Bataille pour la protection des données personnelles

La commission européenne a proposé que le Règlement « vie privée et communications électroniques » prenne effet en mai 2018. Pourquoi est-ce une bataille ?

Les experts se sont retrouvés lors du Chaos Communication Congress pour discuter des sujets les plus actuels en matière de sécurité, vie privée et droits de l’Homme dans l’ère du numérique. Le nouveau Règlement européen « vie privée et communications électroniques » était évidemment à l’ordre du jour.

Ingo Dachwitz, rédacteur en chef du site internet allemand sur les droits numériques et la culture numérique Netzpolitik.org, a parlé de ce nouveau Règlement ; de quoi il s’agit, comment il pourrait modifier Internet, et pourquoi la plupart des représentants du secteur de l’Internet pensent que les conséquences pourraient être catastrophiques.

Un bref historique des lois européennes sur la protection des données personnelles

Peut-être que vous connaissez déjà ce Règlement sur la vie privée et les communications électroniques, ou du moins vous en avez sûrement entendu parler. La consultation publique a été réalisée au sein de l’UE, et pratiquement tous les médias européens en ont déjà parlé. Nous allons brièvement vous expliquer les débuts de la protection des données en Europe.

L’utilisation d’Internet a rapidement augmenté dans les années 90, tout comme le volume des données sur les utilisateurs. Les entreprises ont développé de nouvelles méthodes pour obtenir et traiter ces informations qui ont acquis une grande valeur. Plus l’entreprise possède des données sur les utilisateurs et plus elle les analyse de façon efficace, plus elle peut cibler avec précision les consommateurs. L’entreprise vend des produits en leur montrant des publicités qui reposent sur les données générées par ces mêmes utilisateurs.

La commission européenne a commencé à vraiment s’intéresser à tous les aspects liés à ce secteur, et elle voulait savoir comment les données étaient obtenues et par qui. Etant donné la situation, il était évident qu’une nouvelle loi était nécessaire. La première loi sur la protection des données personnelles fut la directive sur la protection des données. La définition proposée de données personnelles était assez vague à ce moment-là. En avril 2017, donc 21 ans plus tard, cette loi a été remplacée par le Règlement général sur la protection des données (RGPD).

L’objectif de ce règlement est de proposer une définition exacte des données personnelles, de les catégoriser, mais aussi d’harmoniser et de renforcer les règles de protection des données des citoyens européens. Ces informations peuvent être génétiques, intellectuelles, culturelles, économiques ou sociales. Il s’agit, entre autres, des adresses IP, des noms et numéros de téléphone des clients, ou des dossiers des fournisseurs et du personnel.

Définir le nouveau Règlement « vie privée et communications électroniques  »

Puis le Règlement « vie privée et communications électroniques » est apparu. Son entrée en vigueur se fera en mai 2018 et il va apporter de nouvelles lois au RGPD. Ses préceptes sont en grande partie identiques à ceux du RGPD. La principale différence est que le Règlement « vie privée et communications électroniques » sépare les données personnelles en deux grands groupes : les données relatives au contenu (texte, messages, images, langues utilisées, etc.) et les métadonnées, les données sur les données, en d’autres termes les informations sur les fichiers de contenu. Par exemple, pour les sites internet, les métadonnées comprennent les mots de passe, les cookies ou encore les fichiers d’empreintes digitales. Les métadonnées sont particulièrement importantes pour toute personne qui souhaite cerner une personne sur Internet, la suivre et analyser ses habitudes.

Même si cette diapositive a été projetée lors d’une autre intervention au Chaos Communication Congress, elle explique l’importance des métadonnées dans la société actuelle.

 

Le principe directeur du Règlement « vie privée et communications électroniques » pour tous les types de données sur les utilisateurs sur Internet sont  » la protection de la vie privée par défaut « . Signification :

  • Les données ne peuvent être collectées qu’une fois que l’utilisateur ait donné son consentement actif, et il doit être effacé ou rendu anonyme lorsqu’il n’est plus nécessaire pour une communication (Article 7).
  • Toutes les formes de suivi en ligne doivent être strictement contrôlées, en commençant par demander aux utilisateurs s’ils souhaitent être suivis. Le suivi par défaut (sans demander la permission à l’utilisateur) et les tableaux de pistage (qui bloquent l’accès au contenu des sites internet à moins que l’utilisateur accepte d’être suivi) sont interdits (Article 7, 8, 9).
  • Le suivi hors ligne (par Bluetooth ou Wi-Fi) ne devra être utilisé qu’à des fins statistiques, ou après que l’utilisateur ait donné son consentement explicite (Article 8).
  • Les fournisseurs de services de communication devront sécuriser les données de l’utilisateur en utilisant un chiffrement de bout-en-bout, et les données de l’utilisateur ne peuvent être déchiffrées que par l’utilisateur (Article 17).
  • Les fournisseurs de services de communication ne peuvent interdire à l’utilisateur d’employer des moyens de protection contre le suivi ou le ciblage, comme par exemple les bloqueurs de publicité (Article 17).

Le champ de bataille

Depuis que le Règlement a été proposé en janvier 2017, la société européenne a participé à de nombreux débats sur ce sujet. Les médias les plus importants de l’Europe, ainsi que les représentants des entreprises du secteur d’Internet, ont exprimé leur point de vue commun en disant que le Règlement n’est pas seulement inutile aux utilisateurs, mais qu’il est aussi peu convivial et non productif.

Les lobbyistes de l’industrie sur la protection des données personnelles dans l’UE ont lancé une campagne sur Internet contre ce nouveau règlement. Il s’agit de l’Interactive Advertising Bureau (IAB), de DigitalEurope, de l’Association européenne des agences de communication (EACA), de la European Magazine Media Association (EMMA), de certains membres de ces organisations qui comprennent des entreprises telles que Amazon, Facebook, Google, Apple, Microsoft, ainsi que les agences numériques, de publicité et de relations publiques les plus importantes d’Europe, sans oublier les sociétés de médias. La campagne  » Like a Bad Movie  » imagine un monde où le Règlement « vie privée et communications électroniques » serait entrée en vigueur. Ils prétendent que l’autorisation du règlement va autant affecter l’utilisateur qu’Internet en général. Leurs affirmations :

  • Limiter les publicités qui utilisent les données va réduire la part de journalisme de qualité, ce qui va diminuer le nombre de sources d’information de qualité et la diversité d’opinions sur Internet.
  • Les modèles commerciaux d’applications utiles qui vivent grâce aux revenus générés par les publicités qui utilisent les données vont tomber en morceaux.
  • Le Règlement va plus embrouiller qu’aider le consommateur, en l’obligeant à gérer les paramètres de confidentialités de chaque dispositif, de chaque navigateur internet et de chaque site internet.
  • La disponibilité de contenu gratuit va être significativement réduite puisque les sites internet ne pourront pas gagner d’argent grâce aux publicités qui utilisent les données.

L’argument général des lobbyistes est que ce Règlement menace les modèles commerciaux qui reposent sur l’utilisation des données, et le groupe de pression lutte contre cette loi. Sur les 41 réunions de lobbying sur la protection des données tenues avec des commissaires européens en 2016, 36 étaient pour les intérêts des entreprises. Par conséquent, la proposition finale du règlement, tel que nous l’avons actuellement, n’inclut pas certains aspects qui étaient présents dans le brouillon. Par exemple, la définition des métadonnées est vague, et ils ont exclu la proposition qui consistait à assurer les paramètres par défaut pour la protection des données dans les équipements informatiques.

La bataille continue. Les amendements apportés au règlement par le parlement européen le 23 octobre 2017 renforcent les règles qui limitent les représentants de l’industrie. Cependant les lobbyistes n’ont pas capitulé. Il est encore possible de faire de nouveaux amendements pour changer le document complètement.

C’est tout ce que nous savons pour le moment, et nous surveillerons de près tout ce qui se passe. Nous vous recommandons fortement de faire de même. Le règlement va avoir une importante incidence mondiale, puisqu’Internet devra peut-être s’écarter de son financement par les données sur les utilisateurs. Si le règlement est adopté, il deviendra un des événements à venir les plus importants de l’année. Il est certain que cet événement aura plus d’importance pour l’économie mondiale que la coupe du monde de football.

Conseils