La CNIL vient d’adopter une amende record de 50 millions d’euros contre Google pour violation du droit à la protection des données. Le règlement général sur la protection des données (RGPD) rapporte ainsi plus que la « taxe GAFA » préconisée par la France !
Une amende historique
Si vous pensez qu’il y a un zéro de trop, ce n’est pas le cas. C’est la première fois au monde qu’une autorité de contrôle des données inflige une sanction d’une telle ampleur. Le RGPD permet en effet d’adopter de lourdes amendes et la CNIL a décidé d’imposer une sanction pécuniaire de 4 % du chiffre d’affaires de Google. Ce texte de droit européen dont l’application est mondiale garantit que les GAFA et autres BATX (acronyme qui désigne les géants du Web chinois : Baidu, Alibaba, Tencent et Xiaomi) respectent leurs usagers.
En l’occurrence la CNIL reproche à Google d’imposer à ses utilisateurs un manque de transparence sur les finalités de collecte de leurs données, leur durée de conservation, les catégories de données utilisées pour la personnalisation de la publicité. En effet, toutes ces informations sont disséminées dans plusieurs documents et il faudrait que chaque utilisateur clique sur cinq ou six liens pour enfin les découvrir, ce qui n’est naturellement presque jamais le cas !
La preuve est donc faite de l’efficacité de la protection offerte par le droit européen en dehors de son territoire et à l’encontre d’un acteur majeur du monde numérique.
Quel bilan tirer de l’application du RGPD huit mois après ?
Après les révélations-choc d’Edward Snowden, chacun a compris que le moindre de ses clics, like, post, GIF ou emoji est enregistré par le site ou le réseau social et analysé, passé au crible d’algorithmes, puis communiqué à d’autres entités (entreprises, États) dont on n’a pas idée. Cela a d’ailleurs encore été démontré avec le scandale Facebook Cambridge Analytica. Les comportements des usagers ont-ils pour autant évolué ? Nous avons tous reçu en mai dernier plusieurs e-mails avec pour objet la conformité avec le RGPD, vous aussi n’est-ce pas ? D’après un sondage IFOP réalisé en octobre pour la CNIL, 66 % des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.
Grâce au RGPD, c’est bien la première fois au monde qu’un texte européen offre à chacun le droit d’accéder aux données que les entreprises détiennent sur eux. Alors la prochaine fois que vous surfez sur le web ou communiquez avec vos amis sur les réseaux, posez-vous une seule question : qui analyse ma vie privée ?
Prenez votre téléphone mobile et vérifiez, en quelques clics, quelles données sont collectées. Vous ne l’avez jamais fait, et bien faites-le maintenant, et vous aurez beaucoup de surprises ! Ensuite, prenez le contrôle de la situation : c’est vous l’acteur principal du RGPD, pas Facebook ou Google ! Moi-même qui suis une utilisatrice raisonnée des réseaux sociaux je suis encore étonnée des moyens détournés utilisés pour aspirer nos infos : par exemple le challenge des 10 ans de Facebook : la prochaine fois que vous participez à un jeu, un défi, demandez-vous pourquoi vous postez de jolies photos de votre visage, bien nettes et bien cadrées… En réalité vous alimentez gratuitement l’algorithme de reconnaissance faciale du site et permettez à Mark Zuckerberg de faire encore plus d’euros sur votre dos… Cessez donc d’être des bénévoles !
Les Français méritent une meilleure information sur leurs droits et les moyens de les exercer : des supports brefs, dynamiques et ciblés doivent être créés pour répondre à nos besoins.
Intégrer le RGPD dans la startup nation comme avantage compétitif
Aujourd’hui, 32 000 organismes ont désigné un délégué à la protection des données signe d’une montée en puissance du RGPD en entreprise, mais combien de salariés sont réellement sensibilisés à la protection des données sur leur lieu de travail, ou pour le développement de nouveaux produits ou services ? Cette appropriation doit se poursuivre avec l’intégration de la protection de la vie privée dès la conception de nouveaux services ou produits augmentés, tels que les véhicules autonomes, la santé connectée, les assistants vocaux, l’intelligence artificielle et ce dans tous les secteurs où la France souhaite faire figure de pionnière.
Car vous l’avez bien compris, le RGPD n’est que la face émergée de l’iceberg en droit du numérique. D’autres textes sont en préparation, justement sur la biométrie pour fixer un cadre exigeant et protecteur. Or, la biométrie est the next market pour les entreprises françaises. L’intégration de capteurs biométriques dans les téléphones permettra le développement des technologies biométriques auprès des entreprises (banque, commerce, assurance) pour contrôler l’identité numérique des clients et collecter de nouvelles données marketing.
Les acteurs du marché doivent donc se tenir prêts car ils sont dans la ligne de mire de la CNIL. D’autres textes seront consacrés à la gestion clients et prospects, la gestion des impayés, les vigilances sanitaires, les ressources humaines et la gestion des cabinets médicaux plus une dizaine de codes de conduite en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud ».
Ce à quoi il faut ajouter les instruments développés au niveau européen avec le Comité européen à la protection des données à savoir 19 lignes directrices déjà adoptées et 6 en cours d’élaboration : sur la certification, les codes de conduite, les transferts de données ou encore la vidéo surveillance.
Quant aux transferts de données de l’Union européenne vers les États-Unis, sujet sensible régi par le Privacy Shield, son cadre sera révisé par la CNIL en octobre. C’est quand on croit que tout est fini, que tout recommence…