Comment l'Europe compte mieux protéger les données des internautes

Les données LIBErées, délivrées 16
En bref
image dediée
Crédits : Joris Van Ostaeyen/iStock/Thinkstock
Loi ANALYSE
Par
le jeudi 17 décembre 2015 à 15:30
Guénaël Pépin

La commission LIBE du Parlement européen vient d'adopter les nouvelles règles sur la protection des données personnelles, sur lequel les institutions européennes se sont mises d'accord ce mardi. Les textes apportent de nombreuses avancées et renforce les sanctions potentielles.

Le chantier des données personnelles avance doucement mais sûrement en Europe. Après quatre ans de négociations, la Commission, le Conseil et le Parlement européens sont arrivés à un accord technique sur une version commune (PDF) mardi soir. Le but : unifier la protection des données personnelles dans tous les États de l'Union. Ce matin, ces textes ont été adoptés par la commission des Libertés civiles, justice et affaires intérieures (LIBE) du Parlement européen, à une très large majorité.

Repenser les règles pour l'ère du big data

Le règlement sur la protection des données personnelles et la directive sur leur usage par les autorités sont le fruit de longues négociations, qui ont subi dès le début un lobbying fort des industries numériques. « Ce sont des négociations très dures avec les Etats membres. On a réussi à obtenir un cadre unifié pour la protection des données personnelles, le droit à l'oubli, le droit à la portabilité des données, [tout en permettant] l'arrivée d'innovations dans des conditions équitables pour les entreprises, avec des sanctions fortes » s'est félicité avant le vote l'eurodéputé Jean Philipp Albrecht, rapporteur du texte.

Celui-ci s'inscrit dans le projet de marché unique numérique (voir notre analyse), porté par la Commission européenne, qui doit faire tomber les barrières entre pays sur le numérique, en unifiant les lois.

Le règlement doit en effet remplacer les règles actuelles, qui datent de 20 ans, une époque où l'exploitation massive des données était encore un mirage et l'existence même d'un acteur comme Facebook de la science-fiction. « Les objectifs et principes de la directive [de 1995 sur les données personnelles] restent sains, mais elle n'a pas empêché la fragmentation de l'implémentation de la protection des données à travers l'Union, un doute légal et une perception publique qu'il y a des risques importants pour la protection des individus en ligne » explique le texte européen.

Une histoire de consentement

Parmi ce flot de propositions, une a particulièrement fait polémique ces derniers jours. Le texte indiquait ainsi que l'accord d'un parent serait nécessaire pour l'inscription à un service en ligne jusqu'à 16 ans, ce qui vise notamment les réseaux sociaux. Il est depuis revenu à une version plus sage, où l'âge limite peut être compris entre 13 et 16 ans, selon ce que souhaite le pays. Chaque service doit « mener des efforts raisonnables » pour s'en assurer.

Un autre point devrait faire grand bruit : l'obligation d'un accord explicite de l'internaute pour exploiter ses données. Aujourd'hui, un consentement est nécessaire dans le cas où un site récolte des données ou utilise des trackers divers. Mais cette notion est encore floue et son application n'est presque pas respectée.

Comme nous avons déjà eu l'occasion de l'évoquer, les sites affichent bien un bandeau d'information, mais se contentent souvent de renvoyer vers une page qui laisse l'utilisateur se débrouiller avec quelques solutions d'« opt-out », sans lui permettre réellement de refuser le ciblage. La CNIL, qui dispose d'une documentation assez précise sur le sujet, indique pourtant sur son site que « des solutions conviviales doivent être mises en œuvre pour que la personne puisse retirer, à tout moment, son consentement aussi facilement qu'elle a pu le donner ». 

De plus, le dépôt des cookies se fait le plus souvent directement, les éditeurs considérant que le fait de visiter le site vaut un accord, alors que là aussi les choses sont claires : « Tant que la personne n'a pas donné son consentement, ces cookies ne peuvent être déposés ou lus sur son terminal. Il doit être requis à chaque fois qu'une nouvelle finalité vient s'ajouter aux finalités initialement prévues. [...] Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. ».

Mais voilà, aucun site ne veut perdre la première visite d'un internaute dans sa mesure d'audience ou même dans le cadre du ciblage publicitaire. Et depuis la transposition de la directive en France, on ne peut pas dire que des décisions drastiques aient été prises sur le sujet. La CNIL dispose néanmoins depuis peu de nouveaux moyens de contrôle en ligne qui lui facilitent la tâche (voir notre analyse).

L'internaute doit exprimer ses choix clairement

Avec son projet de règlement, l'Europe renforce la définition du consentement, considérant que celui-ci doit être « donné par une action claire et affirmative » avec une indication détaillée de l'usage des données. Si plusieurs types de traitements (audience, publicité, etc.) ou services sont concernés, l'utilisateur devra donner son accord pour chacun.

« Cela peut inclure cocher une case sur un site web ou choisir ses paramètres pour un service » propose le texte. « Le silence, des cases pré-cochées ou une inactivité ne doivent donc pas constituer un consentement » prévient-il. Cet accord doit être d'autant plus explicite pour les données sensibles, affirme encore le projet de règlement.

De quoi mettre de l'ambiance dans le secteur. Si le texte reste en l'état, les éditeurs de site seront obligés de revoir leurs pratiques en profondeur. Ils feront en outre face à des internautes pas forcément enclin à laisser l'accès à leurs données si les choses leurs sont présentées plus clairement. D'ailleurs, pourra-t-on encore se féliciter de disposer de 200 millions de cookies déposés chez ses lecteurs d'ici l'année prochaine ?

L'autre secteur qui va devoir s'adapter est celui de la publicité puisque ce dernier voit son avenir dans la collecte et l'utilisation massive de données outre la constitution de profils.

Un renforcement de la notion de consentement pourrait ansi se faire au détriment de tous ceux qui ont misé fort sur le ciblage et renforcer les acteurs qui disposent d'un lien direct avec leur audience. Ceux-ci ne seront évidemment pas épargnés de l'obligation d'informer leurs utilisateurs de la finalité de la collecte, tout en obtenant le précieux consentement.

Portabilité des données et information en cas de fuite

L'Union européenne propose également que les données d'un internaute sur un service soient facilement transportables chez un autre. Chaque service doit donc fournir à l'utilisateur ses données dans un format exploitable et importable par ses concurrents. Pour le moment, cette possibilité reste rare.

Et si certains grands groupes comme Facebook ou Google le proposent pour certains contenus, c'est uniquement en téléchargement, pas dans l'autre sens. Cette portabilité ne doit par contre pas concerner les données d'intérêt public ou scientifique.

Et dans le cas d'une société qui aurait rencontré une fuite d'informations suite à une faille de sécurité par exemple, celle-ci doit notifier l'autorité nationale de surveillance, dans les 72h après la découverte du problème. « Cela à moins que le [service] soit en mesure de démontrer que la faille ne résulte pas en un risque pour les droits et libertés des individus » pondère le projet.

Aujourd'hui, en France, cette obligation ne concerne que les opérateurs télécoms. Les entreprises devront également désigner un agent de protection des données, si elles traitent beaucoup d'informations personnelles et que c'est leur cœur de métier.

Le droit à l'oubli est de la partie

Le texte prône également le droit à l'oubli, qui permet à chaque internaute de faire supprimer ses données par un site ou service. « Ce droit est particulièrement pertinent quand le sujet a donné son consentement enfant, quand il n'était pas pleinement conscient des risques qu'implique un traitement, et veut ensuite supprimer ces données personnelles d'Internet » est-il écrit.

Le droit à l'effacement, qui existe de longue date dans les législations européennes, a déjà été étendu aux moteurs de recherche par la Cour de Justice de l'Union Européenne (CJUE) depuis début 2014.  Aujourd'hui, le sujet donne surtout lieu à un bras de fer entre la CNIL et Google, l'un voulant qu'un déréférencement soit mondial, quand l'autre demande à ce qu'il soit limité à l'Europe, pour l'instant sans succès.

Le droit à l'oubli dans l'optique du règlement, nettement plus musclé, a tout de même des exceptions claires visant le droit d'information ou de recherche. « La rétention ultérieure des données doit être [permise] pour exercer la liberté d'expression et d'information, pour se conformer à une obligation légale, pour l'exercice d'une tâche d'intérêt public, [...] pour la santé publique, des buts de recherche scientifique, statistique, historique ou pour l'exercice d'une réclamation judiciaire » détaille le projet européen.

Amendes : jusqu'à 4 % du chiffre d'affaires mondial

Toutes ces mesures ne serviraient à rien sans des sanctions appropriées en cas de non-respect. C'est l'une des grandes faiblesses du système actuel, où la CNIL - par exemple - a infligé à Google une amende de 150 000 euros début 2014. De l'argent de poche pour le groupe américain.

Avec ce texte, il pourra être question de sommes bien supérieures. « La non-conformité avec un ordre de l'autorité doit être sujet à une amende administrative pouvant atteindre 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires mondial de l'année précédente, selon ce qui est le plus élevé » précise le texte. Les GAFA sont donc prévenus, mais cela devrait aussi calmer les ardeurs de nombreux autres acteurs parfois tentés de jouer avec le feu.

Un désastre... selon les entreprises qui brassent les données

La réception de cette version du texte a été très contrastée. D'un côté, le Parlement européen et certains groupes (comme les députés socialistes) félicitent un texte qui protège bien mieux les internautes. De l'autre, de nombreuses entreprises semblent s'inquiéter de ces nouvelles règles, qui restreignent largement leur champ d'action.

« Même si nous reconnaissons que c'est le moyen d'apporter une plus grande cohérence sur la protection des données en Europe, le résultat n'arrive pas à trouver un équilibre entre la protection du droit des citoyens à la vie privée et la capacité des entreprises européennes à être plus compétitives » affirmait mercredi Digital Europe (PDF), qui représente les géants de l'industrie numérique. « Nous craignons que le texte sur lequel se sont accordés la Commission, le Conseil et le Parlement ne sape la capacité des entreprises à investir, innover et créer de l'emploi » prévient le lobby, qui sera attentif à l'implémentation des mesures.

L'industrie publicitaire s'inquiète également, cette fois de l'obligation de donner un consentement explicite pour la collecte de données. Pour Digiday, le projet européen pose plusieurs problèmes, relevés par des organisations comme l'IAB. La définition de données personnelles serait ainsi trop large, sans granularité.

Surtout, les sociétés qui ne communiquent pas directement avec les internautes mais traitent leurs données, comme les places de marché publicitaires Criteo et AppNexus, vont souffrir de ces nouvelles règles, estime Digiday. Selon eux, ce sont les géants comme Google ou Facebook, qui ont à la fois des liens directs avec les internautes et des plateformes publicitaires, qui y gagneront.

Prochaine étape pour le texte : le vote en séance plénière du Parlement européen, en début d'année prochaine. Si le règlement sur les données et la directive sur leur usage par la police et la justice sont adoptés par les trois institutions européennes, le premier s'appliquera rapidement, quand la deuxième devra être transposée en droit national par les Etats membres deux ans après le vote, soit au plus tard en 2018.


chargement
Chargement des commentaires...