Le RGPD viendra-t-il à bout des GAFAM ? Entre un cadre plus sévère et pourvu de sanctions dissuasives et une plus grande vigilance du grand public, les traitements de données massifs paraissent mis en cause. Le Règlement européen relatif à la protection des données n’empêche pourtant pas les entreprises de faire du Big Data, il définit simplement des exigences destinées à en encadrer la conformité.
Pourquoi le RGPD met en cause les pratiques des GAFAM ?
A l’évidence, le RGPD a provoqué des bouleversements dans la collecte massive de données. Remise en cause des pratiques déloyales, vigilance accrue de la société civile, sanctions plus dissuasives, influence du RGPD dans le monde… Mais plus qu’une menace visant les GAFAM, le RGPD peut être sources d’avantages sur les plans commercial et concurrentiel pour les entreprises souhaitant faire du traitement massif de données.
Vers la fin des pratiques déloyales de collecte de données ?
Avec le RGPD, les données personnelles ne doivent en aucune manière être collectées à l’insu des personnes concernées.
Il reste possible d’utiliser des technologies automatisées de collecte ou d’acquérir des données auprès de tiers si la personne en est préalablement informée, voire dans certains cas si elle y consent.
Le RGPD remet donc en question certaines pratiques.
C’est ainsi que Facebook s’est vue reprocher le fonctionnement des boutons de partage que les éditeurs de sites peuvent insérer sur leurs pages. Le seul lancement du site, incluant le chargement de ces boutons, permettaient à l’éditeur du réseau social de déposer des cookies et recueillir des données d’utilisateurs, membres ou non.
Le tout sans réelle information transparente ni recueil d’un consentement.
Cambridge Analytica et les tiers
Le RGPD témoigne d’une préoccupation croissante de la société civile concernant le recueil de ses données et l’utilisation qui en est faite.
En 2018, le monde est littéralement chamboulé par le scandale Cambridge Analytica (encore Facebook!), ses opérations de collecte massive de données et leur utilisation détournée à des fins politiques.
Mais au-delà de cette affaire, clients et prospects veulent savoir à qui leurs données sont transmises, quelles entités tierces, et pourquoi. Le doute peut rapidement se muer en scandale.
C’est ainsi qu’en réponse à la pression médiatique, Avast a été contrainte de fermer une filiale et stopper la transmission de données personnelles à des partenaires publicitaires.
Une réglementation désormais effective
Des sociétés comme Facebook et Google ont déjà été sanctionnées par la CNIL. Mais à 150 000€ l’amende, il n’y avait pas trop lieu de s’inquiéter.
Le RGPD réhausse sensiblement les plafonds qui peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaire mondial. En 2019, la CNIL a utilisé cet arsenal et infligé une amende de 50 millions d’euros à Google.
De tels montants deviennent désormais suffisamment significatifs pour amener à changer les comportements.
Règlement européen relatif à la protection des données, un texte d’influence
Le RGPD facilite la construction d’un marché européen de la donnée en imposant un cadre standard à l’ensemble des Etats Membres.
Certes, certaines questions restent soumises à la compétence des législations ou la marge d’interprétation des autorités de régulation nationales.
Mais sur de nombreux points, le règlement est d’harmonisation maximale, il ne laisse aucune marge de manœuvre.
De fait, ce texte a aussi inspiré l’adoption de lois similaires par de nombreux Etats dans le monde. Au point de pousser les Etats-Unis à se doter d’une loi fédérale servant d’alternative au cadre européen ?
Une réglementation créatrice d’avantages commerciaux ?
Se mettre en conformité avec les diverses obligations du RGPD nécessite de déployer une organisation. Dans certains cas, notamment pour des projets ayant une forte dimension technologique, cela requiert des investissements coûteux et un effort de développement intense.
D’une contrainte légale, le RGPD peut cependant devenir une opportunité marketing. Les entreprises vertueuses ont en effet intérêt à promouvoir leurs efforts afin de stimuler la confiance de leurs clients et de leurs prospects.
De la sorte, ces mêmes entreprises peuvent faire de leur conformité et de l’intensité de leurs efforts concrets de protection des données un facteur différenciant vis-à-vis de la concurrence.
Enfin, il semblerait que le RGPD puisse même servir d’arme concurrentielle. Certains en effet s’inquiètent que le RGPD ne profitent aux GAFAM. Le risque est en effet que sur leurs secteurs d’activités, ils soient les seuls acteurs à pouvoir absorber les efforts d’investissement nécessaires et induits par le RGPD. Une telle situation créerait alors une barrière à l’entrée exorbitante pour la concurrence.
Le RGPD menace donc finalement moins les GAFAM qu’il ne régule les pratiques de big data par les entreprises souhaitant en faire.
Comment le RGPD encadre-t-il les pratiques des GAFAM ?
Approche privacy by design, revue de la chaîne contractuelle, fondement légal, transparence, gestion des droits des personnes concernées, sécurisation des transferts hors UE… Autant d’exemples non exhaustifs qui montre que le RGPD définit un véritable cahier des charges d’exigences à respecter pour procéder à des traitements de données massifs.
Le Big data, pas interdit mais encadré
Le RGPD n’interdit à aucune entité proposer gratuitement des produits et services en contrepartie de l’utilisation des données personnelles recueillies des clients. Le modèle économique de certains GAFAM n’est ainsi pas en danger.
Il impose en revanche de mettre en place une démarche de type « privacy by design » qui, si le traitement présente un niveau de sensibilité élevé, pourra s’appuyer sur la conduite d’une analyse d’impact sur la protection des données.
Les entreprises sont ainsi maîtresses de la conformité de leurs traitements auxquels elles appliqueront des mesures :
- techniques ;
- organisationnelles ;
- appropriées
de protection des données dès le stade de la conception des conception (durée de conservation, minimisation de la collecte, pseudonymisation, sécurité…).
En somme, chaque obligation légale du RGPD devient une spécification à intégrer dans les cahiers des charges.
Des contrats de sous-traitance à revoir
Hier encore, sous l’empire de la loi informatique et libertés de 1978, le sous-traitant n’était officiellement tenu que de respecter les instructions de son client et d’assurer la sécurité des données qu’il traitait pour son compte.
Le RGPD impose désormais d’insérer dans les contrats une clause détaillant fortement les rôles et responsabilités de chacun. Cela change la donne, notamment pour les GAFAM proposant des outils à des clients professionnels. Car en théorie, ils peuvent être soumis à deux statuts :
- Sous-traitant. Si le rapport de force lui est favorable, le client souhaitera conserver une maîtrise totale des traitements de données dont il assume la responsabilité. Des prestataires de services exploitant les données du client notamment pour les besoins de l’exploitation de ses propres services (études, finalités publicitaires…) pourront donc être écartés. Le sous-traitant doit en effet ne traiter les données que pour les finalités spécifiées par le client.
- Responsable conjoint voire responsable principal du traitement ultérieur. Le prestataire décide d’exploiter les données pour ses propres fins et le client l’accepte. Selon les situations, le prestataire pourrait être responsable conjoint pour les traitements découlant de la prestation de services et responsable de traitement pour les opérations effectuées pour ses propres besoins.
Le fondement légal, condition de licéité des traitements
Le fondement légal est un critère déterminant pour la mise en œuvre d’un traitement des données. Quel est celui permettant à Google de croiser les bases de données collectées au travers de la galaxie de services qu’elle propose ? À Facebook de d’utiliser les données des membres de son réseau social à des fins publicitaires ?
Le consentement du client ? Un intérêt légitime assorti de garanties de protection appropriées de la vie privée ? Ces questions sont si importantes que pour cs acteurs, elles ont fait l’objet de contrôles par la Commission Nationale de l’Informatique et des Libertés.
De fait, cette base légale conditionne les mesures qu’il faudra intégrer aux projets de big data: parcours de consentement, dispositifs automatisés de suspension d’un traitement précédemment autorisé…
Transparence et droits : donner le contrôle à l’utilisateur
Le RGPD impose encore deux types d’obligations légales :
- informer correctement l’utilisateur des traitements mis en œuvre. Cela se fera par une politique de confidentialité claire et accessible sur le fond comme sur la forme.
- permettre à l’utilisateur d’exercer les droits dont il dispose : accès, rectification, effacement, opposition… Ceci de manière simple mais aussi en construisant une infrastructure technique permettant, par exemple, de supprimer ses données, ou de répercuter un choix d’opposition à la prospection, dans toutes les bases de données concernées.
Sécuriser les transferts de données hors UE
Enfin, le transfert de données depuis la France vers un État situé hors UE, ne présentant pas un niveau de protection adéquat, devra être encadré.
S’agissant des Etats-Unis, le client peut par exemple :
- retenir un prestataire de service ayant adhéré au protocole Privacy Shield ;
- signer avec lui des clauses contractuelles types, dont le contenu est standardisé par la Commission européenne.
