Vendredi, 25 mai 2018. Le jour tout devait changer sur Internet, du moins en Europe. C’est aujourd’hui qu’entre en vigueur la réglementation européenne RGPD (Règlement sur la protection des données personnelles) qui interdit sous peine de ruine absolue, pour certains, l’envoi non sollicité de courriels circulaires et impose des mesures sévères à la fois d’archivage du consentement et de sécurisation des données. Transposée dans le droit français depuis le 14 mai dernier, le règlement est d’une complexité merveilleuse, diamétralement opposée à la « simplification » promise par l’Union européenne. Jusque-là, rien que de très normal : les exigences tatillonnes du RGPD embarrassent surtout les plus petites entreprises, les associations, les sites non-conformistes qui tirent le diable par la queue. Les gros, les GAFA, et Google en particulier ont les moyens non seulement de mettre en place des contournements, mais de transformer l’obstacle en opportunité.
Mais revenons à aujourd’hui. En ouvrant ma boîte d’e-mails ce matin, je devais avoir l’espoir – en tout cas, si j’avais écouté les médias les plus serviles à l’égard de l’Europe – de voir le dossier réception débarrassé des spams qui tombent pendant la nuit. (Pour la petite histoire, cela fait des mois que du jour au lendemain les courriels ont cessé d’être classés dans le dossier des indésirables, tandis que des mails importants y sont systématiquement dirigés, quelles que soient les préférences que j’essaie de régler. Une facétie de mon FAI ?)
RGPD : la protection des données personnelles ne protège pas des spams
Inutile de vous dire que les indésirables continuent de paraître. Voici « Privéa », jamais sollicité. « SPF », idem. « Geoffrey » me propose un appareil auditif invisible et « Elise » me promet un prêt à taux mini. « Orange » m’annonce une enquête-clients et une offre promotionnelle – alors que je ne suis pas cliente et que de toute façon, l’expéditeur s’appelle « korlato.info ». « Diana Voyance » a une excellente nouvelle à m’annoncer, mais je sais déjà que ce n’est pas la fin des spams. « Généanet » continue de me bombarder de courriels, alors que je m’en suis déjà désabonnée… deux fois. Réduction d’impôts, doubles fenêtres, proposition d’un CAP de cuisine, parfums en solde ; tout continue comme avant. Ils étaient déjà dans l’illégalité – pourquoi cela changerait-il ?
En revanche, j’ai bien peur d’avoir perdu des abonnements à des newsletters auxquelles je tiens, et des offres d’entreprises de vente en ligne où il m’arrive de faire des courses. C’est ça, RGPD !
Le nouveau règlement européen fonctionne donc mal, même si, avec des bémols, il permettra peut-être de se débarrasser enfin de certaines exploitations non désirées de données. Pas chez Facebook, par exemple, puisque le géant des réseaux sociaux a déplacé les comptes de ses utilisateurs européens depuis l’Irlande vers les Etats-Unis : charmant « jeu d’écriture » qui les fait échapper au droit européen.
Pendant ce temps-là, d’autres s’arrachent les cheveux pour trouver des moyens de ne pas perdre des abonnés ou des contacts précieux, qu’il est indispensable de pouvoir joindre pour faire circuler des informations, proposer des produits ou faire vivre des initiatives qui dépendent de la générosité du public, tout en maintenant des archives qu’on leur recommande de conserver par capture d’écran systématique de l’accord explicite et non sollicité par un premier envoi de recevoir des mails de leur part. Les explications les plus contradictoires ont circulé.
Le nouveau règlement européen RGPD auquel personne ne comprend rien
Par exemple, qu’est-ce qui constitue une « donnée personnelle » qu’on n’a ni le droit de conserver ni de transmettre ? Aux termes du RGPD, il s’agit de toute donnée informatique qui identifie une personne ou qui la rend identifiable. Qu’en est-il du simple courriel adressé à tartempion@megadomaine.blabla ? Il semblerait pouvoir être exclu de la supposée stricte surveillance du RGPD, à l’inverse du courriel professionnel qui permet d’identifier un collaborateur d’une entreprise avec une adresse publique – comme anne.dolhein@reinformation.tv. Mais je n’en mettrais pas ma main à couper.
Par ailleurs, le règlement RGPD, avec ses quelque 60.000 mots de texte, de quoi faire un livre broché de taille convenable, fait peser des obligations sans fin sur l’ensemble des utilisateurs de fichiers de courriels – du moins ceux qui comprennent des données quant à l’adresse physique, l’identité personnelle, l’état de santé et j’en passe, des destinataires. Il faut pouvoir apporter la preuve de l’adhésion spontanée de chaque contact du « mailing », disposer d’un nouveau « délégué RGPD » pour les entreprises de plus de 250 personnes, être en mesure de communiquer ou de modifier les données à la demande de l’internaute dans les 72 heures… Le tout sous peine d’une amende correspondant à 4 % du revenu mondial ou de 20 millions d’euros, le montant le plus élevé étant retenu, et menaçant même le curé de paroisse qui envoie des courriels circulaires aux membres de sa chorale.
Dans le même temps, si le « traitement » des données à caractère personnel est sévèrement limité, il peut être licite (article 6, f) lorsqu’il est « est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ». Ce qui n’a pas le mérite d’une grande clarté, et annonce sans doute de nouveaux et juteux litiges dans le sillage d’une nouvelle réglementation dont la conception a déjà dû engloutir des millions d’euros sur le dos des contribuables européens.
Sans compter le coût pour les entreprises, qui sont déjà en première ligne en France avec la mise en place du prélèvement à la source de l’impôt sur le revenu, autre usine à gaz qui va réduire leur compétitivité !
Une opportunité pour Google et les GAFA, un frein pour les petites entreprises ?
Ces derniers jours, nous avons tous été assaillis de courriels d’associations chrétiennes et autres communicants nous suppliant d’accepter de continuer de recevoir leurs informations, puisqu’ils craignent sans doute des signalements et des peines potentielles du fait d’actions de récipiendaires malveillants. Le hic, selon un expert des réglementations de l’UE, c’est que ces courriels eux-mêmes contreviennent souvent à un autre règlement interdisant le spam, quand ils ne sont pas simplement inutiles. Cela prouve au moins une chose : l’immense majorité des entreprises et des associations n’a strictement aucune idée de la manière de se mettre vraiment en conformité avec le RGPD, sac de nœuds par excellence.
D’autres s’interrogent sur les effets réels du RGPD sur la cybersécurité. Une controverse s’est fait jour à propos de l’annuaire WHOIS, base de données publiques qui permet d’identifier les propriétaires de domaines internet. A la faveur de l’entrée en vigueur de la nouvelle réglementation européenne, une grande partie de ces données pourrait être privatisée puisqu’elles contiennent des informations personnelles protégées. D’ores et déjà, l’administration américaine et certains professionnels de la cybersécurité craignent de voir leur tâche compliquée en matière de recherche de hackers et autres acteurs malveillants sur Internet : le résultat des courses pourrait être une poussée de la criminalité en ligne, des spams et des fraudes. Ce ne serait pas la première fois qu’une règle de l’UE produirait les effets inverses de ceux affichés.
Mais il y a pire. Selon Leonid Bershidsky, éditorialiste chez Bloomberg, le RGPD pourrait bien renforcer le quasi monopole de Google en matière de publicité pour les entreprises tout en lui assurant la récolte de données supplémentaires sur les internautes. Google a en effet modifié sa politique publicitaire pour se mettre en conformité avec le nouveau règlement européen, notamment pour l’utilisation de ses modules publicitaires ou de ses outils proposés sous sa marque DoubleClick, la plus grosse plate-forme existante de publicité numérique. La plupart des sites vendent leurs marchandises, virtuelles ou non, par Google qui représente pour beaucoup la plus belle part de leurs revenus obtenus à travers la plate-forme de recherche.
Cybersécurité, exploitation des données : le RGPD entraînera des problèmes
Au nom du RGPD, Google a signifié à tous ces annonceurs qu’il entend contrôler toutes les données personnelles fournies par les éditeurs : ceci conduira Google à exiger que les éditeurs obtiennent le consentement de leurs lecteurs ou abonnés et le lui remettent pour cibler les publicités, sans que les éditeurs ne puissent contrôler la manière dont Google utilisera lesdites données. A défaut, Google cessera de poster des publicités sur leur site.
Théoriquement, le RGPD définit celui qui contrôle les données comme l’entité qui décide comment et à quelles fins on traitera les données ; il lui est loisible d’utiliser des « processeurs de données » qui le feront pour son compte. Ainsi l’éditeur possédant une base d’abonnés avec des données détaillées et qui veut cibler des publicités dans leur direction est le contrôleur de données, et celui qui fournit la solution de ciblage est le processeur. En l’occurrence, Google.
Google, sous prétexte de devoir se conformer, exige des éditeurs de tout lui fournir. Pour ceux qui veulent créer des liens « forts, parfois émotionnels » avec leurs lecteurs, dit Bershidsky, ce sera un vrai problème, puisqu’il leur faudra dire explicitement à leurs clients que les données personnelles de ces derniers seront remises à un tiers, Google, sans pouvoir spécifier ce que Google en fera.
Certes, Google a toujours pu récupérer ces données du plus haut intérêt du point de vue du ciblage publicitaire, tout comme le font Facebook et d’autres collecteurs de données. Au moins les éditeurs « n’avaient-il pas à en avertir aussi clairement leurs clients, ni à leur demander de manière aussi explicite si cela était acceptable pour eux », avance le journaliste. C’est en quelque sorte un « coming out » qui est demandé, dit-il.
Et en même temps que Google réclame ce droit de regard, que certains considèrent comme un abus de situation dominante, le géant de la recherche sur Internet refuse toute information sur la manière dont il collectera, partagea et utilisera les données, laissant la charge de l’obtention du consentement et donc de la responsabilité à l’égard des autorités sur les épaules des éditeurs qui utilisent ces services.
RGPD et « Big Data » : aussi un moyen de brider les sites non-conformistes
Certes, pour notre éditorialiste, le RGPD a au moins pour effet de montrer aux internautes que leurs donnés, même fournies à un site qui semble confidentiel, ont toutes les chances d’aboutir dans l’escarcelle des GAFA – mais peut-il en être autrement lorsque les éditeurs de sites dépendent aussi lourdement des revenus de la publicité ciblée ? Ou qu’ils se trouvent en concurrence avec ceux qui y ont recours, ce qui réduit fortement la valeur de la publicité non ciblée ?
Pour Bershidsky, le RGPD pourrait bien fournir aux internautes la capacité à décider eux-mêmes ce qu’ils veulent ou ne veulent pas, à résister au fait que sur Facebook ou Google, c’est l’utilisateur qui est le « produit » à vendre. Ça, c’est dans un monde idéal. Un monde où ce ne seraient pas les petits qui pâtiraient d’une nouvelle réglementation, mais les plus gros, et (ou) les plus malhonnêtes. En l’occurrence, comment ne pas remarquer aussi qu’une nouvelle fois, une institution supranationale impose des exigences qui auront pour effet de compliquer la situation des entreprises européennes sans pour autant – on peut en être sûr – améliorer le respect de la vie privée des internautes.
En attendant de voir ce qu’il en résultera, je vous quitte. Il y a mon téléphone fixe qui sonne. Mais je ne me presse pas. A 90 %, ce sera un quelconque démarcheur agressif et insistant contre lequel il n’y a rien, mais alors rien à faire, et surtout pas « Bloctel » qui est censé me protéger des coups de fils indésirables, ciblés selon mon adresse, mon nom, mon âge probable, mes revenus réels ou supposés… Par téléphone, on peut nous pourrir la vie ad libitum. Je serais prête à accepter cent spams supplémentaires par jour pour être débarrassée de ces appels insupportables !