinautes. Il est reproché à Teemo une collecte sans consentement, pour des motifs inappropriés. La société a inspiré la création d'Exodus Privacy, un outil de détection des outils de tracking cachés dans les applications Android (voir notre analyse).
Outre-Atlantique, la surprise domine les réactions. Si les entreprises françaises semblent s'être réveillées il y a un an, les États-Unis percevraient toujours le sujet comme lointain. Avec une incompréhension face à l'extraterritorialité de cette nouvelle réglementation. Un discours répandu, de Bleeping Computer à CNN, est que la conformité au RGPD a un coût exorbitant pour les PME. Une affirmation que le CESIN avait battu en brèche en France, alors que la CNIL répète que le 25 mai ne sera pas un couperet pour les entreprises, encore moins les petites.
