RGPD ET SANCTION DE GOOGLE, DE QUOI S’AGIT-IL ?

22/01/2019

Célébrée tous les 28 janvier, la journée mondiale de la protection des données personnelles vise à sensibiliser les internautes à la nécessité de protéger leur vie privée en ligne. Cette année revêt une importance particulière. En effet une nouvelle législation européenne est entrée en vigueur depuis le 25 mai 2018 avec à la clé une sanction symbolique en ce début d'année 2019. En effet, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé lundi 21 janvier 2019 avoir infligé une amende de 50 millions d'euros au géant Américain Google.

Le RGPD, de quoi s'agit -il ?

Selon l'article 2 de la loi "Informatique et libertés", "constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres". Exemple, la localisation, son nom, son temps de connexion, son numéro de téléphone, voire son âge, son sexe ou une empreinte digitale...etc.

Le règlement général sur la protection des données (RGPD) est le nouveau texte de référence européen en matière de protection des données personnelles. Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine. Toutes les entreprises, organismes publics et associations des 28 Etats membres de l'Union européenne qui collectent des données à caractère personnel sur les résidents européens sont concernés. Les organisations issues de pays en dehors de l'UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens.

Le texte du RGPD a été adopté définitivement le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Il remplace l'ancien texte de référence européen de 1995 en matière de protection des données personnelles. Cette ancienne directive avait servi en France de fondement à la loi Informatique et libertés.

Le RGPD est entré en vigueur le 25 mai 2018. Comme il s'agit d'un règlement européen, et non pas d'une directive, le texte est entré en application simultanément dans tous les Etats membres de l'Union européenne, sans transposition dans les droits nationaux.

Depuis le 25 mai 2018, tout traitement en infraction avec le RGPD peut déboucher sur des sanctions. Des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel de l'exercice précédent peuvent être prononcées. Comme auparavant, la Commission nationale de l'informatique et des libertés (Cnil) procède à des vérifications dans les locaux des organisations ou en ligne.

Il s' agit d'un texte unique en son genre, novateur et protecteur des utilisateurs du web, des consommateurs, des clients ou des partenaires commerciaux dont les informations sont recueillies par des tiers dans le cadre de l'exercice de leur activité.

En l'espace de deux décennies, les données personnelles, l'ensemble des informations que laissent derrière eux les individus en ligne, sont devenues l'or noir des temps modernes. Avec l'essor du numérique, une immense quantité d'informations est enregistrée tous les jours par les sites Web sur lesquels surfent les internautes. Le modèle économique de la plupart des services gratuits du Web est fondé sur l'exploitation et la vente des données. Les marques sont prêtes à payer très cher pour connaître les habitudes d'achat et les centres d'intérêts des internautes pour définir leur profil et leur proposer de la publicité ciblée. Les entreprises qui exploitent ces données, notamment les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), en retirent des milliards de dollars en les revendant en temps réel à des tiers pour permettre aux annonceurs de délivrer de la publicité ciblée. Un grand nombre d'internautes sous-estime encore la valeur de leurs données personnelles alors qu'il est très difficile aujourd'hui de savoir avec précision qui possède des données sur eux, de quels types de données il s'agit et le traitement dont elles font l'objet. Certaines informations peuvent être utilisées à leur insu. Un crédit ou un logement peuvent par exemple leur être refusés sur la base de données collectées sans qu'ils ne soient au courant. Plus largement, des données peuvent être utilisées pour usurper une identité ou commettre des actes de Cyber malveillance. Une photocopie de la carte d'identité, du RIB et des avis d'imposition d'un internaute peuvent servir à contracter un prêt bancaire à son insu. Un compte Facebook peut être créé avec le nom, le prénom et les photos de soirée d'une personne afin de nuire à sa réputation.

Ce règlement impose des réglementations très strictes contre ces prédateurs des données personnelles dont nous énumérerons les plus importantes :

  • Accountability : L'obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
  • Analyse d'impact : Description systématique des opérations de traitements (pourquoi effectuer ce traitement sur une donnée et quelle est sa nécessité).
  • Consentement (article 7 RGPD) : "Un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant", mentionne le texte.
  • Data protection officer (DPO) : Personne dans une organisation dont le rôle est de contrôler la mise en conformité au RGPD.
  • Donnée à caractère personnel (DCP) : Désigne "toute information se rapportant à une personne physique identifiée ou identifiable", selon le texte. Exemples : nom et prénom, téléphone, email...
  • Droit à l'oubli : Ce droit impose à l'entreprise l'obligation d'effacer les données à caractère personnel sous plusieurs motifs dans les plus brefs délais.
  • Droit à la portabilité : Ce droit permet aux utilisateurs de récupérer leurs données personnelles dans un format lisible pour les stocker ou les transmettre à un tiers.
  • Profilage : Forme de traitement automatisé de données personnelles visant à évaluer certains aspects personnels relatifs à une personne.
  • Privacy by design : Ce concept impose de réfléchir à la protection des données personnelles en amont de la conception d'un produit ou d'un service.
  • Responsable du traitement : La personne physique ou morale, l'autorité publique, le service ou autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données.

Affaire google, de quoi s'agit-il ?

La Cnil, le gendarme français des données personnelles, a annoncé lundi 21 janvier 2019 avoir infligé une amende record de 50 millions d'euros à Google. La Commission nationale de l'informatique et des libertés devient ainsi la première instance de régulation européenne à sanctionner une grande plateforme internet mondiale en utilisant les dispositions du nouveau règlement européen sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai 2018. Cette sanction est basée sur deux (2) fondements, d'une part sur la difficile accession à l'information ainsi qu'un manque de clarté et d'autre part sur un consentement (article 7 RGPD) forcé par le géant Américain auprès de ses utilisateurs.

La sanction fait suite à deux plaintes séparées déposées à la Cnil contre Google par deux associations de défense des internautes, la Quadrature du Net (France), et None Of Your Business (NOYB), fondée par le militant autrichien de la protection des données Max Schrems.

Le gendarme français de la vie privée et des données personnelles a estimé que le « centre de sécurité » de Google était trop complexe à utiliser. « Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu'il est nécessaire d'activer pour prendre connaissance d'informations complémentaires » précise l'autorité. « L'information pertinente n'est accessible qu'après plusieurs étapes, impliquant parfois jusqu'à cinq ou six actions. »

« Nous ne nions pas que Google informe » l'utilisateur sur la façon dont ses données seront exploitées, a déclaré à l'AFP Mathias Moulin, directeur de la protection des droits et des sanctions à la CNIL. « Mais l'information n'est pas aisément accessible : elle est disséminée dans différents documents. Il faut parfois jusqu'à cinq clics pour accéder à une information » a-t-il ajouté, en soulignant le fait que les utilisateurs ne vont peut-être pas aussi loin pour obtenir les informations.

La CNIL estime enfin que Google force le consentement de ses utilisateurs. Dans le cadre de la création d'un compte, le fait qu'un utilisateur accepte les conditions d'utilisation le conduit à donner son consentement pour le traitement de ses données personnelles, notamment pour la personnalisation de la publicité. Si Google a expliqué disposer de l'autorisation des utilisateurs, la CNIL a rétorqué que ce consentement n'est pas valable pour deux raisons : "Le consentement des utilisateurs n'est pas suffisamment éclairé [...] dilué dans plusieurs documents (et il est donc difficile de) prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements". Enfin, l'autorité estime que ce consentement "n'est pas spécifique et univoque" alors que le RGPD exige que tout consentement à l'exploitation d'informations personnelles soit explicite : l'utilisateur doit accepter explicitement une utilisation précise de ses données.

Cette sanction est la première imposée par la CNIL à se chiffrer à un tel montant. Le précédent record était de 400 000 euros et avait été prononcé à l'encontre d'Uber. En théorie, la CNIL peut sanctionner une entreprise jusqu'à 4% de son chiffre d'affaires annuel mondial. Sachant que Google a réalisé environ 96 milliards d'euros de chiffre d'affaires en 2017, la sanction dévoilée lundi équivaut à peu près à 0,05% de ses revenus annuels.

Toutefois, cette protection Européenne à travers le RGPD est unique en son genre. Les autres Etats doivent donc suivre la mouvance. « Je pense que tout le monde devrait pouvoir contrôler la façon dont leurs informations sont utilisées », a assuré Mark Zuckerberg lors de son audition devant le Sénat américain le mardi 10 avril 2018. Le fondateur de Facebook, comparaissait devant le Sénat américain afin de s'expliquer sur le scandale autour de la protection des données dans l'affaire "Cambridge Analytica" et, plus généralement, sur les éventuelles dérives du tout-puissant réseau social, le patron de Facebook a avoué que lui non plus n'aimerait pas voir ses données personnelles fuiter (Source AFP), il a même souhaité que l'Amérique prenne exemple sur les Européens avec leur RGPD. De ce fait, L'affaire Facebook pourrait donner le signal à l'élaboration d'une loi fédérale s'inspirant de la nouvelle norme européenne sur la protection des données personnelles (RGPD).

Mot de fin : D'une manière générale, il est conseillé de donner le minimum d'informations personnelles sur Internet, ne pas publier de photos compromettantes et de documents sensibles. Il faut être conscient que tout ce qui est publié sur le Web est susceptible d'être conservé.

VINCENT DE PAUL ADAI.

Share
© 2017 Blog de Vincent de Paul Adai. Tous droits réservés.
Optimisé par Webnode
Créez votre site web gratuitement ! Ce site internet a été réalisé avec Webnode. Créez le votre gratuitement aujourd'hui ! Commencer