Données personnelles : la lente fin de l’impunité

Plus d’un an après son entrée en vigueur, le RGPD, ce cadre européen visant à protéger nos données personnelles, reste encore flou pour de nombreux acteurs. Par négligence ou désintérêt manifeste. Mais l’autorité belge de contrôle serre la vis.

Au milieu du printemps 2018, les internautes assistent à une curieuse frénésie. En quelques semaines, des dizaines de mails affluent dans leur boîte de réception. Des sociétés les invitent à marquer leur accord pour continuer à recevoir des offres et newsletters de leur part. Ces messages, complètement inutiles, trahissent en fait la méconnaissance et la panique à l’égard d’un nouveau cadre européen siglé en quatre lettres : RGPD, pour Règlement général sur la protection des données, voté en 2016 et entré en vigueur le 25 mai 2018. Méconnaissance car, jusque-là, personne ou presque ne s’intéressait à cette thématique. Perçue comme une contrainte barbante dans les entreprises, elle est pourtant devenue cruciale à l’ère du numérique et de la cybercriminalité. Panique, parce qu’une fois n’est pas coutume, l’Europe accouche enfin d’un règlement contraignant, assorti de lourdes sanctions financières, vingt-trois ans après une  » directive 95/46/CE  » aussi sévère qu’un Bisounours.

Fini de manier vos données personnelles, et toutes les informations qui les enrichissent, avec l’insouciance d’un mauvais jongleur de balles magiques chipées en cours de récré. Fini d’en user sans votre consentement, de les envoyer dans tous les sens, en toute impunité, jusqu’à ce qu’elles se perdent dans l’un des recoins du Net. En 2018, le scandale Cambridge Analytica, du nom d’une société de ciblage politique, avait révélé l’existence d’une fuite de données touchant plus de 50 millions d’utilisateurs américains de Facebook. En pleine campagne présidentielle, celles-ci avaient permis à l’entreprise incriminée d’identifier puis d’inciter des électeurs potentiels à voter pour Donald Trump. Un exemple, parmi tant d’autres bien plus obscurs, des dérives inhérentes à l’accès aux données personnelles, cette grande mine d’or du xxie siècle.

Le consentement explicite

Noms, identifiants, e-mails, numéros de carte, données de localisation, adresses IP… Le RGPD fixe les droits et devoirs de chacun quant à  » toute information se rapportant à une personne physique identifiée ou identifiable « . Il étend la responsabilité de toute entreprise détentrice de données personnelles aux sous-traitants auxquels elle fait appel dans ce cadre-là. Il clarifie les conditions de validité du consentement des personnes concernées pour que leurs données puissent être traitées.  » Une case à cocher, une signature ; quand un consentement est nécessaire, il doit être explicite, éclairé et ne peut plus résulter d’une inaction « , souligne Alexandra Jaspar, directrice du Centre de connaissances de l’Autorité belge de protection des données (APD), l’ex-Commission vie privée.

Tout ce qui peut contribuer à identifier une personne entre donc dans le champ du règlement européen. En juillet dernier, dans un article publié dans la revue Nature Communications, des chercheurs de l’UCLouvain et de l’Imperial College London ont d’ailleurs démontré que l’addition de quinze attributs démographiques (ville, date de naissance, sexe, état civil, études…) permettait de réidentifier la personne concernée dans 99,98 % des cas. Leur algorithme trahit ainsi l’anonymisation toute relative de nombreuses bases de données, derrière laquelle se retranchent certains acteurs pour tenter de contourner le RGPD.

Celui-ci n’est pas né d’une page blanche.  » Environ 80 % de ses grands principes existaient déjà dans l’ancienne directive européenne « , indique David Stevens, président de l’APD. Mais, en plus d’être obsolète, le texte souffrait de deux grandes lacunes. D’une part, l’absence de règles uniformes à l’échelle européenne, puisque chaque pays était libre de le transposer ou non dans ses lois nationales. Et, d’autre part, l’absence d’une obligation pour les Etats de doter leur autorité de contrôle d’un pouvoir de sanctions, l’indispensable nerf de la guerre pour combattre les mauvaises pratiques.  » En Belgique, la Commission de la protection de la vie privée pouvait donc émettre des recommandations, envoyer des lettres pour embêter les opérateurs, dénoncer les faits au procureur du roi mais faute de sanctions, l’effet dissuasif était limité « , complète Alexandra Jaspar.

« Une marche forcée »

Depuis le RGPD, les règles sont les mêmes dans tous les Etats membres de l’UE. En cas d’infraction, les mesures vont d’une simple réprimande pour les cas les plus anodins jusqu’à une amende de 20 millions d’euros ou équivalant à 4 % du chiffre d’affaires d’une grande entreprise. De quoi faire frémir même les géants : il y a quelques mois, Google a suspendu tout un programme d’écoute et de retranscription, après que la VRT a révélé que les conversations captées par ses enceintes connectées et son assistant vocal étaient aussi analysées par des employés de la firme. Une entorse au RGPD, puisque cette éventualité ne figurait pas dans les conditions d’utilisation.

Chez nous, l’Autorité de protection des données a prononcé ses premières sanctions en mai 2018 via sa chambre contentieuse, son tribunal interne. Dans son viseur, entre autres : le SPF Santé, qui n’avait pas donné suite à une demande d’accès à des informations, et un bourgmestre à qui l’APD a infligé une amende de 2 000 euros pour avoir envoyé de la propagande électorale à des adresses e-mail obtenues à d’autres fins par sa commune.  » Nous avons parfois l’impression que le niveau de conformité avec le RGPD n’est pas meilleur dans le secteur public, alors qu’il devrait montrer l’exemple « , estime Alexandra Jaspar.

Plus d’un an après son entrée en vigueur, les principes et les conséquences du RGPD demeurent encore flous pour de nombreux acteurs. Soit par négligence, soit par désintérêt, même dans les entreprises désormais tenues de désigner un délégué à la protection des données (DPO).  » On sent que ça bouge, le RGPD fait son chemin peu à peu mais dans la plupart des cas, ça ressemble plutôt une marche forcée, constate Fabien Tramasure, cofondateur de la société de consultance GDPR Agency. Dans beaucoup d’entreprises, les DPO sont rarement écoutés. La volonté de se conformer au RGPD est avant tout guidée par la recherche d’opportunités commerciales, bien plus que par une prise de conscience de l’importance de mieux gérer les données personnelles.  » Une culture plus prégnante en France, selon l’expert, où les acteurs concernés ont davantage été sensibilisés ces dernières années.

Opération crédibilité

 » Nous sommes mieux protégés qu’il y a deux ans et plus encore qu’il y a dix ans, mais nos données sont aussi bien plus exploitées qu’avant. C’est une croissance exponentielle « , résume Alexandra Jaspar.  » De fait, nos données sont mieux protégées, confirme Fabien Tramasure. Mais les entreprises restent terriblement naïves. Rien qu’au niveau de la cybercriminalité, RGPD ou non, elles ne sont pas du tout prêtes.  » Même constat à l’égard de tous ces nouveaux produits ou services qui n’ont pas toujours été pensés ou conçus à l’aune des contraintes du RGPD, ce que l’on appelle le privacy by design. Comme si la photographie de ses implications s’était arrêtée au 25 mai 2018.

L’accumulation des sanctions et des amendes, dont les montants sont établis en concertation avec les autorités de contrôle des autres pays de l’UE, devrait enfin permettre de crédibiliser le règlement européen. Et d’en dissiper les malentendus.  » Le manque de connaissances ou de moyens n’est pas une excuse pour ne pas respecter les règles, mais il est évident que nous serons plus sévères avec ceux qui les violent sciemment, poursuit Alexandra Jaspar. Le fait qu’il s’agisse par exemple d’une PME, d’une école ou d’un petit club sportif sera pris en compte au moment où nous décidons d’une sanction.  » D’après l’APD, d’autres sanctions devraient tomber prochainement, outre sa mission d’information et de recommandation des bonnes pratiques. Dans la grande mine d’or des données personnelles, les cowboys et autres Tontons flingueurs de la data ne sont plus les bienvenus.

Le marketing psychographique, parade pour cibler les consommateurs

Avec le RGPD, les données personnelles que vous avez renseignées à n’importe quelle société ne peuvent pas être traitées à d’autres fins que l’usage pour lequel vous avez marqué votre accord. Un choc dans le monde du marketing, si coutumier de savoir qui vous êtes et ce que vous achetez. C’est là que le marketing psychographique entre en scène. Née dans les années 1970, la méthode consiste à cerner les attentes d’un consommateur potentiel sur la base de déductions sur sa personnalité, à partir d’informations qui ne sont pas considérées comme des données personnelles.  » J’ignore ton nom, mais je sais qui tu es.  » Ce slogan illustre le concept que propose William Vande Wiele, fondateur de Consultant BI :  » Ces deux dernières décennies, la grande tendance du datamarketing consistait à savoir ce que vous avez fait hier et ce que vous ferez demain, indique-t-il. Moi, j’essaie de comprendre le pourquoi.  »

Ainsi, la couleur d’une voiture achetée en dit long sur le caractère introverti ou extraverti d’une personne. Un code postal peut définir un mode de vie urbain (qui implique la dimension du temps et de la quantité) ou rural (la qualité ou l’étendue). Un client travaillant dans un métier de gestion sera en règle générale prévoyant, organisateur et précis. Evidemment, ces extrapolations ne sont jamais correctes à 100 %. Mais les 6 000 attributs de personnalisés proposés reposent sur des études scientifiques ayant analysé chacun des critères exposés. Une telle approche permet non seulement aux entreprises de communiquer sur mesure à leurs clients, mais aussi de calibrer la conception d’un produit (design, couleur, fonctionnalités…) à leur personnalité.