Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (Cnil) inflige une amende record de 50 millions d’euros à Google, lui reprochant une mauvaise protection des données personnelles. Une grande première depuis l’application du RGPD, qui permet aux utilisateurs de plus en plus conscients des danger d’Internet de respirer un peu.
Au micro de L’Opinion, Axelle Lemaire, ancienne secrétaire d’Etat chargée du numérique, désigne la data comme « le pétrole de l’économie ». Mais on ne peut plus comparer l’internaute à un simple carburant néfaste pour l’environnement. « Plus la donnée circule, plus elle crée de la valeur », ajoute-t-elle.
Sauf qu’une affaire comme le Sonygate témoigne du contraire. En 2014, une cyberattaque frappe une des pointures du cinéma libérant quelques centaines de terra de données. En 2014, Sony Pictures Entertainment voit la perte de 100 téraoctets de données. Résultat de cette massive fuite ? La comédie burlesque sur le dictateur coréen, Kim-Jong Un, ne paraîtra jamais. En cause, une manipulation nord-coréenne est pointée du doigt.
Pour éviter de nouvelles fuites de données, le monde juridique milite pour une plus grande protection. L’utilisateur se retrouve sécurisé par la Réglementation générale pour la protection des données (RGPD). Entrée en vigueur le 25 mai 2018, elle a insufflé un nouveau vent de fraîcheur au sein de l’administration européenne.
Rappelez vous au printemps dernier, vous avez dû recevoir une mise à jour de chacun de vos comptes précisant que leur conditions avaient changé… dû à ce RGPD justement. Restons néanmoins modéré, la nouvelle réglementation ne va pas changer le quotidien du jour au lendemain. La loi européenne ne va pas assurer une protection totale. Des changements restent à prévoir. Olivier Moussa, un avocat spécialisé dans le droit du numérique à Lyon, nous explique les enjeux.
Qu’est ce que le RGPD change en matière de protection de données ?
« Un premier aspect concerne le formalisme administratif. En France, on connaît un régime à base de déclaration et d’autorisation. Désormais, il n’y a plus tout cela, on doit maintenant justifier d’une conformité. On rejoint en fait le modèle anglo-saxon, plus que français, qu’on appelle compliance.
Second point, sur le fond, c’est la reconduite de la loi 1978 (relative à l’informatique, aux fichiers et aux liberté, Ndlr.) , adaptée ensuite pour le numérique. Le RGPD a surtout amené une discussion nationale qui entoure son application. La donnée est devenue un sujet grand public. »
Qu’est-ce que cette entrée en vigueur a changé ?
« Ça a déclenché un pic d’activité. Nos clients, qui traitent de la donnée numérique prennent en compte l’arrivée de la réglementation. La nouveauté, c’est le droit à la portabilité : le fait que chaque utilisateur puisse réclamer une extraction de données pour pouvoir les mettre en action chez un autre prestataire. Il y a aussi le droit à l’oubli, c’est-à-dire la liberté de se faire déréférencer. Aussi, une des conséquence directe du RGPD est l’obligation de transparence. Cela consiste à déclarer les incidents aux autorités de contrôle et aux personnes concernées sous 48 heures à la Cnil. »
« La donnée est devenue un sujet grand public »
Est-ce qu’on peut contourner la RGPD ?
« Tous les acteurs y sont soumis, et on voit que les Etats-Unis et l’Europe se retrouvent sur le même terrain de jeu. Il y a des moyens de contourner, en changeant sa domiciliation par exemple, mais le RGPD doit être respecté pour des citoyens domiciliés en Union européenne. Ce qui compte, c’est l’initiative individuelle pour continuer à condamner ces entreprises. »
Comment assurer une protection à 100 % ?
« Finalement, il faut mettre le moins de données en ligne, car elles ont vocation à être publiées ou à fuiter. Toutes les semaines on apprend une nouvelle fuite. Il y a des outils appropriés que l’on peut utiliser, comme le mode invité caché pendant la navigation.
Au niveau juridique, l’utilisateur doit exercer ses droits définis par le RGPD ; demander aux plateformes une copie des données dont elle dispose et faire valoir son droit principal à l’information. On peut aussi faire des choix, comme en consentant ou pas aux cookies. »
Depuis la création du RGPD, il y a eu un record de fuites de données annoncé par le DPO (Data Protection Officer). Est-ce qu’on peut réduire ce problème ?
« Le matin même de son entrée en vigueur, j’ai reçu plusieurs plaintes. Les moyens juridiques sont là, les politiques aussi, les instances juridiques ont désormais cette volonté. Je ne vois pas pourquoi on ne réussirait pas à réduire ces fuites. Auparavant, l’amende pour une mauvaise protection s’élevait à 150 000 euros. Pour une entreprise comme Google, c’est minime. Avec le RGPD, l’amende peut monter de 2 à 4 % de son chiffre d’affaires mondial. Les sanctions économiques permettront d’espérer une véritable régulation. »