RGPD : une législation encore largement contournée

Après les récents scandales liés à l’utilisation abusive de données, l’arrivée du RGPD a eu pour objectif de resserrer la réglementation. Un moyen de mieux protéger des consommateurs de plus en plus nombreux à utiliser les services numériques. Comme tout le monde, j’ai donc connu courant 2018 une vague de mails pour valider les nouvelles politiques de confidentialité. Sans parler des pop-up qui envahissent les sites internet pour le consentement au dépôt de cookies et autres. À première vue, la menace des sanctions en cas de non-respect a porté ses fruits. Cependant, les entreprises spécialisées dans l’exploitation de données agissent aussi discrètement que possible pour contourner les règles et continuer leur précieuse collecte d’informations. GAFA et autres sociétés optent pour différentes méthodes afin d’orienter les choix des utilisateurs. Est-ce que je me fais berner de temps en temps ? Probablement. Je dois bien avouer que je suis loin de vérifier les paramètres de chaque application utilisée et il m’arrive de cliquer un peu trop vite sur le bouton suivant. Cela dit, je ne suis sûrement pas le seul…

Texte de loi adopté en avril 2016, le RGPD a été réellement appliqué au mois de mai 2018 en remplacement de la directive sur la protection des données personnelles de 1995. Visant à protéger la vie privée des internautes, il régit la collecte et le partage de données des entreprises et professionnels. Une initiative devenue nécessaire avec l’invasion du numérique dans notre quotidien et les débordements liés au commerce de la donnée. Le RGPD a donc pour rôle de renforcer les droits des citoyens sur l’utilisation des informations les concernant et de responsabiliser les organismes collecteurs de données. Il en découle un contrôle accru en la matière et la mise en place de sanctions pouvant aller de 20 millions d’euros à 4 % du chiffre d’affaires mondial pour punir les débordements sur l’ensemble du territoire européen.

Lire aussi : Jean-Marc Lazard, Opendatasoft : « Mettre la donnée au service du citoyen »

Vouée à évoluer et à se perfectionner, la législation du RGPD est destinée à servir de référence pour les années à venir. D’une grande complexité, le texte compte diverses mesures parmi de nombreux articles de loi. Si la déclaration à la CNIL disparait, il est dorénavant impératif à toute entreprise d’attester de la conformité et de la sécurité du traitement des données. Une obligation qui s’étend également aux prestataires impliqués. Autre point important de la nouvelle réglementation, le recours à un Data Protection Officer est fortement recommandé pour assurer une gestion globale. Il est même obligatoire pour les organismes publics, ainsi que ceux manipulant des données à grande échelle ou sensibles.

Au niveau de la collecte d’informations, il est dorénavant interdit d’agir sans obtenir un consentement clair et traçable de la personne visée. Cette dernière bénéficie d’un droit à l’oubli lui permettant d’exiger la destruction de ses données personnelles. Un droit de portabilité est également prévu afin de recevoir lesdites données et de pouvoir les transmettre à un autre organisme. Enfin, l’accord d’un représentant légal est obligatoire pour toute collecte liée à un mineur de moins de 16 ans.

Ils sont malins ces sites internet. Tous les moyens sont bons pour obtenir le fameux clic « accepter » ou simplement pour éviter le tant redouté « refuser ». Évidemment, ce n’est pas pour le plaisir qu’ils collectent ainsi sans vergogne vos informations personnelles. Elles servent à affiner votre profil pour vendre des emplacements publicitaires mieux ciblés et donc plus rémunérateurs.

Les chercheurs du MIT, de l’UCL et de l’université d’Aarhus ont réalisé une étude sur 10 000 sites britanniques durant le mois de septembre 2019. Elle analyse les méthodes employées pour obtenir le consentement des internautes et enregistrer leurs données. Les résultats sont sans appel, 88 % des portails internet ne se conforment pas au RGPD. Ils ont recours à des processus d’incitation pour placer leurs cookies dans un maximum d’ordinateurs. Les bannières, pop-up et formulaires se multiplient, mais rivalisent d’ingéniosité pour éviter tout refus en dépit des recommandations de la législation.

Lire aussi : Dans la série des clichés du numérique… Les données mieux vaut se les garder*

Premier constat, encore 32 % des sites web ignorent complètement la réglementation du RGPD en ne proposant aucun choix à leurs visiteurs. Pour les autres, l’option consistant à refuser la collecte de données en un simple clic est inexistante dans 50 % des cas. Lorsqu’elle apparait, celle-ci est bien cachée dans les lignes étroites du formulaire de consentement pour 74 % des sites. Elle devrait pourtant se situer à côté du bouton accepter qui, lui, est toujours clairement visible. Une méthode de contournement qui semble porter ses fruits, car l’absence de cette option sur la page d’accueil augmenterait l’acceptation des internautes de 22 %.

Autre technique bien connue, l’utilisation de cases précochées perdure à hauteur de 56 % malgré l’interdiction européenne. Elle est clairement considérée comme une incitation et non comme un respect de clarté et de liberté dans les choix proposés. Avec les gains indéniables de la publicité ciblée, les sites internet usent de toutes les stratégies pour rendre compliquée la possibilité de refuser la collecte de données. Les dérives liées à leur partage sans consentement n’ont d’égale que l’importance de ces informations personnelles pour les entreprises. Tout comme les débordements des applications de rencontre, une étude norvégienne a mis en relief les méthodes intrusives de Google et Facebook suite à l’application du RGPD en 2018. Ainsi, les géants américains collectent des montagnes de renseignements sur leurs utilisateurs au travers de paramétrages par défaut. Un petit conseil… pensez à jeter un coup d’œil à vos options de confidentialité !

RGPD ou non, la majorité des entreprises ne sont pas rentrées dans le rang. Même si les apparences sont trompeuses à grands coups de pop-up, il n’est pas toujours si facile d’imposer ses propres choix. La bonne application du RGPD pour le respect de la collecte de donnée risque d’être une longue bataille. Il faut néanmoins noter que l’étau se resserre de plus en plus pour les récalcitrants et les premières sanctions d’importance commencent à faire du bruit. Affaire à suivre…