Difficile de louper ce petit événement tant les internautes européens y auront été exposés : le 25 mai dernier, le Règlement général sur la protection des données (RGPD) est entré en vigueur, et ce qui devait être une simple formalité légale s’est soudainement muté en véritable tsunami dans les boîtes e-mail.
En effet, dès le 25 mai au matin, des dizaines de millions d’e-mails ont été envoyés aux gentils internautes pour les prévenir d’un changement dans les politiques de gestion de données personnelles de milliers de sites web que, pour la plupart, les gentils internautes en question avaient complètement oubliés.
Et ainsi, sans même savoir exactement ce que ce RGPD s’était fixé comme but, le premier résultat tangible fut un spamming assez historique de millions de boîtes e-mail partout dans le monde.
Ironie du sort : un des buts du RGPD était justement de trouver une parade contre le pourrissement de ces boîtes e-mail par le déversement régulier de ces pourriels (ou spam) par d’innombrables sociétés plus ou moins légitimes qui tentent de vous intéresser à leur sort avec une obstination presque comparable à ceux des services fiscaux lorsqu’il s’agit de recouvrement.
Mais avant d’aller plus loin, diable diable, de quoi parle-t-on exactement avec ce RGPD de malheur ?
En substance, il s’agit d’un règlement européen (et non d’une directive, donc sans transposition et directement applicable à la date d’entrée en force) adopté par le Parlement et le Conseil européens le 27 avril 2016, qui définit un nouveau cadre européen pour le traitement et la circulation des données à caractère personnel. Son objectif est de mieux protéger les informations concernant les personnes physiques, d’éviter l’exploitation au détriment des internautes et d’harmoniser le droit européen en la matière. Concrètement, un internaute doit désormais savoir par qui et pourquoi ses données personnelles seront utilisées, combien de temps elles seront conservées et si elles quitteront l’Union européenne. À ceci s’ajoute la possibilité pour l’utilisateur de demander une copie de ces données, voire d’en demander l’effacement si le besoin s’en fait sentir (en vertu du droit à l’oubli).
On le comprend, ce règlement n’est pas réellement une simple formalité réglée en affichant un petit message générique en bannière d’un site : compte tenu des amendes possibles (jusqu’à 4% du chiffre d’affaires mondial du contrevenant), certaines entreprises vont devoir engager des frais notables pour la mise en conformité de leur site.
Tout ceci est bel et bon, mais alors que les premiers jours d’application de ce règlement sont passés, quelques effets délétères se font déjà voir.
Le plus important est, sans nul doute, la réduction de plus de 70% des dépenses de Google auprès de ses annonceurs qui ne seraient pas directement ses clients et dont il ne peut donc garantir qu’ils sont parfaitement en règle face au RGPD. Comme le relate Alexis Vintray dans un récent article sur Contrepoints, Google refuse en effet désormais d’acheter toute impression publicitaire qui fait appel à des outils tiers de contrôle des pages vues, faisant immédiatement chuter le revenu des acteurs européens qui passaient auparavant par le géant américain, au point de mettre certains en difficulté.
Parallèlement, certains sites américains, comprenant n’être pas à jour vis-à-vis de ce règlement, ont choisi de ne plus livrer leurs pages aux Européens pour s’éviter une sanction ruineuse. Des sites comme le Los Angeles Time, le Baltimore Sun ou le Chicago Tribune sont maintenant inaccessibles. Notons aussi le cas Instapaper, le service de sauvegarde d’articles et de contenus en ligne, qui rouvrira peut-être un jour, une fois les adaptations terminées (si jamais elles sont effectivement tentées).
D’autres, encore plus déterminés à ne surtout pas enfreindre la nouvelle loi ni à s’encombrer des surcoûts qu’une telle mise à niveau entraine, se sont décidés à fermer purement et simplement leurs portes. On pourra se reporter à la liste disponible ici, qui pourrait grossir dans les mois qui viennent à mesure que les premières sanctions tomberont.
Bref, on le comprend, tout ceci ne prend pas forcément la tournure que le législateur avait prévue d’autant qu’au final, loin de décourager les grosses entreprises des technologies de l’information de collecter des données sensibles, ces dernières ont plutôt tendance à faire peser tout l’impact de ces lois sur ces utilisateurs et sur le marché européen, plutôt que s’adapter gentiment.
Eh oui : quand un marché (européen en l’occurrence) est plutôt captif d’un autre (américain), un bras de fer entre les deux ne tourne logiquement pas à l’avantage du premier. Ce qui n’empêche pas certains de croire à l’inversion du phénomène avec une foi presque touchante de naïveté :
Si on choisissait de refuser les conditions d’utilisation, un lien nous envoyait directement vers la page de désactivation du compte. C’est clairement un consentement sous la menace d’une conséquence négative, la menace de perdre son compte Twitter. L’utilisateur est forcé et contraint. C’est illégal !
Ainsi, il semble donc à certains que disposer d’un compte Twitter est maintenant un droit inaliénable et que l’entreprise, américaine, va devoir s’adapter aux petits prurits légaux des Européens. Oui oui.
Selon toute vraisemblance cependant, il est plus que probable que les Facebook, Twitter, Google et autre Apple trouvent un compromis praticable entre leurs contraintes, les désidératas du législateur et les besoins des utilisateurs-consommateurs qui, ne l’oublions pas trop vite, sont aussi électeurs.
Sauf à imaginer un réveil subit et en pleine intelligence de Julien Intertube et Emma Viesociale qui leur ferait prendre conscience que leurs données sont sauvagement exploitées par le grand Capital, Facebook, Google et les Reptiliens au point d’attaquer en justice ce beau monde, il est bien plus probable que les enquiquinements, fenêtres surgissantes et rappels réguliers des conditions générales d’utilisation finissent par les lasser au point de demander une révision de la loi : parier, maintenant, sur l’implication des Européens face à leurs données alors qu’ils vont se voir privés de leurs joujoux sociaux, c’est prendre un risque élevé.
Pour s’en convaincre, il suffira d’ailleurs de voir avec quelle décontraction tous ces mêmes Européens ont déjà largement lâché toute velléité d’influer sur le cours de leur propre vie : depuis leur volontaire abandon de certaines libertés fondamentales jusqu’à l’indifférence complète face à la collecte de données la plus complète, fouillée et précise de l’Histoire au travers de tous les organes gouvernementaux, depuis les radars routiers jusqu’aux caméras de surveillance urbaines en passant par la lutte contre la cryptographie à portée de tous ou les recoupements de tous les fichiers étatiques possibles et imaginables, tout a été fait pour que les péchés des GAFA soient, en regard, particulièrement véniels.
Au passage, on s’étonnera très moyennement que les organisations étatiques, parfaitement tentaculaires et à chaque détour de notre vie, qui empilent consciencieusement nos données personnelles les plus intimes (de nos avoirs financiers jusqu’à nos bilans sanguins, nos penchants politiques ou religieux, ou nos participations à tel ou tel mouvement), n’aient pas encore envoyé une salve d’e-mails pour nos demander notre volonté expresse de rester affiliés.
En pratique, le fait que ce RGPD s’applique à tous sauf à l’État en dit beaucoup plus long sur la volonté du législateur à mettre les entreprises privées au pas plutôt que faire rentrer l’État dans un cadre où il soit effectivement au service du citoyen, et non son maître.
L’enfer est pavé de bonnes intentions et ce nouveau règlement en est encore une illustration parfaite : plutôt qu’aider le citoyen, tout montre que cet encombrement légal pénible va très probablement se retourner contre lui. Quant aux entreprises, les plus petites, à commencer par les européennes, en pâtiront directement, laissant le champ libre aux plus grandes, américaine ou chinoises, qui récupéreront facilement les marchés abandonnés.
Bien joué.
—-
Sur le web
Dans son esprit le RGPD est simple :
=> On demande si on peut récupérer des données
=> On protège les données
=> On averti en cas de piratage des données
– Si un client vous demande de modifier ses informations, alors vous les modifier
– Si un client vous demande de supprimer ses infos, alors vous les supprimez
– Si un client vous demande de ne plus utiliser ses infos pour lui envoyer, alors vous ne lui envoyez plus
– Si un client vous demande de lui donner ses données, alors vous les lui donnez.
Simple : On respecte et on fait ce que le client demande.
Dans un monde normal, il n’y aurait pas besoin d’obliger les gens à de telles évidences.
PS : quand on sait stocker des données dans une BDD, on connait le langage SQL pour s’en occuper…
En théorie, oui c’est simple et pas idiot.
En pratique, le règlement vous explique pendant 80 pages absconses que vous, entreprise, devez expliquer de façon claire et concise ce que vous faites des données personnelles.
A ceci s’ajoutent diverses obligations lourdes et inutiles comme la tenue permanente de registres ou des délais délirants (notification d’un vol de données dans les 72h par ex.) avec des sanctions tout aussi délirantes.
Tout cela pour pouvoir remplacer des conditions générales que personne ne lit par d’autres conditions générales que personne ne lit, mais avec des « droits » en plus.
Bref, ce n’est qu’un avatar de plus de la procédurite aigüe exigée par les crétins qui pensent que parce que vous avez une procédure écrite dans un tiroir vous avez amélioré le sort de l’humanité.
Ce serait drôle si cela n’avait pas autant d’effets pervers, le premier étant les tombereaux d’argent que les entreprises finissent par verser pour « se mettre en conformité » à force de consultants spécialisés.
Bien entendu, une régle à l’esprit simple « vous ne prenez pas le client (trop) pour ce qu’il est » va se transformer dans les institution ordolibérale de l’UE en un ramassi de norme.
Mais quiconque connait le droit européen sait que c’est là la tradition de l’UE de faire des tonnes de charabia pour dire des choses parfois pas si compliqué que cela. Pour moi, tout cela vient de l’esprit ORDO du libéralisme allemand : c’est à dire avec tout un tas de norme pour encadrer le libéralisme (ca peut vous sembler contre intuitif mais c’est comme ca).
Dans tout les cas, il faut pas s’en faire. En gros, retenez juste : droit de modification, suppression, portabilité (et encore que si c’est possible en pratique) et informations sur les données personnelles des clients.
Je vais vous raconter une petite anecdote pour la route… j’ai récemment assisté à un séminaire sur le sujet où le représentant d’une petite société appelée Microsoft nous expliquait benoîtement qu’ils avaient dépense quelques millions de dollars pour se mettre en conformité mais qu’après discussion avec les autorités de l’UE ils devraient sans doute en rajouter quelques autres parce que l’inteprétation par les autorités du RGPD différait de celle de Microsoft. Too bad! … Alors non, ce n’est pas simple, même si cela aurait pu l’être.
Et malheureusement votre liste de ce qui est à retenir est incomplète: vous devez revoir vos relations avec tous les sous-traitants qui s’occupent de données pour être sûr qu’ils sont eux aussi en conformité, par exemple.
Ou encore: si vous vous basez sur le consentement, vous devez être en mesure de prouver que ce consentement a été donné. D’où archivages divers et variés, etc.
Et j’en passe.
Donc je maintiens que c’est une usine à gaz grotesque qui aura des effets pervers réels sans amélioration tangible de la situation des données. Et par ailleurs, je pense que c’est davantage un avatar du socialisme que de l’ordolibéralisme, mais cela nous entraînerait trop loin.
Il y a comme une odeur de VPN …
j’ai testé avec TOR , ça marche on peut contourner les restrictions.
Qu il y est des effets secondaire c est sur. Par contre, il faut quand meme bioen reconnaitre que c est une loi qui va dans le bon sens.
Apres que certaisn decident de se couper du marché europeen,c est pas forcement plus mal, ca va laisser un creneau a des entreprises de l UE. Pourquoi croyez vous qu eles chinois ont beidou, alibaba au lieu de Google et Amazon ?
PS: signalons que cette fameuse directive a ete initiee par un ecolo (allemand certes, chez nous ils sont top occupes a importer des migrants ou a essayer de se recaser comme Duflot)
Pourquoi croyez vous qu eles chinois ont beidou, alibaba au lieu de Google et Amazon ?
Pour censurer plus facilement ?
L’article des Inrocks est proprement allucinant…
Moi, j’y comprends rien, sinon que c’est encore un bidule européen du genre usine à gaz et que RGPD, ça a des allures homophobes et antipolicières…