Le RGPD va-t-il vraiment protéger vos données personnelles ?

Nos données valent-elles de l’or ? Pour beaucoup de spécialistes, la réponse est oui.

Le marché des données personnelles devrait atteindre 80 milliards d’euros en 2020, rien que dans l’Union Européenne. La réglementation actuelle, que l’on pourrait considérer comme laxiste, fait la part belle aux entreprises utilisatrices de nos données personnelles, en témoigne le récent scandale de Cambridge Analytica. Avec le RGPD, le nouveau règlement européen de la protection des données qui entrera en vigueur en 2018, l’Europe est la première au monde à sortir de ce flou juridique, et à remettre l’individu au centre des préoccupations.

Il est 20 heures à Londres, le 23 mars, quand dix-huit hommes en k-way sombre investissent l’entrée d’un chic immeuble à l’angle de Bloomsbury et d’Oxford Street. Les trois lettres blanches floquées sur leur dos donnent le ton, “ICO”, pour “Information Commissioner’s Office”, les gendarmes des données britanniques. Ils sont ici pour un casse inédit. Celui de millions de données d’utilisateurs de Facebook, utilisées pour influencer l’opinion publique durant la dernière campagne présidentielle américaine.

A la réception de l’immeuble, les agents demandent à voir la direction de Cambridge Analytica, la société soupçonnée d’avoir subtilisé les informations personnelles de 50 millions d’utilisateurs du plus célèbre des réseaux sociaux. Rapidement, la troupe grimpe dans les étages, et entame une perquisition qui va durer sept heures. Jusqu’à 3h du matin, les bureaux de cette société “de communication stratégique” sont retournés, fouillés, vidés. Et les preuves sont accablantes. L’affaire devient un scandale international, si bien que le discret Mark Zuckerberg, patron de Facebook, prendra la parole dans les médias pour excuser son manque de vigilance.

Ce genre de scandale, c’est précisément ce que le nouveau règlement européen de protection des données, le RGPD, veut éviter. Avec de nouvelles normes et des sanctions sévères, ce règlement sera applicable en mai 2018, date à laquelle toutes les organisations utilisant des données personnelles de résidents de l’Union Européenne devront se mettre aux normes. Si le scandale Cambridge Analytica était sorti après l’application du RGPD, Facebook aurait probablement du payer une amende salée : 1 milliard de dollars, soit 4% de son chiffre d’affaire annuel mondial.

Attendu par les associations de protection des données, et critiqué par les entreprises qui les gèrent, le RGPD est unanimement considéré comme un bouleversement juridique international des informations personnelles. Si auparavant les réglementations étaient floues, anciennes, voire inexistantes, le RGPD offre désormais un cadre mondial de protection pour les habitants de l’Union Européenne.

Mark Zuckerberg s’excuse sur CNN pour le scandale de Cambridge Analytica

Les cinq principes

Le RGPD est un document lourd de 88 pages “relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données”. Pour le rendre plus accessible au grand public, qui est après tout au cœur du règlement, l’administration européenne le présente sous cinq grands principes.

  • Acountability (ou responsabilité) : selon la CNIL, la commission nationale de l’informatique et des libertés, “le règlement repose beaucoup sur la responsabilisation des acteurs”. A la base du règlement, elle force les organisations à réfléchir elles-mêmes sur leur utilisation des données, et les manières d’améliorer leurs systèmes d’information. Sans être forcément contrôlées, ces organisations doivent garantir qu’elles respectent les obligations du RGPD. En effet, avec les dizaines de milliers d’entreprises concernées dans le monde, impossible pour les autorités de tout vérifier.

“Nos contrôles ne se font pas dans l’exhaustivité la plus complète” affirme la CNIL qui se justifie en métaphore, “On ne peut pas mettre un policier derrière chaque citoyen”.

  • Privacy by design : l’organisation doit prévoir dès le prototypage de son système d’information les méthodes qui seront mises en place pour garantir l’application du droit de la protection des données.
  • Security by default : le règlement prévoit que “quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible”. Comme sur le précédent point, les organisations doivent dès l’origine de leur projet s’assurer que leur système est sécurisé
  • Droits des individus : avec le renforcement et la création des droits à l’oubli, au déréférencement, à la portabilité et au consentement, le RGPD veut remettre l’individu et ses droits au cœur du règlement. Concrètement, ils permettent entre autres, de demander aux référenceurs de retirer certaines informations anciennes si elles ont un caractère nuisible pour l’individu concerné, mais aussi que l’utilisateur ait à tout moment accès à un ficher comprenant toutes ses données stockées en ligne.
  • Data protection officer : enfin, le règlement oblige certaines entreprises à nommer un DPO, en charge de la conformité de l’organisation au RGPD.

Organismes de contrôle : David contre Goliath ?

Si le RGPD a été salué par les défenseurs des droits et les associations de protection des données, il n’est pas pour autant exempt de limites. Certes, il représente une avancée incontestable dans un secteur qui était trop flou, et où les utilisateurs étaient bien souvent lésés. Les anciens règlements, quand ils existaient, étaient largement obsolètes (le règlement français datait de 1978, avant même internet) et ne permettaient pas le degré de protection qu’offre le RGPD. Pourtant, on peut se demander si les moyens accordés vont assez loin. 17 millions d’euros, soit le budget de la CNIL, est-ce suffisant pour contrôler efficacement les dizaines de milliers d’entreprises partout dans le monde utilisant nos données personnelles ?

A demi-mot, la CNIL elle-même reconnait que “Le ratio entre le nombre d’organismes concernés et les personnels de la CNIL est faible”.

Leur fonctionnement se basant principalement sur un système de plaintes, les organismes de contrôle ne risquent-ils pas d’être noyés ? Déjà en 2015, la CNIL reconnaissait un nombre record de plaintes atteignant 13 790 demandes de particuliers. Si on peut également douter de la volonté de se “responsabiliser” chez certaines entreprises, qui pendant des années ont largement abusé du flou juridique sur la protection des données, l’Union Européenne rappelle tout de même que les amendes en cas de non-respect du RGPD sont salées. 20 millions d’euros, soit 4% du chiffre d’affaire annuel mondial. Le montant le plus élevé est systématiquement retenu.

Pour juger de l’efficacité du RGPD, il faudra attendre les mois qui suivront sont application. Une chose est sûre, se mettre aux normes à un coût pour les entreprises. En France, la facture pour les seules entreprises du CAC 40 est estimée à 30 millions d’euros.