+33 (0)1 69 33 05 50

Actualité et agenda de l'AFTI

RGPD et CFA AFTI

Le Web sous la RGPD

Après le tsunami d’emails concernant la RGPD de mai, il est maintenant temps de voir l’effet que ce nouveau règlement sur le web. L’Union européenne avait laissé 18 mois de préparation afin que les entreprises puissent s’adapter à ces nouvelles mesures. La RGPD a-t-elle créé une muraille de fer de data entre l’UE et le monde en protégeant nos données ? Avons-nous une meilleure maîtrise de celles-ci ?

 

Nouvelles règles du jeu

La RGPD a été initiée en 1995, au tout début d’internet, et a continué d’évoluer jusqu’en 2014, à la révélation d’Edward Snowden, de l’espionnage américain des données personnelles, via des entreprises comme Google, Facebook, et autres géants de la Tech. Nos chers députés européens ont donc légiféré pour une meilleure régulation dans l’échange de nos données personnelles :

 

Consentement 

Tout échange de données doit être notifié à l’arrivée sur le site, et spécifier quelles données sont transférées, dans quel but. Ils devront aussi demander à l’utilisateur s’ils peuvent partager ces données à une autre entité.

 

Droit à l’oubli et portabilité

Toute personne a le droit de demander à un site qui détient ses données personnelles de les supprimer, ou de déplacer ces données vers un autre site.

 

Protection des données

Sûrement le plus intéressant pour les ingénieurs du côté de la cybersécurité, toute entreprise qui manquerait à son devoir de sécurisation des données personnelles pourra recevoir une amende de 10 à 20 millions d’euros, ou 4 % du chiffre d’affaires si ce montant est plus élevé.

L’entreprise fautive devra notifier son manquement aux personnes concernées, en précisant le type de données volées. À savoir que la responsabilité est portée par le créateur du site, mais aussi de l’hébergeur ou toute entreprise subalterne liée à la sécurité des données personnelles.

RGPD et CFA AFTI

Nos données mieux cadenassées

Vous avez sûrement dû remarquer certains changements notables à cause de la RGPD. Un site vous demande maintenant l’autorisation d’utiliser certains cookies, tout comme c’était le cas avant la norme européenne, mais vous avez maintenant le choix du partage de ces données à des entreprises tierces, et êtes averti de leur utilisation.

 

Les médias américains eux, ont refusé de se plier au règlement européen et ont décidé de bloquer l’accès de leur contenu outre-Atlantique. C’est le cas par exemple du Los Angeles Times, Chicago Tribune, et beaucoup d’autres appartenant au conglomérat Tribune Company, cherchant « une solution » de recours en attendant de pouvoir rouvrir leur site à l’Europe.

USA Today a choisi de créer un portail remanié et dédié à l’Europe, pendant que NPR propose un site rempli de cookies, ou une version en html brute pour les plus réticents. Mais certains autres sites, où le business modèle tournait autour de la transparence des données personnelles, sont dans la tourmente. C’est le cas de WhoIs qui permet de connaître le propriétaire d’un nom de domaine, une sorte d’annuaire du web, et propose grâce à une offre premium de garder les informations de contact anonymes.

 

L’association Icann a demandé un délai supplémentaire afin que Whois trouve une solution d’appoint pour continuer à exister, sans succès. Ils ont donc pour l’instant bloqué toute information publique des serveurs européens, et réfléchissent à permettre un contact payant via des pages de redirection.

 

 Les géants au-dessus des lois ?

Qu’en est-il du côté des géants du web ? Peu de choses ont changé du côté de Facebook et Google, si bien que le jour du lancement de la RGPD, une plainte a directement été déposée de la part de Max Schrems, un activiste des données privées autrichien.

 

Selon lui, malgré les 18 mois après l’annonce de l’application du règlement, rien n’a réellement changé. « ils n’essaient même pas de le cacher “s’exclame-t-il au Financial Times. Max dénonce ici un ‘consentement forcé’ d’accès aux données personnelles, auquel cas les utilisateurs n’ont pas accès aux services proposés.

 

D’autres accusent le manque d’éthique dans le design des applications. Greoffrey Dorne parle de ‘dark patterns’, une sorte de nudging poussant l’utilisateur à dévoiler des informations personnelles. Il partage ses inquiétudes dans un article de Slate : ‘Si je me fais pirater un mot de passe, je le change, j’en invente ou j’en génère un nouveau. Par contre, le jour où je me fais pirater la reconnaissance de mon visage ou mon empreinte digitale, je ne pourrai pas la changer.’

 

Les publicités ciblées sont aussi un des points qui crispent les géants, et cela vaut aussi bien pour Google que les autres AFAM. Ils gardent ardemment leurs ‘pixels’ sur les sites partenaires et continuent de cibler en fonction de l’activité de l’utilisateur sur le web.  

 

La RGPD est un réel pas en avant pour la protection légale de nos données. On peut honnêtement dire que ce nouveau règlement a eu l’effet escompté pour la majorité des entreprises, la note étant salée pour celles qui s’y frottent.

 

Mais on voit bien qu’il est compliqué de forcer les géants à se plier à de nouvelles atteintes à leur business modèle. Google renonce déjà à payer certaines amendes, difficile donc d’imaginer l’issue de bras de fers gigantesque entre l’Union européenne et les GAFAM.