UE: nouvelles règles pour la vie privée
Anick Jesdanun - The Associated Press
BRUXELLES — Les nouvelles règles européennes de protection des données et de la vie privée entrent en vigueur vendredi.
Elles clarifient les droits de chaque individu concernant les renseignements colligés par les compagnies du monde à des fins publicitaires et autres.
Les compagnies doivent maintenant réviser leurs propres politiques ayant trait à la vie privée et, dans certains cas, appliquer les règles européennes ailleurs dans le monde, où la protection de la vie privée est moins stricte.
Les changements concrets pour les internautes seront rares, du moins dans l’immédiat: les compagnies continueront à récolter et à analyser vos données personnelles sur votre téléphone, dans vos applications et par le biais des sites que vous visitez. Elles devront toutefois justifier quelles données elles colligent et ce qu’elles en font ensuite.
Les firmes internet ont donc entrepris d’inonder leurs utilisateurs d’explications qui cherchent à mieux détailler leurs pratiques et les protections qu’elles offrent. Les responsables européens disposent de nouveaux pouvoirs pour poursuivre les compagnies qui seront trop gourmandes ou qui n’expliquent pas clairement comment elles utilisent les données.
Voici ce que disent les règles et ce que ça veut dire pour les consommateurs — en Europe et ailleurs.
QU’EST-CE QUI ARRIVERA LE 25 MAI?
Le Règlement général sur la protection des données (RGPD) entre en vigueur. Au lieu de règles différentes dans différents pays européens, l’UE se dote de règles uniques pour tout son territoire.
Les nouvelles règles s’appliquent à tous les internautes des 28 membres de l’UE, peu importe où se trouve le siège social de la compagnie qui récolte, analyse et utilise les données.
Ces règles s’appliqueront donc aussi bien à des géants comme Google et Facebook qu’à de petits joueurs qui n’ont qu’un seul client en Europe.
QUE DISENT LES NOUVELLES RÈGLES?
Les compagnies doivent expliquer en langage clair comment elles colligent et utilisent les informations.
Même si elles ne changeront pas grand-chose à leurs pratiques, elles devront réviser leurs politiques pour éliminer le langage incompréhensible. Google a ainsi choisi d’inclure une vidéo (sur YouTube, évidemment) pour tout expliquer.
Le RGPD stipule six raisons que les compagnies peuvent utiliser pour justifier la récolte de données. Certaines tombent sous le sens (comme le respect d’obligations contractuelles), mais pour d’autres, comme le ciblage publicitaire, elles devront vous demander votre permission. Les compagnies qui ne sont pas certaines d’avoir obtenu ce consentement posent maintenant la question à leurs utilisateurs.
Une catégorie assez vague a été baptisée «intérêts légitimes». C’est une justification fourre-tout que les compagnies peuvent utiliser pour continuer à utiliser les données, même si la compagnie devra maintenant démontrer que ses besoins sont plus grands qu’un impact éventuel sur la vie privée de l’internaute, a dit l’analyste européen David Martin, du groupe BEUC.
Les compagnies doivent aussi permettre aux utilisateurs européens de consulter les données, de les effacer et de s’opposer à leur utilisation. Elles devront préciser pendant combien de temps elles gardent les informations.
Enfin, les règles obligent les compagnies victimes d’une fuite de données à la divulguer dans les 72 heures. Par exemple, Yahoo a mis deux ans à annoncer une brèche qui touchait jusqu’à trois milliards d’utilisateurs.
LES COMPAGNIES À L’EXTÉRIEUR DE L’EUROPE
Facebook, Google et les autres ont beau être installés à Silicon Valley, elles ont quand même des millions de membres en Europe — et elles doivent donc respecter les nouvelles règles.
Les contrevenants seront passibles d’amendes de 20 millions d’euros ou de 4 pour cent de leurs revenus annuels, soit le montant le plus élevé des deux.
Les compagnies ont donc intérêt à prendre les règles au sérieux.
ET LES UTILISATEURS À L’EXTÉRIEUR DE L’EUROPE?
Les compagnies installées en Europe doivent offrir ces nouvelles protections à tous leurs utilisateurs à travers le monde et non seulement en Europe.
On se demande en revanche comment les règles s’appliqueront aux visiteurs en Europe, et des experts croient que les tribunaux seront tôt ou tard saisis de l’affaire.
On sait toutefois que les compagnies n’auront pas à déployer autant d’efforts pour obtenir le consentement de leurs utilisateurs à l’extérieur de l’Europe. (Faute de règles, les compagnies supposent habituellement que vous consentez à l’utilisation de vos données, sauf si vous les informez du contraire).
Elles pourront s’abstenir de vous demander votre consentement explicite tant que vous ne visiterez pas l’Europe.
DEUX POIDS, DEUX MESURES À L’ÉCHELLE PLANÉTAIRE
Les compagnies n’ont aucune obligation d’offrir à leurs utilisateurs à l’extérieur de l’Europe les protections imposées par l’UE.
On risque donc de constater qu’il y a «deux poids, deux mesures» à l’échelle planétaire, sauf si des pays comme les États-Unis décident d’imiter l’Europe (ce qui est peu probable à court terme).
Lors de son témoignage devant le gouvernement américain en avril, le patron de Facebook, Mark Zuckerberg, a candidement répondu «je ne sais pas» quand on lui a demandé si les internautes américains auraient les mêmes droits que les Européens.
Mais départager les Européens des autres n’est pas simple, surtout pour les compagnies qui n’ont pas les ressources de Google ou Facebook.
«Ça peut sembler être la bonne chose à faire, mais dans certains cas ce sera beaucoup plus de travail», a prévenu l’analyste Larry Ponemon.
