Afficher l'article dans votre langue
VoxEurop : Le règlement général européen sur la protection des données personnelles (RGPD) qui devient contraignant ce 25 mai représente-t-il un progrès sur la voie d'une plus grande responsabilisation des internautes ou s'agit-il d'une contrainte supplémentaire dans l'utilisation du web par les plateformes et les utilisateurs ?
Olivier Ertzscheid : Incontestablement il s'agit d'une avancée importante, à la fois pour les droits des utilisateurs mais aussi pour disposer, par rapport aux grandes plateformes, d'un cadrage suffisamment contraignant. Contrainte somme toute vertueuse comme est en train de le démontrer l'affaire Facebook / Cambridge Analytica. Qui aurait cru il y a encore quelques mois de cela que Mark Zuckerberg serait le promoteur zélé du RGPD ?
Les sanctions prévues sont-elles efficaces, face à des plateformes dont le chiffre d'affaires frôle le PIB de certains pays européens ?
On peut toujours en effet pointer le ratio entre les revenus des plateformes et les sanctions financières qui semblent très faibles à l'échelle des premières. Mais il ne faut pas se tromper d'enjeu. Les questions de fiscalité doivent être traitées et je suis partisan de sanctions beaucoup plus lourdes que celles existant actuellement. La question est moins celle du montant de l'amende que celle des garanties permettant de s'assurer que les amendes seront appliquées et payées. Mais dans le cadre du RGPD et de la protection des données personnelles les plateformes voient désormais clairement les enjeux en termes d'image dans l'opinion. Et le levier de leur cote de popularité et de leur image de marque est souvent bien plus efficace que la menace d'une sanction financière.
Les différents opt-ins quant à la diffusion des données personnelles ne sont-ils pas un obstacle au développement du commerce en ligne et, au final, de la numérisation de l'économie?
Je ne le crois pas. Google a récemment annoncé qu'il allait déployer des publicités "non-personnalisées", et comme indiqué plus haut Facebook annonce qu'il va non seulement appliquer le RGPD en Europe mais s'en inspirer à l'échelle mondiale. Il revient aux Etats et à l'Europe de créer une dynamique et un cercle vertueux dans lequel l'économie numérique pourra continuer de prospérer, mais en gommant autant que possible les effets de rente et surtout les abus permis par le manque de cadre autour des données personnelles. Beaucoup d'analystes craignaient que le RGPD ne soit un frein supplémentaire pour les entreprises européennes dans un marché mondialisé mais finalement on constate avec l'affaire Cambridge Analytica que ce cadre sera finalement l'occasion d'une harmonisation qui n'entravera pas la concurrence et devrait plutôt permettre à de nouveaux acteurs de se positionner sur des bases plus respectueuses de notre vie privée.
Les mesures prévues par le règlement permettent-elles aux utilisateurs d'exprimer un consentement réellement éclairé à l'utilisation de leurs données personnelles ?
C'est en tout cas un premier pas. Et au regard de la situation actuelle, c'est déjà un pas de géant.
En 2019, le règlement ePrivacy sur la protection de la vie privée sur le web, doit entrer en vigueur. Il doit remplacer la directive éponyme. Pensez-vous qu'avec le règlement sur le RGPD la protection des citoyens européens sera assurée ?
L'affirmer serait prématuré. Il faudra attendre de voir notamment comment les grandes plateformes l'appliqueront concrètement. Le fait qu'elles y semblent aujourd'hui disposées ne doit pas faire baisser la vigilance des instances européennes sur ce front, ni sur celui de la fiscalité d'ailleurs ...
Dans votre Nouvelle déclaration d'indépendance du web, vous affirmez que "Les gouvernements tiennent leur juste pouvoir du consentement de ceux qu'ils gouvernent. Vous n'avez ni sollicité ni reçu le nôtre. Nous ne vous avons pas invités." Pourtant, l'adhésion aux plateformes des réseaux sociaux est encore et toujours volontaire et il faut avoir pris connaissance des Conditions générales d’utilisation (CGU) pour s'y abonner, ou ce n'est pas le cas ?
Oui mais tout le monde sait que la lecture des CGU est un marché de dupe. Personne ne les lit vraiment. Et même pour ceux qui font l'effort de les lire il est difficile de tout comprendre. Comme le faisait remarquer un des membres du congrès à Mark Zuckerberg lors de son audition, le 10 et 11 avril dernier, elles devraient être beaucoup plus courtes et beaucoup plus claires pour offrir la garantie d'être comprises par n'importe qui.
Quel est le moyen de faire en sorte que les utilisateurs prennent vraiment connaissance des CGU des applications qu'ils utilisent ?
Le consentement préalable et explicite pour l'ensemble des données collectées est un premier pas. Il faut aussi que l'intentionnalité de la collecte soit précisée : pourquoi, par qui, dans quel cadre et à quelles fins les données personnelles collectées seront-elles utilisées ? Et pendant combien de temps. Il faut aussi mettre en place, en termes d'ergonomie et de design, des outils qui permettent de s'approprier plus facilement ces CGU. Et surtout il faut que l'on puisse régulièrement vérifier qu'elles n'ont pas changé, évolué.
Quel est le "contrat social" numérique que vous évoquez ?
Le même (mais plus modestement bien sûr) que celui de Rousseau. Le numérique est un "milieu" et non un espace distinct de celui des lois. Il faut donc y appliquer les mêmes lois que sur les territoires nationaux mais il faut également disposer d'un cadre juridique cohérent qui prenne en compte certaines des spécificités de ce milieu. Pour prendre un exemple, c'est le cas des licences Creative Commons proposées par Lawrence Lessig lorsqu'il était professeur de droit à Harvard, et qui offrent un cadrage à la fois respectueux du travail de création mais prenant en compte les logiques de diffusion et d'appropriation du numérique.
Plus globalement ce "contrat social" doit être défini à l'aune de la capacité d'émancipation et de capacitation que portent "naturellement" les écosystèmes numériques, mais qui trop souvent, à force d'un modèle économique entièrement dérégulé, se transforment en outils d'aliénation.
Internet est né et a été conçu comme lieu démocratique par excellence. Est-ce toujours le cas ?
Je le crois oui. En tout cas si l'on parle de cet espace qui n'est pas celui des "jardins privés" ou des "applications" auxquelles se limitent trop souvent nos usages et qui n'ont rien de démocratique. Mais à côté de ces plateformes et de ces applications il existe encore heureusement des espaces de liberté réelle qui, contrairement aux idées reçues, sont également souvent des espaces où l'anonymat ou le pseudonymat n'empêchent pas les débats argumentés et respectueux de l'opinion d'autrui.
Propos recueillis par Gian-Paolo Accardo
Union européenne
Une nouvelle règlementation pour l’Europe
Le 25 mai, le Règlement général sur la protection des données personnelles (RGDP), qui vise à “défendre et à renforcer la protection des données personnelles de tous les citoyens européens et à remodeler la manière dont les organisations dans la région vont aborder cette question” deviendra contraignant, et dont directement applicable par les Etats membres de l’UE. Il remplace la directive sur la protection des données personnelles de 1995.
Adopté en avril 2016, il concerne également l’exportation des données personnelles en-dehors de l’UE et l’harmonisation de la règlementation au niveau européen. La nouveauté principale est représentée par l’étendue de sa juridiction, qui s’applique à toutes les sociétés qui traitent les données personnelles des personnes domiciliées sur le territoire de l’UE, où que soit basée la société. Le réglement prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros. Les sociétés ne pourront plus utiliser des conditions générales d’usage (CGU) illisibles ou incompréhensibles et devront indiquer si les données personnelles des utilisateurs sont traitées, où et dans quel but. Les utilisateurs bénéficieront du droit à l’oubli et à obtenir que leurs données personnelles soient effacées et ne soient plus diffusées.
En 2019, le RGDP sera flanqué du règlement sur la ePrivacy, qui doit le compléter pour ce qui est de l’utilisation des cookies et des clauses de non-participation. Il s’appliquera à toutes les entreprises fournissant un service de communication en ligne utilisant des technologie de traçage ou qui font du marketing direct en ligne et remplacera la [directive ePrivacy] ePrivacy Directive.
