RGPD : vers une prise de conscience des enjeux de la collecte de données personnelles ?

Sept mois après la signature du Règlement Général pour la Protection des données, l’heure est venue de dresser le bilan : a-t-il réussi à sensibiliser les internautes aux enjeux de la collecte de données personnelles ?

Le souci de la protection des données personnelles et le besoin d’un encadrement légiféré du traitement qui en est fait ne date pas d’hier. Des bases de données personnelles sont apparues dès les années 1970 : le fichier des enfants potentiellement délinquants (1971) et le Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (1974). La première législation, relative à l’information, aux fichiers et aux libertés (n°78-17) est entrée en vigueur en 1978.

La loi a été contrainte d’évoluer depuis 1978, afin de s’adapter à nos pratiques, nos gouvernements et à l’hégémonie des sociétés privées. Le RGPD découle d’un véritable bras de fer entre les sociétés privées qui reposaient sur le traitement de données personnelles et les personnalités politiques qui souhaitaient protéger la vie privée des citoyens. Margrethe Vestager, commissaire européenne en charge de la concurrence, par exemple, est connue comme étant « la bête noire des multinationales ». Sa ténacité et son cran lui permettent de s’imposer face aux grandes multinationales et ont enfin permis au RGPD et au droit à l’oubli numérique de voir le jour au terme de longues négociations musclées.

Pourquoi le RGPD ?

Afin de mieux traiter du RGPD, il est nécessaire de comprendre les enjeux qui encadrent la protection des données personnelles. Une donnée personnelle peut être définie comme étant toute donnée relative à une personne physique, qui peut en permettre l’identification directe ou indirecte. Cela comprend aussi bien un nom, un numéro de téléphone, qu’une adresse mail ou un trajet domicile-travail, par exemple.

Du fait du traitement massif des données (Big Data), différentes données peuvent être recoupées et ainsi permettre une identification précise des personnes. Cela peut porter atteinte à la vie privée et déboucher sur des traitements injustes, comme le refus d’un contrat d’assurance pour une personne jugée « à risques ».

Le RGPD est rentré en application le 25/05/2018 afin de contrecarrer ces tendances. Le règlement européen décrète que :

  • Les collectes doivent être loyales et licites, les utilisateurs doivent être informés de l’utilisation qui va être faite de leurs données personnelles,
  • La collecte doit être adéquate, pertinente, et non-excessive,
  • Les utilisateurs doivent obligatoirement fournir leur consentement,
  • Les utilisateurs ont droit à l’oubli numérique,
  • Les données doivent être portables (l’utilisateur peut décider de les récupérer et les transférer vers un autre opérateur).

Le RGPD d’après la CNIL : 6 mois après

Un bilan encourageant

Six mois après la mise en place du RGPD, la Commission Nationale de l’Informatique et des Libertés dresse un bilan très encourageant. Selon un sondage réalisé par l’IFOP, « 66% des Français se [diraient] plus sensibles (…) à la protection de leurs données personnelles ». Toujours selon l’IFOP, 65% de la population Française connaîtrait le RGPD, et 54% comprendrait réellement les changements que le RGPD implique.

Par ailleurs, il est possible d’observer une hausse significative de l’implication des différents acteurs : on dénombre 15.000 Data Protection Officer (DPO, délégué à la protection des données), là où il n’y avait que 5.000 Correspondants Informatique et Libertés (CIL) avant le RGPD. La CNIL a également recensé une forte augmentation des notifications de violation de règlement, en enregistrant en moyenne sept par jour. De même, le site internet a vu sa fréquentation augmenter radicalement (plus de 3 millions de visites supplémentaires comparé à l’année dernière). Dans le sillage de Vestager, des collectifs, tels que la Quadrature du Net, se dressent face aux GAFAM (Google Amazon Facebook Apple Microsoft) et l’usage qu’ils font des données personnelles.

De multiples actions mises en œuvre pour sensibiliser les internautes

Afin de faciliter l’accès à l’information et la mise en place du RGPD, la CNIL déploie un certain nombre de mesures destinées aussi bien aux professionnels qu’aux particuliers :

  • Liste des traitements nécessitant une analyse d’impact,
  • Mise à disposition d’un logiciel open source d’analyses d’impact (PIA),
  • Titre certifié de DPO,
  • Formation et stages de sensibilisation en entreprises,
  • Préparation d’un MOOC, de codes de conduite et de plans d’accompagnement des collectivités, prévus pour 2019.

Une prise de conscience partielle

Un bilan en demi-teinte

Néanmoins, même si la CNIL dresse un bilan très positif, les chiffres relevés peuvent être critiqués. En effet, le sondage sur lequel se base l’étude a été réalisé sur un panel de 1.003 personnes, âgées de 18 ans et plus. Selon l’INSEE, la France comptait plus de 67.2 millions d’habitants au premier janvier 2018. Le sondage a donc été réalisé sur 0.001% de la population, ce qui sans en invalider complètement les résultats, remet les chiffres annoncés en perspective. De même, la tranche d’âge sélectionnée par l’institut de sondages ne tient pas compte du public adolescent, alors qu’il fait partie des tranches d’âges les plus connectées. Selon Statista, 91% des 12-17 ans se connectent quotidiennement à internet, et sont 41% à y passer plus de 21h par semaines (alors que seulement 1% n’utilise pas du tout internet). Ce public sensible et fortement connecté est susceptible de laisser malgré lui une large quantité de données personnelles, et mériterait donc un accompagnement spécifique. De plus, même si le nombre de plaintes enregistrées est en forte augmentation, cela reste très faible au vu du trafic cumulé de la population.

Incompréhension et moyens limités

Le consentement utilisateur à la collecte de ses données personnelles est souvent matérialisé par un bandeau expliquant la démarche et laissant à l’utilisateur le soin de cocher l’option qu’il désire. La RGPD a permis à des sociétés, telles que Quantcast, de développer des outils pour recueillir le consentement des utilisateurs : des Consent Management Platform (CMP). De nombreux sites ont donc recours à un partenaire externe pour gérer des données sensibles. Fourni clé en main à l’éditeur du site, Quantcast permet de se mettre en conformité avec la réglementation sans se plonger dans la législation complexe.

L’option « refuser » n’est pas toujours mise en avant par les éditeurs de CMP (ici, Quantcast).

Cette solution largement employée laisse le choix à l’éditeur d’afficher ou non l’option de « refuser » la collecte des données. En déroulant le menu des options, il est possible d’avoir accès aux listes des très nombreux partenaires de Quantcast auxquels les données personnelles sont transmises lorsqu’un utilisateur en accepte la collecte.

Au 31 juillet 2018, Quantcast annonçait sa présence sur 10.000 sites, et déclarait avoir reçu le consentement de 90% des utilisateurs. Cela peut découler en partie de la dissimulation de l’option « refuser » dans les options supplémentaires. Cette large acceptation de la collecte et transmission de masse de données remet en question la notion d’une réelle prise de conscience des enjeux de la protection des données personnelles. Il reste donc deux options : soit les utilisateurs n’ont pas réellement conscience du traitement qui est fait de leurs données personnelles, soit la protection de ces données n’est pas une de leurs priorités.

Côté professionnels, le développement d’un CMP propriétaire est très coûteux et demande une compréhension fine du texte de loi. Seuls les plus fortunés des éditeurs désireux de garder la main sur la gestion des données personnelles de leurs utilisateurs peuvent donc se permettre une telle solution. Comme le souligne Nicolas Jaimes, « développer une CMP propriétaire est un luxe que seuls les plus grands groupes médias français peuvent se payer », ce qui explique pourquoi seuls deux des dix plus grands médias français sont en conformité avec le RGPD.

Conclusion

Il semble donc prématuré de parler d’une réelle prise de conscience des enjeux de la collecte de données personnelles, moins d’un an après la mise en action du RGPD. En effet, même si la CNIL en dresse un bilan très positif, la réalité est toute autre : le consentement au traitement massif des données opéré par Quantcast montre le chemin qu’il reste à parcourir. Les premiers résultats sont néanmoins prometteurs, et les mesures prises récemment par la CNIL et d’autres organismes permettront de davantage sensibiliser la population.

 

Pauline LEVECQ

https://paulinelevecq.com/

 

 

 

 

 

Sources :

http://jactiv.ouest-france.fr/actualites/europe/margrethe-vestager-bete-noire-multinationales-87113

https://www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application

https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

https://www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application

https://www.insee.fr/fr/statistiques/3305173

https://fr.statista.com/statistiques/533326/frequence-de-connexion-a-internet-france-par-age/

https://fr.statista.com/statistiques/472593/temps-passe-en-ligne-par-semaine-age-france/

https://www.eficiens.com/consent-management-platform/

https://www.journaldunet.com/ebusiness/publicite/1417054-recueil-du-consentement-les-grands-sites-d-infos-toujours-pas-conformes/

Menu Principal