Les Européens vont « reprendre le contrôle » de leurs données personnelles

Des droits renforcés pour les internautes et des sanctions inédites en cas d’abus : de nouvelles règles seront applicables à partir de vendredi dans l’UE pour mieux protéger les données personnelles à l’ère numérique, après l’électrochoc du scandale Facebook.

L’avalanche de courriels priant d’accepter de nouvelles conditions d’utilisation pour Twitter, Google, AirBnB ou autres sites de commerce est le premier effet visible de cette nouvelle donne, à laquelle les Européens espèrent bien donner une portée mondiale. Les citoyens sont aujourd’hui « comme nus dans un aquarium » mais, « grâce aux nouvelles règles, les Européens reprendront le contrôle de leurs données », a plaidé jeudi la commissaire européenne à la Justice, Vera Jourova, défendant le tour de vis du « Règlement général sur la protection des données » (RGPD).

Cette législation impose à toute entreprise, sur internet ou non, de demander un « consentement explicite et positif » pour utiliser des données personnelles collectées ou traitées dans l’UE. Elle donne aussi aux citoyens le « droit de savoir » quand leurs données sont piratées, comme lors de la fuite massive subie par la société Uber en 2016. Et gare aux abus : les entreprises, capables de transformer ces données en or en les exploitant pour du ciblage publicitaire par exemple, s’exposeront à des sanctions pouvant atteindre jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial, si elles ne respectent pas les nouvelles règles.

« Je n’aurais jamais fait aussi bien que Facebook » pour convaincre de la nécessité de ces nouvelles règles – adoptées en 2016 mais avec un temps d’adaptation de deux ans avant leur application – a récemment ironisé la commissaire Jourova. La responsable européenne faisait allusion à la controverse sur l’exploitation des informations de dizaines de millions d’utilisateurs du réseau social américain par la société Cambridge Analytica, impliquée dans la campagne présidentielle de Donald Trump. Le patron de Facebook, Mark Zuckerberg, est venu en personne mardi s’excuser devant le Parlement européen, comme il l’avait fait devant les parlementaires américains, au sujet de ce scandale, mais aussi plus largement du manque de réaction de son entreprise face aux ingérences étrangères dans des processus électoraux et à la diffusion de fausses informations.

Surveillance renforcée

« Les entreprises dont l’activité principale ne consiste pas à traiter des données sont liées par moins d’obligations et doivent essentiellement veiller à ce que les données qu’elles traitent soient protégées et utilisées en toute légalité », a voulu rassurer jeudi la Commission. Les autorités vont donc surtout se concentrer d’abord sur la surveillance des entreprises traitant des données personnelles de manière massive et qui en font un élément central de leur modèle économique. L’exécutif européen est en revanche plus impatient vis-à-vis des États membres qui n’ont pas encore procédé aux ajustements de leur législation nationale – selon un bilan de la Commission, huit pays sont clairement dans cette situation – alors qu’ils disposaient de deux ans pour le faire depuis l’adoption du règlement en 2016.

Cela n’empêchera par les nouveaux droits d’être applicables dès vendredi pour tous les Européens, rassure Bruxelles, mais cette situation peut créer une incertitude autour de quelques dispositions nécessitant des adaptations nationales, comme sur les relations entre les autorités de protection nationales et la nouvelle entité européenne créée. La législation européenne a aussi parfois laissé une marge de manœuvre aux États membres pour l’âge à partir duquel le consentement parental n’est plus nécessaire pour l’utilisation d’un service sur internet. Cet âge est fixé par défaut à 16 ans dans le RGPD, mais les pays européens peuvent l’abaisser jusqu’à 13 ans.

Le Quotidien/AFP