Données personnelles: l’UE serre la vis

670

J-10: les Européens disposeront à partir du 25 mai d’un arsenal de nouvelles règles pour «prendre le contrôle» de leurs données personnelles face aux dangers de l’ère numérique, récemment incarnés par le scandale planétaire qui a ébranlé Facebook. Le «Règlement général sur la protection des données» (RGPD) va créer ou renforcer des droits individuels et donner des obligations strictes aux entreprises qui collectent ou traitent des informations personnelles dans l’UE, où qu’elles soient établies. Commerces en ligne, banques ou autres organismes publics devront s’y plier sous peine de lourdes amendes, au même titre que les grandes plateformes comme Facebook, Google ou Twitter, pour qui ces données constituent une mine d’or, exploitée notamment pour du ciblage publicitaire. «Ce sont vos données, prenez le contrôle», exhorte la Commission européenne dans un «guide du citoyen» listant les avancées du RGPD contre les fraudes, les vols ou l’utilisation non consentie de données, au coeur des récentes révélations sur la société Cambridge Analytica. La controverse sur l’exploitation des informations de dizaines de millions d’utilisateurs de Facebook par cette société britannique, impliquée dans la campagne présidentielle de Donald Trump, est une aubaine pour les autorités européennes. «Si j’avais voulu faire une campagne efficace sur ce qu’est le RGPD, et pourquoi nous le faisons, je n’aurais jamais fait aussi bien que Facebook», ironise la commissaire européenne à la Justice, Vera Jourova. Le scandale a montré «que nous vivons vraiment dans une sorte de jungle où nous nous perdons nous-mêmes», estime la commissaire, satisfaite de voir la démarche régulatrice de l’Europe faire des émules même aux Etats-Unis, et convaincue que l’UE est en train de bâtir des standards internationaux. «La confiance est un impératif, elle met des années à se construire, mais seulement quelques secondes à être perdue: c’est triste, mais les géants numériques ont appris brutalement la leçon», a récemment souligné de son côté l’eurodéputée Viviane Reding (PPE, droite). «Heureusement, nous les Européens avons mis en place les bonnes lois pour faire revenir la confiance», s’est félicitée cette ancienne commissaire européenne, qui avait mis sur la table en 2012 le RGPD alors combattu, se souvient-elle, par «les lobbyistes et les gouvernements nationaux». Dans un discours le 10 mai en Allemagne, le président français Emmanuel Macron a salué le «choix courageux» du Règlement européen, pierre à l’édifice de la «souveraineté numérique à construire» face à une puissante industrie. Les règles applicables à compter du 25 mai ont été adoptées en 2016, mais avec une période de 2 ans de préparation laissée aux Etats membres et aux entreprises. Elles incluent pour les citoyens un «droit de savoir» qui traite leurs données et dans quel but, ainsi qu’un droit de s’opposer à leur traitement, pour de la prospection commerciale notamment.Il détaille les conditions pour obtenir leur suppression («droit à l’oubli») et prévoit que les particuliers devront être prévenus en cas d’accès non autorisé à leurs données, comme dans le cas du piratage massif subi par la société Uber en 2016, longtemps tenu secret. L’accord explicite nécessaire pour toute utilisation de données est particulièrement renforcé pour les enfants, dont le consentement devra être donné par les parents jusqu’à un âge de 13 à 16 ans (les Etats membres disposent d’une marge). Les entreprises s’exposeront, elles, à des sanctions si elles ne respectent pas ces règles: jusqu’à 20 millions d’euros ou 4% du c.a. annuel mondial, le plafond le plus élevé étant retenu. Mais ces nouvelles contraintes profiteront in fine aux acteurs économiques, plaident les autorités européennes, en rétablissant la confiance des consommateurs et en mettant fin à la mosaïque des législations nationales. Les 28 ne seront toutefois pas encore tous prêts le 25 mai, malgré les 2 ans dont ils disposaient.