«Nous mettons à jour nos conditions d’utilisation», ou «nos conditions de service», ou «notre politique de confidentialité» : ces dernières semaines, les messages de ce type se sont accumulés dans nos boîtes mail. Une bonne occasion, au passage, de faire le compte du nombre (parfois affolant) de services en ligne auxquels nous avons souscrit au fil de nos vies numériques. Pourquoi cette déferlante ? Tous ne le mentionnent pas, mais l’explication, c’est l’entrée en application, le 25 mai, d’un texte européen : le règlement général sur la protection des données (RGPD). D’ici là, les acteurs qui collectent et utilisent des données personnelles doivent s’être mis en conformité avec ce texte, qui leur impose de nouvelles obligations et renforce les droits des utilisateurs.

Au passage, Facebook en profite pour pousser ses utilisateurs européens à accepter l’activation de la reconnaissance faciale, c’est-à-dire la reconnaissance automatisée de leur visage sur les photos postées sur le réseau social : une fonctionnalité controversée, présentée par l’entreprise un moyen de «protéger» les internautes contre l’utilisation de leur image par des personnes malveillantes, mais très décriée par les défenseurs de la vie privée. La preuve qu’il vaut mieux éviter de cliquer machinalement sur «j’accepte»… Pour l’occasion, on fait le point.

D’où vient ce règlement ?

C’est en janvier 2012 que la Commission européenne a annoncé la mise en chantier d’une réforme des règles en matière de protection des données personnelles, qui vient remplacer une directive datant de 1995. La négociation s’est avérée particulièrement longue et ardue, mais le texte a fini par être adopté le 14 avril 2016, et promulgué treize jours plus tard. Les acteurs concernés avaient donc deux ans pour se préparer à son application.

A lire aussiL’Europe s’accorde sur la protection des données personnelles

A la différence d’une directive, un règlement est dit «d’application directe», c’est-à-dire qu’il ne nécessite pas d’être transposé dans les droits nationaux des Etats membres. Cela dit, le Parlement français examine actuellement un projet de loi sur la protection des données personnelles, qui va venir mettre la loi informatique et libertés dans les clous du texte européen (et qui fait l’objet de quelques passes d’armes entre l’Assemblée et le Sénat). Par ailleurs, sur certains points, comme l’âge à partir duquel le consentement des parents n’est plus requis pour le traitement des données personnelles d’un mineur, le RGPD laisse quelques marges de manœuvre aux Etats membres.

Qui est concerné ?

Ce sont tous les acteurs, privés ou publics, qui traitent des données personnelles, y compris les sous-traitants. Avec des exceptions : le règlement ne s’applique pas aux fichiers de sécurité nationale, ni aux traitements effectués par les autorités compétentes en matière de prévention et de détection des infractions pénales, d’enquêtes et de poursuites. Ne sont pas concernés non plus les fichiers établis par des personnes physiques «dans le cadre d’une activité strictement personnelle ou domestique» (un carnet de contacts téléphoniques, par exemple).

Y sont évidemment soumis les acteurs établis en Europe, mais aussi ceux dont le siège est hors de l’Union européenne dès lors qu’ils proposent des biens ou des services (gratuits ou payants) à des citoyens européens, ou qu’ils procèdent à un «suivi du comportement» d’utilisateurs européens (par exemple, le traçage de la navigation web des internautes à des fins de publicité ciblée). Les géants américains du Net sont donc directement concernés par ce nouveau cadre.

Qu’est-ce que ça change pour les internautes ?

Pas mal de choses, et en mieux : plus de transparence, plus de garanties, et plus de droits.

Information et consentement

Les utilisateurs doivent être clairement informés de l’usage qui est fait de leurs données personnelles. Lorsque leur consentement est nécessaire à la collecte de données, il n’est valable que s’il est exprimé de manière «libre, spécifique, éclairée et univoque», par le biais d’une «déclaration» ou d’un «acte positif clair». La protection des mineurs est renforcée : les moins de 16 ans doivent être informés des traitements dont leurs données personnelles font l’objet dans des termes qu’ils peuvent comprendre, et le consentement doit être recueilli auprès d’un titulaire de l’autorité parentale. Les Etats membres peuvent abaisser cet âge jusqu’à 13 ans, mais la France a fait le choix de conserver le seuil européen.

«Portabilité» et droit à l’oubli

L’utilisateur d’un service peut récupérer auprès de celui-ci les données qu’il lui a fournies, dans un format réutilisable, et le cas échéant les transmettre à un nouveau service (par exemple passer d’un fournisseur de mail, ou d’un service de streaming musical, à un autre) : c’est ce qu’on appelle le droit à la «portabilité» des données. On peut même demander la transmission de ses données directement d’un service à un autre «lorsque cela est techniquement possible». Le «droit à l’oubli» est consolidé : il est possible de faire effacer des données personnelles nous concernant quand elles ne sont plus nécessaires à un service, quand nous retirons notre consentement, quand ces données ont fait l’objet d’un traitement illicite… Il existe néanmoins des exceptions fondées sur le droit à l’information, l’intérêt public, les finalités de recherche scientifique ou statistique, ou l’existence de procédures judiciaires.

Protection et sécurité

La protection des données personnelles doit être prise en compte dès la conception des produits ou des services : c’est la privacy by design (la «confidentialité dès la conception»). Cette notion inclut un principe de «minimisation» des données, à savoir le fait de ne recueillir que les données nécessaires à la finalité du produit ou du service. Les responsables de traitements de données personnelles et leurs sous-traitants sont aussi désormais tenus de «garantir un niveau de sécurité adapté» de leurs infrastructures. En cas de fuite de données personnelles, ils doivent prévenir l’autorité de protection – en France, la Commission nationale de l’informatique et des libertés (Cnil) – dans les 72 heures, mais aussi avertir les utilisateurs concernés en cas de «risque élevé pour [leurs] droits et libertés».

Réparations, poursuites et sanctions

Toute personne ayant subi un préjudice matériel ou moral du fait d’une violation du règlement peut en demander réparation au responsable. Le texte ouvre aussi aux associations actives dans le domaine de la protection des données personnelles la possibilité de mener des actions de groupe : c’est ce qu’a décidé de faire, en France, la Quadrature du Net, et ce dès le 25 mai, avec un recours collectif contre les «Gafam» – Google, Apple, Facebook, Amazon et Microsoft. Enfin, la Cnil et ses homologues peuvent infliger des amendes bien plus lourdes qu’auparavant : jusqu’à 4% du chiffre d’affaires mondial d’une entreprise.

A lire aussi Quadrature du Net : vers un recours inédit en matière de protection des données personnelles

Donc, tout va bien ?

Comme on dit sur Facebook : c’est compliqué. Notamment sur le réseau social de Mark Zuckerberg : outre l’invitation très insistante à activer la reconnaissance faciale, l’internaute n’a pas d’autre choix que d’accepter «la manière dont [l’entreprise] partag[e] les données […] à travers les produits des entités Facebook, y compris WhatsApp, Instagram et Oculus». Sinon, il n’a plus qu’à supprimer son compte. Or, selon le règlement européen, un traitement de données personnelles n’est légal que s’il est indispensable (à l’exécution d’un contrat ou au fonctionnement d’un service, à une mission d’intérêt public, à une obligation légale ou à la préservation des intérêts vitaux d’une personne), s’il répond aux «intérêts légitimes» de l’entreprise sans empiéter sur les droits fondamentaux d’un utilisateur, ou si ce dernier y a consenti librement et en connaissance de cause. Sur son blog, le juriste et conservateur de bibliothèque Lionel Maurel estime donc que le géant du Net «viole l’obligation de recueillir un "consentement libre"». Il rappelle qu’en octobre 2017, la Cnil a pour la même raison épinglé WhatsApp, qui imposait à ses utilisateurs le partage de leurs données avec Facebook.

D’autres, comme Airbnb ou Twitter, informent que l’utilisation de leur service au-delà du 25 mai vaudra acceptation de leur nouvelle «politique de confidentialité» et/ou de leurs conditions d’utilisation. Est-ce dans les clous du texte européen ? Ça dépend, explique à Libération Hugo Roy, avocat et cocréateur de ToSDR, un site web collaboratif qui synthétise et évalue les conditions générales d’utilisation (CGU) des grands services en ligne : «Il ne faut pas confondre l’acceptation des CGU, qui relève du droit des contrats et du droit de la consommation, et le consentement libre de l’utilisateur à un traitement de données personnelles. Toute la question est de savoir si les données collectées sont nécessaires à la fourniture du service. Si c’est le cas, la notification d’une mise à jour des conditions d’utilisation est contractuellement possible. Mais l’acceptation "automatique" de cette mise à jour ne vaut pas consentement à des collectes et des traitements de données qui ne seraient pas nécessaires.» Par exemple, un site de vente en ligne est fondé à collecter une adresse pour livrer des produits, mais il doit recueillir le consentement de l’utilisateur s’il veut transmettre cette adresse à un tiers pour des usages marketing.

«Le consentement n’est pas la seule base légale possible à un traitement de données personnelles, mais s’il est nécessaire, il doit être donné pour chaque traitement», souligne de son côté Gwendal Le Grand, le directeur des technologies et de l’innovation de la Cnil. Cela dit, les acteurs concernés ont encore presque un mois pour le recueillir. Après quoi, on pourra juger sur pièces et au cas par cas. «A ce stade, la conformité au règlement européen est de la responsabilité des entreprises, souligne Gwendal Le Grand. Après le 25 mai, les autorités de protection des données pourront exercer leur pouvoir de contrôle pour vérifier cette conformité.» Le regroupement des Cnil européennes a d’ailleurs annoncé à la mi-avril la création d’un groupe de travail consacré aux réseaux sociaux. Le chantier promet d’être vaste…