La Commission nationale informatique et libertés enregistre une forte hausse du nombre de plaintes
Prélever vos données de géolocalisation à partir de vos smartphones sans vous prévenir explicitement ni même vous permettre de refuser cette pratique… le tout pour vous envoyer des publicités ciblées. Cette mauvaise pratique de la société Singlespot a été épinglée par la Commission nationale informatique et libertés (CNIL), qui l’a mise en demeure, le 23 octobre.
La start-up a maintenant trois mois pour corriger le tir, à défaut de quoi elle sera sanctionnée financièrement. Avant elle, Fidzup et Teemo, deux autres sociétés œuvrant elles aussi dans la collecte de données à des fins publicitaires, se sont vu infliger le même traitement, à la mi-juillet.
Cinq mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), ces trois avertissements, pour l’instant non suivis de sanctions, ont fait à ce jour, en France, les premières « victimes » de ce nouveau cadre réglementaire européen. On est bien loin du big bang anticipé par certains avant l’avènement du texte.
La prise de conscience des nouveaux droits offerts aux citoyens européens semble pourtant bien réelle. Depuis le 1er janvier, la CNIL a enregistré 7 350 plaintes, contre 5 250 à la même date en 2017, un chiffre en augmentation de 41 %. La hausse est encore plus forte sur les quatre mois suivant la mise en œuvre du RGPD (+ 64 %). « Il n’y a pas eu un pic au 25 mai puis une rechute. Au contraire, on reçoit de plus en plus de réclamations », précise Jean Lessi, secrétaire général de la CNIL.
La nature des demandes aussi a changé, « avec une progression de celles concernant la vie en ligne des internautes [demandes de suppressions de données, etc.], qui constitue 38 % des plaintes enregistrées jusque-là en 2018, contre seulement 27 % en 2017 », explique-t-il. Conséquence, ce sont les grands acteurs du Net qui sont les plus ciblés.
Plainte collective
Autre indication que le RGPD fait son chemin dans les esprits, la CNIL a réceptionné en cinq mois près de 800 notifications de violation de données personnelles. Une nouveauté qui résulte de la nouvelle obligation faite aux entreprises de se signaler dans les plus brefs délais à leur autorité de référence (la CNIL en France) si les données qu’elles collectent ont été compromises, du fait de cyberattaques, de pertes de matériel ou d’erreur humaine… « C’est à la fois révélateur du nombre croissant d’incidents qu’on peut constater sur le Net, mais aussi des progrès de la culture de sécurité au sein des entreprises », selon M. Lessi.
Reste qu’au bout de cinq mois, le RGPD doit encore prouver qu’il est capable de mettre un terme aux dérives les plus graves et imposer ses principes aux entreprises les plus puissantes.
Du côté de la CNIL, on souligne d’abord que les autorités de régulation ne sont pas dans la posture du tout-répressif, même si la menace de la sanction financière reste sa meilleure arme. « Si un professionnel nous signale une fuite de données, on est dans une démarche d’accompagnement pour l’aider à réparer la faille et éviter que pareille situation se reproduise », souligne M. Lessi.
Par ailleurs, les mises en demeure, publiques ou non, que prononcent la CNIL ou les autres autorités européennes, peuvent produire leur effet. Un mois et demi après avoir été épinglée, la société Teemo a ainsi modifié sa politique de collecte de données.
Mais la CNIL et ses homologues européens se savent attendus sur des dossiers autrement plus emblématiques. Dès le 25 mai, l’autorité française a été saisie d’une plainte collective par la Quadrature du Net visant Apple, Facebook, Google, Amazon et Microsoft. Le même jour, l’organisation None of Your Business (NOYB) a déposé auprès de quatre autorités de régulation des plaintes contre Google, Facebook, Instagram et WhatsApp. Dans les deux cas, les plaignants reprochent aux sociétés visées d’imposer de facto le consentement à la collecte de leurs données personnelles pour accéder à leurs services. Si elles devaient être condamnées, les sanctions pour ces sociétés pourraient se compter en milliard(s) d’euros alors que, dans le cadre législatif précédent, la CNIL ne pouvait infliger au plus que des amendes de 150 000 euros.
La Quadrature du Net, qui n’est habituellement pas tendre avec la CNIL, se dit satisfaite de voir « les choses bouger ». « Ils instruisent vraiment le dossier », indique Benjamin Bayart, un des cofondateurs de l’association. Sans présager de l’issue de ces démarches, M. Lessi rappelle qu’« il y a un délai incompressible pour instruire une plainte », qui peut durer plusieurs mois, mais souligne que celle de La Quadrature du Net est « prioritaire ». « C’est la première fois que la CNIL est confrontée à une plainte collective d’une telle ampleur, qui est un condensé des préoccupations des citoyens à l’ère du numérique. »
La mobilisation des différentes autorités, le côté dissuasif des sanctions financières et les risques encourus en matière d’images incitent désormais les géants américains du numérique à ne plus prendre à la légère la protection des données personnelles des citoyens européens. Tim Cook, le patron d’Apple, et Erin Egan, la responsable des questions de vie privée chez Facebook, sont même venus plaider, mercredi 24 octobre, à Bruxelles, pour l’adoption aux Etats-Unis de lois s’inspirant du RGPD.
« On n’aurait pas pu voir cela, il y a quelques années », estime M. Lessi. La preuve aussi, pour la députée Paula Forteza (LRM), qui a été rapporteuse du texte à l’Assemblée nationale, que le texte européen est « devenu un modèle alternatif et une référence au niveau international ». Même s’il y a encore des « marges de progression » dans l’application du RGPD, elle reste convaincue qu’il faut que le modèle européen « s’étende à d’autres pays, à commencer par les Etats-Unis, si on ne veut pas que les scandales qu’on a vus récemment se répètent ».
Aucun commentaire:
Enregistrer un commentaire