PRIVACY Le Règlement général sur la protection des données, c’est, en un an, 145.000 plaintes individuelles, 440 enquêtes ouvertes et une seule condamnation majeure

Illustration des données personnelles — SEBASTIEN SALOM-GOMIS/SIPA

Le règlement général sur la protection des données (RGPD) fête son premier anniversaire ce samedi.

Le grand public a pris conscience de la quantité de données personnelles collectées par les géants du Web.

Mais sur les 145.000 plaintes et 440 enquêtes ouvertes par les autorités européennes, une seule a abouti à une sanction majeure, contre Google en France.

Ce samedi, le RGPD souffle sa première bougie. Sigle technocrate so européen, le Règlement général sur la protection des données, dont la vocation était de renforcer les droits des citoyens européens en la matière, en mettant en place diverses obligations pour les entreprises, a eu le mérite de « provoquer une prise de conscience » du grand public, estime Richard Weaver, responsable de la protection des données au sein de l’entreprise de sécurité informatique FireEye. Mais pour Arthur Messaud, juriste de l’association La Quadrature du Net, « le RGPD n’est, pour l’instant, encore presque pas appliqué, et encore moins respecté ». Même verdict de l’Autrichien Max Schrems, Némésis de Facebook, qui dénonce auprès de 20 Minutes « un non-respect massif de la loi. » Le bilan est donc contrasté.

Une prise de conscience du grand public

Impossible de surfer sans tomber sur une demande de consentement sur les cookies, ces mouchards qui permettent au navigateur de suivre à la trace les internautes et de cibler la publicité. La commissaire européenne à la Justice, Vera Jourova, s’en félicite auprès de l’AFP, estimant que les internautes « prennent conscience qu’ils doivent avoir le contrôle ». En pratique, 80 % cliquent sur le bouton « tout accepter » et presque personne ne lit les explications, d’après Ogury, une entreprise spécialisée dans le marketing mobile.

Quand on clique sur "En savoir plus sur les cookies" au lieu de "tout accepter", voici le genre de liste sur laquelle on tombe (et elle continue sur trois pages) #RGPD #GDPR pic.twitter.com/AthAG06Lvm — Philippe Berry (@ptiberry) May 23, 2019

Problème, aucun site ou presque ne propose un bouton « tout refuser ». Il faut en général choisir « En savoir plus », et on se retrouve face à une liste monstrueuse d’une centaine de régies publicitaires inconnues. « Selon la loi, refuser doit être aussi simple que donner son consentement. Il faut la faire appliquer », insiste Arthur Messaud.

Une amende contre Google… et puis c’est tout

Le RGPD, en un an, c’est près de 145.000 plaintes individuelles, 440 enquêtes ouvertes en Europe et… une amende de 50 millions d’euros infligée en France, par la Cnil, à Google, à la suite d’une action de groupe notamment portée par La Quadrature du Net. Mais Richard Weaver relativise ce qui pourrait passer pour de l’inaction de le part des autorités : « Le nombre de plaintes a explosé, il faut faire le tri et les effectifs sont insuffisants. »

L’autorité irlandaise de protection des données est particulièrement pointée du doigt, car c’est elle qui enquête sur les Gafa, qui ont installé leur siège européen au pays de la Guinness pour profiter d’avantages fiscaux. Très critiquée, la responsable Helen Dixon assure qu’une vingtaine d’enquêtes majeures sont en cours, notamment contre Facebook et Google. Et aboutiront, pour certaines, à des amendes. Sur le papier, elles peuvent aller jusqu’à 4 % du chiffre d’affaires annuel (jusqu’à près de 5 milliards d’euros pour Google et 2 milliards pour Facebook). Mais pour l’instant, Dublin prend son temps. « On n’a même pas reçu la réponse [de Facebook] pour la plainte qu’on a déposée il y a un an, alors que la Cnil a terminé la procédure. Il y a de plus en plus de signes montrant que l’Irlande ne fait pas appliquer la loi européenne », tempête Max Schrems.

Des signes encourageants…

« On devrait traiter la vie privée comme un droit de l’homme, et le monde doit converger vers un standard [similaire au RGPD]. » Cet appel avait été lancé en janvier par le patron de Microsoft, Satya Nadella. De fait, on semble assister à un effet domino. La Californie a adopté une loi très stricte qui entrera en application en janvier prochain, et le Japon a complété sa législation pour arriver à un niveau équivalent au RGPD.

Du côté des comportements, Mark Zuckerberg a juré qu’il allait reconstruire Facebook, Instagram et WhatsApp pour mieux respecter la vie privée. Google, lui, va faire la différence entre les cookies utiles (mots de passe) et ceux destinés à la publicité, tout en offrant une option pour effacer automatiquement son activité web après trois mois.

… ou pas

Vu le passif de ces entreprises, qui ont fait des données personnelles une monnaie d’échange pour leurs services gratuits, dur de les prendre au sérieux. Mais Richard Weaver croit à leur « bonne foi, car cela va dans leur intérêt de faire des efforts pour protéger leur business model et éviter de nouvelles régulations. »

Arthur Messaud est plus dubitatif : « Les conditions d’utilisation contredisent leurs promesses publiques. La marchandisation des données personnelles reste le modèle économique dominant du Web. » Max Schrems acquiesce : « On est toujours dans un système où les utilisateurs fournissent les contenus, l’audience, le temps et les données, et les plateformes récoltent les bénéfices. »