Selon la CNIL (Commission Nationale Informatique et Libertés), autorité française de protection des données, l’un des enjeux principaux en la matière est de donner aux utilisateurs une vraie maîtrise de leurs données personnelles.
Le Règlement européen sur la protection des données du 27 avril 2016 permet aux citoyens de mieux gérer leurs données et d’accroître leur confiance dans les modèles numériques. Plusieurs aspects y sont abordés : allègement des formalités administratives, tenue obligatoire d’un registre des traitements, désignation d’un Data Protection Officer (DPO), alourdissement des sanctions (jusqu’à 2% du CA annuel mondial total)….
A défaut d’établir la confiance des citoyens concernant l’usage de leurs données personnelles, la CNIL craint que les nouveaux modèles numériques ne soient pas durables. Par peur de voir leurs données leur échapper, les citoyens risquent de ne pas les utiliser.
Le renforcement du contrôle des autorités nationales de protection des données sur les dispositifs mis en place par les entreprises en matière de données personnelles est un autre aspect essentiel. En offrant de nouveaux pouvoirs à ces autorités, les responsables de traitement seraient enclins à rendre plus protectrices leurs politiques de traitement des données personnelles.
Cette thématique est nécessairement abordée à Bruxelles, où les grandes lignes directrices en matière de protection des données sont établies pour l’Union Européenne. C’est le cas avec le Règlement européen du mois d’avril. Mais la mise en œuvre de la politique établie par Bruxelles s’effectue essentiellement à l’échelle nationale, avec les autorités de protection des données (la CNIL en France).
Ces autorités ont un rôle prépondérant à jouer : sensibiliser les populations, surveiller l’utilisation des données personnelles et sanctionner les abus font partie de leurs principales préoccupations. Elles peuvent notamment publier des recommandations (qui n’ont malheureusement pas force contraignante) ou des délibérations. Ces délibérations peuvent condamner les responsables de traitement en cause à une sanction pécuniaire, ainsi qu’à une obligation de se conformer à législation en vigueur.
Il serait donc faux de dire que tout se joue à Bruxelles en matière de protection des données personnelles : la complémentarité des rôles entre intervenants européens et nationaux est nécessaire pour que les données personnelles soient protégées au mieux.
Google a récemment renoncé à poursuivre une action en justice engagée à l’encontre d’une décision de la CNIL le condamnant à une amende de 150 000 euros. La sanction pécuniaire infligée par la CNIL a été réglée par Google. De plus, Google a récemment conclu des accords avec les CNIL britannique et italienne afin d’améliorer sa politique de confidentialité des données. Le moteur de recherche témoigne de réels efforts sur cet aspect.
En revanche, Facebook reste l’un des mauvais élèves récurrents en la matière. Une recommandation de la CNIL belge du 13 mai 2015 est, encore une fois, très critique à l’égard de Facebook. Et pour cause : l’emploi des boutons « j’aime » ou « partager » permet au réseau social de suivre les habitudes de navigation de ses utilisateurs sur de nombreux sites internet externes (qu’ils soient connectés ou non à leur compte Facebook), sans qu’aucun consentement explicite n’ait été préalablement recueilli.
Contrairement à Google, le réseau social n’affiche aucune volonté de mettre en place des mesures plus protectrices des données personnelles de ses utilisateurs. Les autorités nationales de protection de données le sanctionneront-ils ? L’affaire est à suivre…