Depuis le 25 mai, le nouveau Règlement Européen sur la Protection des Données (RGPD) est en vigueur dans toute l’Union Européenne. Avec lui, une bataille judiciaire commence autour d’un enjeu majeur du web : nos données personnelles.
Une loi européenne
Des affaires liées à l’usurpation de nos données personnelles font régulièrement les grands titres des médias : Cambridge Analytica, qui a collecté en douce les données de 50 millions d’utilisateurs de Facebook, est l’une des plus récentes. De nos coordonnées à nos orientations politiques, les données que nous laissons sur Internet, sans toujours en avoir conscience, sont scrutées à la loupe et vendues au plus offrant par bon nombre d’entreprises, les GAFAM en tête.
Le RGPD vient harmoniser les règles de protection de nos données à l’échelle européenne. Si certaines mesures ne sont pas révolutionnaires en soi, leurs conditions d’application pourraient bien changer la donne ! Par exemple, l’obligation d’obtenir le libre consentement d’un utilisateur pour accéder à ses données existe dans la loi française depuis 1995.
Facebook a ainsi été condamné en 2017 par la CNIL (Commission nationale de l’informatique et des libertés en France) pour ne pas respecter ce droit. Seulement l’amende maximale de 150 000€ est dérisoire pour cette entreprise au chiffre d’affaires colossal, et donc pas du tout rédhibitoire. Grâce au RGPD, la sanction peut aller jusqu’à 4 % du chiffre d’affaires de l’entreprise incriminée, une menace très concrète pour les GAFAM !
Autre changement majeur : la possibilité pour les citoyens de porter plainte collectivement contre une entreprise. La Quadrature du Net, association de défense de nos droits et libertés numériques, a saisi cette opportunité unique pour mener cinq plaintes collectives contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn. Regroupant plus de 12 000 citoyens, ces plaintes collectives ont été déposées à la CNIL dès le 25 mai.
Nos données ont autant de valeur que nos organes
Alors que les entreprises ont eu deux ans pour se préparer à l’application du RGPD, bien rares sont celles qui ont respecté les règles pour obtenir un consentement explicite de l’utilisateur sur l’utilisation de ses données. Les mises à jour ne devaient plus avoir de cases pré-cochées (en faveur des intérêts de l’entreprise ou du service), ni de politiques de confidentialité illisibles ou ambigües.
Pour la Quadrature du Net, Twitter a été le meilleur contre-exemple : le 25 mai, le réseau social envoyait carrément l’internaute sur la page de désactivation de son compte s’il refusait ses conditions d’utilisations. Pour Arthur Messaud, juriste de la Quadrature du Net,
« un consentement sous la menace n’est pas libre, mais contraint et forcé, c’est totalement illégal » !
L’objectif de l’association : mettre fin à la toute-puissance de ces grands groupes, en les obligeant à proposer leurs services gratuitement, sans publicités ciblées.
Car, on le sait, sous l’excuse de se présenter comme des services « gratuits », l’échange de nos données se monnaye en réalité en permanence, notamment par les annonceurs de publicité. Ce qui donne à certains l’idée de vendre leurs données personnelles directement aux entreprises, plutôt que de consentir à leur utilisation contre un service. La Quadrature du Net est en désaccord avec cette proposition.
« La Quadrature du Net s’oppose vraiment au discours ultra-libéral où l’on peut vendre nos libertés contre nos services et de l’argent. En Europe, on a renoncé depuis longtemps à ce modèle avec l’interdiction de vendre ses organes, de travailler dans des conditions indignes, ou de vendre son vote. Nos données ne valent rien à l’échelle individuelle. Ce qui est intéressant, c’est de recouper des millions de données en même temps. Il faut empêcher que des entreprises puissent analyser, cibler et influencer une population entière. La liberté et la vie d’un être humain sont inestimables. Mettre des critères économiques sur des humains mènent vite à la décadence. » Arthur Messaud
Dans les quelques semaines à venir, la CNIL doit examiner les différentes plaintes et les répartir entre les autorités de plusieurs Etats européens. Habituée de traiter les plaintes relatives au GAFAM, c’est très probablement l’Irlande qui gérera la plupart des dossiers, tandis que le Luxembourg traitera le cas d’Amazon. Cette coopération européenne étant mise en œuvre pour la première fois, la globalité de la procédure prendra sûrement un à deux ans.
Pour Arthur Messaud, « le RGPD n’est pas juste une loi pour protéger nos données, c’est surtout un débat de société qui va être assez animé puisque les GAFAM ont besoin de gagner ce débat pour perpétrer leur modèle. Le but de nos actions est de poser le débat en nos termes avant qu’ils commencent à se défendre. Les gens se sentent souvent dépassés et anxieux par ces sujets, il n’y a aucune raison ! Après tout, ce sont des acteurs récents qui peuvent très bien se faire supplanter par d’autres initiatives respectueuses d’un internet libre et décentralisé. »
Le juriste en est convaincu, le duel est gagné d’avance. Toutes les alternatives émergentes comme Lilo, Mastodon et Peertube en sont les meilleurs exemples : nous n’avons pas besoin des GAFAM.
Retour
