La protection des données des internautes sera renforcée à partir du 25 mai en Europe.

Un règlement européen, le RGPD, s'appliquera le 25 mai, renforçant les obligations sur la protection de données personnelles sur le web. État des enjeux.

« Merci M. Zuckerberg », a lancé début avril Vera Jourova, commissaire européenne à la Justice et à la Protection des consommateurs, au cours d'une conférence de presse à Bruxelles.

« Je cherchais comment faire campagne pour notre règlement sur la protection des données. Voilà, c'est fait. »

Elle réagissait à l'audition au Sénat américain du patron de Facebook, bien embarrassé par le piratage de données du réseau social dans la campagne présidentielle américaine en 2016.

Ce règlement c'est le RGPD, ou Règlement général sur la protection des données. Le précédent texte remonte à 1995, autrement dit la préhistoire du web ! Ce sont les gendarmes numériques européens qui se sont emparés du problème ; en France, c'est la Cnil.

Elle propose sur son site un mode d'emploi très clair. À noter qu'un règlement européen a force de loi et s'impose aux pays membres. Même si la France va le décliner dans une loi propre.

En vigueur au 25 mai dans l'Union européenne, le RGPD en concerne tous les organismes et entreprises intervenant en Europe ; ils sont comptables à cette date de l'utilisation et du mode de sauvegarde des informations qu'ils stockent sur leurs clients.

« C'est une grosse révolution puisqu'on passe d'un système déclaratif à une mise en conformité systématique, explique Me Guillaume Bardon, avocat à Tours. C'est une révolution des mentalités dans la douceur, qui fait comprendre que la donnée personnelle est une véritable valeur. »

Tous les sites utilisant des données personnelles (nom, adresse, date de naissance, santé, mais aussi orientation sexuelle, santé, etc.) doivent définir le but de ces données, leur durée, les collecter a minima, et surtout demander aux internautes leur accord par écrit.

D'où le fleurissement de messages informatifs sur les sites. « PME, grand groupe, tout le monde va devoir être conforme. Je rencontre trois types de clients : ceux qui veulent se mettre en règle par principe, ceux qui sont informés mais qui voient dans le RGPD une contrainte administrative et ceux qui ignorent tout », distingue Me Bardon.

Le professionnel note la responsabilité des sous-traitants, « ce qui va créer une exigence en chaîne ». Toute fuite de données devra être signalée à Cnil dans les 72 heures. Le droit à l'oubli est par ailleurs renforcé

Qwant : la vie privée est dans son ADN.

S'il est un site parfaitement en conformité avec le RGPD, c'est Qwant. Ce moteur de recherche franco-allemand a pour principe fondateur le respect de la vie privée et ne vit que de publicité directe, sans vente de données.

C'est le groupe de médias allemand Springer qui a d'abord cru en lui en 2013. « Google veut imposer un univers où vous êtes traqué partout, souligne Éric Leandri, P-DG de Qwant. Dès le début j'étais certain du succès d'un modèle fondé sur la donnée globale ; la protection des utilisateurs c'est aussi un service. »

Qwant junior, destiné aux enfants, n'a aucune publicité ! Et ça marche de plus en plus, Qwant a embauché cent dix personnes en cinq mois et croît de 20 % par jour en nombre d'internautes. Il propose de plus en plus de services, grâce à des partenariats.

« On prépare des cartes qui ne vous traqueront pas, et des partenariats avec les villes pour les horaires de ciné ou les vélos en location. Mais sans savoir qui est sur les vélos !, indique encore Éric Leandri.

Les annonceurs viennent vers nous, nous espérons être à l'équilibre fin 2018 et rentables en 2019. »
qwant.com

Les mineurs ont droit à des protections particulières : il faudra qu'un site s'assure du consentement parental en dessous de 16 ans. Le réseau WhatsApp, appartenant à Facebook et très prisé des jeunes, vient d'ailleurs de remonter son âge minimal de 13 à 16 ans.

La preuve que les standards européens peuvent en imposer aux Gafam (Google, Apple, Facebook, Amazon, Microsoft) même en dehors de leur continent américain d'origine. Mais il aura fallu les sérieuses secousses de révélation par le lanceur d'alerte Snowden sur l'espionnage par l'agence américaine de sécurité (NSA) ou la manipulation par Cambridge Analytica lors de l'élection présidentielle de 2016 aux USA pour faire accepter par l'opinion la régulation. Le web s'est en effet longtemps contenté du mythe de l'auto-régulation.

2013
Edouard Snowden fait fuiter les écoutes massives illégales de l'agence de renseignements américaine NSA sur les citoyens, et même des dirigeants étrangers.

« L'internaute grandit tous les jours ; les photos d'étudiants ivres ou fumant un pétard sont de plus en plus rares, indique Éric Leandri, P-DG du moteur de recherche Qwant. Les comportements changent. Mais il faut continuer à se protéger : quand on voit comment Grindr [réseau social homosexuel, NDLR] a laissé fuiter les déclarations de séropositivité de ses membres, on voit que ça peut être très grave. Il peut y avoir des annulations d'assurance ou la perte de travail après ! »

4%
Le montant de l'amende pour infraction au RGPD pourra atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Contre 150.000 euros actuellement.

L'association d'usagers Quadrature du net a d'ores et déjà décidé une action de groupe contre Facebook lui reprochant notamment « son activité de traçage un peu partout sur le Web, même s'agissant de personnes n'ayant pas de compte Facebook (avec un “ profil fantôme ”)». Et si le RGPD mettait KO les Gafam ?

4
La durée, en années, pour élaborer le texte sur le RGPD. D'après Viviane Reding, commissaire européenne et son instigatrice, il est celui qui a subi le plus de lobbying.

87
En millions, le nombre de personnes dont les données ont été piratées par la société anglaise Cambridge Analytica pour l'élection présidentielle américaine de 2016.

Le patient devient acteur de ses informations médicales.

En chantier depuis 1999, le dossier médical partagé est repris en main par l'Assurance maladie depuis l'an dernier ; il va se généraliser cet automne. Xavier Augay est en première ligne grâce à son entreprise ICanopée, installée sur la techonopole du Futuroscope.

Matière très sensible, les données liées à la santé doivent être conservées longtemps et sécurisées (avec un agrément particulier). Depuis neuf ans, les développeurs d'Icanopée travaillent sur un outil nommé « Efficience » et intégré aux logiciels équipant médecins ou Ephad.

« La France a des prérogatives très fortes pour imposer ses normes, explique le dirigeant d'ICanopée. Le RGPD est une bonne chose pour replacer le patient comme acteur des données de santé. Notre solution va dans ce sens, avec l'obligation de tracer le consentement du patient. »

Il s'agit d'une application qui permettra au patient de donner en temps réel son accord pour qu'un médecin ait accès ou non à son dossier médical partagé.

« Il faut penser aussi au droit à l'oubli qui est contenu dans le RGPD. C'est intéressant pour la vie courante, mais cela peut poser problème pour les soignants. Si on autorise seulement certaines personnes à accéder aux données, cela peut être utile. »

Comme par exemple pour que les chercheurs travaillent sur des cohortes de malades en analysant des données globales. « Jusque là, on était assez candide avec les données. On peut aller plus loin : si l'utilisation des données est utile, pourquoi ne pas envisager qu'elles soient rémunérées. D'autant qu'un malade a souvent des difficultés économiques... »

C'est une révolution des mentalités dans la douceur, qui fait comprendre que la donnée personnelle est une véritable valeur.