25 mai 2018

Protection des données et guerre commerciale

La GDPR est là.

Si vous résidez quelque part sur le continent européen - voire même si vous résidez ailleurs - vous ne pouvez pas ne pas être au courant. Les courriers électroniques de notification de changement des conditions générales inondent toutes les boîtes aux lettres. Avec tambours et trompettes, la GDPR s'impose à tous et toutes.

règlementation,ue,justiceQu'est-ce que la GDPR? Le Règlement Général sur la protection des données, ou RGPD en français. Outre sa page Wikipédia, une vaste littérature a été rédigée sur le sujet, souvent dans l'urgence. Même le résumé a été écrit mille fois, mais mentionnons-le encore pour mémoire: la GDPR vise à changer la façon dont les entreprises gèrent les données de leurs clients, employés et utilisateurs. Le texte, long d'une centaine de pages, vise à instaurer des "droits" comme le droit à l'effacement, le droit au transfert de données, le droit au consentement explicite, le droit à une notification en cas de fuite de données et bien d'autres choses encore.

On peut discuter à l'infini de l'intérêt de la GDPR. Outre les bons sentiments qui ont, espérons-le, amené à son existence, aura-t-elle des conséquences positives? L'harmonisation des réglementations nationales est-elle une bonne idée? L'agitation qui saisit les entreprises en ce moment débouchera-t-elle sur une amélioration réelle du traitement des données utilisateurs, ou tout ceci ne sera qu'un énième coup d'épée dans l'eau?

La date du 25 mai 2018 est à marquer d'une pierre blanche, puisque c'est la date à partir de laquelle la GDPR entre en force. En coulisses, les entreprises ont eu du temps pour se préparer. Outre les tractations législatives, le texte fut publié le 4 mai 2016 dans le Journal officiel de l'Union européenne. Il entra en vigueur le vingtième jour suivant celui de sa publication, amenant un délai de deux ans pour l'alignement des entreprises face à la nouvelle norme (comprenant la transposition du règlement dans les législations nationales de chaque pays membre). Et nous y sommes finalement.

Le côté obscur de la GDPR

Comme souvent dans le domaine privé face aux changements législatifs, certaines sociétés ont été longues à la détente. Mais aujourd'hui, toutes sont prêtes autant qu'elles puissent l'être ; il en va de leur survie économique. La GDPR ne vient pas qu'avec une longue liste de "droits" à l'intention des consommateurs, mais aussi avec une énorme massue.

Une organisation reconnue coupable de manquements à la GDPR pourrait être ainsi amendée à hauteur de 4% de son chiffre d'affaire annuel mondial, ou 20 millions d'euros, selon la valeur la plus grande. Ce sont des montants absolument gigantesques.

Ces amendes - 20 millions d'euros minimum, je rappelle - peuvent instantanément tuer toute PME sur le continent pour un "crime" dont la létalité mérite franchement d'être discutée. Il est probablement moins pénalisant financièrement d'empoisonner ses clients. L'amende en pourcentage du chiffre d'affaire est quant à elle destinée aux grands groupes (les GAFAM comme on les appelle parfois pour Google, Apple, Facebook, Amazon et Microsoft). S'ils ont la puissance organisationnelle pour faire face à la GDPR, nul doute que le législateur européen a conçu son texte en se léchant les babines à l'idée "d'amender" un gros poisson et d'en retirer une véritable manne (la question de l'entité qui encaissera le montant de l'amende n'est d'ailleurs pas clairement définie dans le texte, ce qui augurera de jolies empoignades lorsqu'il y aura un magot à partager).

Pour faire simple, les Européens ont reproduit à travers l'Union Européenne exactement les mauvaises pratiques qu'ils reprochent continuellement aux Américains: des amendes aux montants confiscatoires associés à l'incertitude du droit. La GDPR n'offre en effet aucune garantie à travers le temps. Il suffit qu'une fuite de donnée survienne, et elles semblent inévitables sur une période suffisamment longue, pour que les autorités de surveillance décrètent que le règlement a été enfreint.

Même si toutes les mesures raisonnables sont prises, il sera toujours possible aux autorités de plaider que les choses n'ont pas été faites assez vite, ou assez bien, ou assez complètement, ou que la fuite de données trahit une carence coupable en amont. Les prétextes disponibles pour écarter toute défense sont virtuellement infinis, dégageant le chemin pour les amendes confiscatoires.

Impérialisme européen?

Les Européens ont poussé le vice (et l'hypocrisie) jusqu'à copier la fameuse extraterritorialité qu'ils reprochent aux Américains, comme les menaces de sanctions économiques américaines dans le dossier iranien. La GDPR s'impose à toute société faisant commerce en Union Européenne, ou stockant les données de citoyens membres de l'Union. La Suisse est donc naturellement touchée:

Il suffit que des marchandises ou services aient pour destinataire une personne dans l'UE. Les nouvelles règles seront donc directement applicables à de nombreuses entreprises suisses, y compris celles qui n'ont ni siège ni filiale dans un pays de l'UE.

Selon la faîtière des entreprises economiesuisse, les exportateurs suisses, les entreprises de vente par correspondance et les exploitants de plate-formes de commande en ligne sont notamment touchés. Toutes les firmes qui analysent le comportement des visiteurs d'un site ou d'une application de téléphone intelligent sont également concernées.

Même l'envoi d'une lettre d'informations entraîne souvent le passage par un prestataire à l'intérieur de l'UE, souligne economiesuisse. Un boulanger de village ou l'exploitant d'une petite boutique en ligne ou d'autres services sur la Toile peuvent ainsi déjà entrer dans la zone d'application du RGPD.


De par sa nature même, la GDPR tourne toute marge d'interprétation possible en sa faveur. On se doute bien que la Suisse aurait de toute façon adopté la GDPR avec l'enthousiasme servile dont elle est coutumière, mais la GDPR vise bien au-delà. Des sociétés asiatiques, africaines ou américaines, qui n'ont parfois pas le moindre lien commercial direct avec l'Union Européenne, se conforment à la règlementation juste au cas où. Il ne s'agit aucunement d'une démarche d'adhésion mais simplement de la peur, et de la contrainte distillée par des fournisseurs ou des clients qui sont plus directement soumis à la GDPR.

Jamais l'impérialisme législatif n'a mieux porté son nom.

Singularité ou galop d'essai?

La GDPR est lancée ce 25 mai. L'oiseau de proie prend son envol. Nul ne sait encore ce qu'il ramènera dans ses serres. Mais si la chasse est bonne, on peut s'attendre à ce que la GDPR soit suivie de nombreux avatars bâtis sur le même modèle: des règlementations communautaires forçant sur un prétexte ou un autre à adapter le comportement des entreprises dans le monde entier, avec à la clef des pénalités financières ahurissantes.

Je ne peux m'empêcher de penser que ceci n'augure rien de bon. Les risques d'escalade législatifs sont réels avec d'autres pays (comme la Chine) ou groupes de pays, et le risque de fermeture pure et simple de certains liens économiques l'est tout autant. Ni l'un ni l'autre ne bénéficieront au consommateur, et pourraient déboucher sur de véritables conflits - qu'on espère seulement commerciaux.

Commentaires

Vous savez, le camarade Macron nous prépare une loi orwellienne sur les prétendues "fake news" (celles sélectionnées par les la bien-pensance et par les juges rouges), alors ...

Écrit par : Franck Boizard | 26 mai 2018

Je ne suis pas certain d’avoir tout compris des tenants et aboutissants du GDPR.
Aussi, excusez celles de mes questions, ci-dessous, qui pourraient être un peu naïves.

La pub ciblée qui, grâce aux cookies, fleurit sur les sites que je consulte, va-t-elle disparaître par la grâce du GDPR ? Les nombreux emails, toujours de pub, qui arrivent dans ma boîte aux lettres, vont-ils être bloqués, ou simplement mis plus systématiquement dans les "indésirables" ?
Mon adresse mail que je rentre pour faire un achat sur un site de vente en ligne sera-t-elle encore vendue à d'autres, de sorte qu'une simple transaction déclenche, avec retard, une avalanche de propositions parfois surprenantes ?
Par exemple, l'achat d'un lecteur de DVD qui va me valoir des propositions de sex-toys par des boutiques de « plaisir » ?
En dehors de cela, je ne vois pas ce que peut apporter ce GDPR aux particuliers comme moi.
Et peut-être même ne va-t-il rien changer aux nuisances que je viens d'énumérer.
Le bénéfice sera peut-être plus conséquent pour ceux qui auraient des activités qui contreviendraient à la loi, ou des agissements que réprouverait la morale.
Mais alors ce GDPR ne viendrait-il pas en contradiction avec la tendance générale à contrer les agissements et les connexions illicites sur le web, par exemple dans la lutte contre la radicalisation et le terrorisme islamique ?

Écrit par : AP34 | 26 mai 2018

Monsieur,

fidèle lecteur et habituellement en accord avec les arguments libéraux, je suis surpris de ce billet.
Visiblement c'est un sujet complexe dont vous n'avez qu'effleuré les tenants et aboutissants.
Dommage... Car c'est un sujet très important, plus que vous ne semblez l'avoir compris.
Votre temps est précieux mais néanmoins vous devriez en consacrer plus à ce sujet

Personne ne semble certain pour le moment de ce que cette GDPR va accoucher, mais intéressez vous à la fondation NOYBD qui vient de porter plainte contre Facebook et Google suite à l'entrée en force de cette loi.

http://www.theregister.co.uk/2018/05/25/schrems_is_back_facebook_google_get_served_gdpr_complaint/

Un bon début d'étude...

Écrit par : Greg | 27 mai 2018

@Greg: le format du blog ne permet de toute façon pas d'aborder les sujets aussi en profondeur qu'ils le mériteraient parfois. Mais si vous pensez que la GDPR va améliorer le quotidien de l'internaute lambda, dont vous faites partie, apprêtez-vous à déchanter.

Si vous êtes un lecteur de longue date de ce blog, en revanche, je regrette de réaliser que vous n'arriviez pas prendre le recul suffisant pour percevoir les conséquences délétères de la GDPR.

Conséquences (inattendue et indésirables) qui commencent à déployer leurs effets. Je m'en remets à d'autres témoins pour en rendre compte.

Écrit par : Stéphane Montabert | 27 mai 2018

L'extension de navigateur Ghostery, dont l'objet est la protection de la vie privée, a commencé a appliquer cette GDPR en envoyant des courriels aux utilisateurs inscrits (l'inscription est optionnelle quand on utilise l'extension); mais elle n'a pas voulu passer par un prestataire externe (pour respecter la GDPR sans doute) et elle a envoyé des courriels par lot en faisant l'erreur d'exposer les addresses des utilisateurs de chaque lot à tous ceux du lot.

Elle a donc violé la GDPR en tentant de respecter la GDPR et a donc fait une déclaration de violation de la GDPR conformément à la GDPR ...

https://www.ghostery.com/blog/ghostery-news/ghostery-email-incident-update/

Mais sans renvoyer un courriel expliquant le problèm aux utilisateurs?

https://gizmodo.com/ad-blocker-ghostery-celebrates-gdpr-day-by-revealing-hu-1826338313

Par ailleurs, la transparence rendue obligatoire par la GDPR sur les divulgations d'informations privées n'est pas complète, on a droit à des communiqués lénifiants comme toujours. Il n'est pas précisé sur le site de l'éditeur de Ghostery que les lots sont de 500 donc que chaque utilisateur inscrit a reçu 499 autres addresses :

https://linustechtips.com/main/topic/930740-ghostery-gdpr-email/

... et pourra être spammé potentiellement par n'importe lequel des 499 autres, il suffit que l'un doit piraté avec un logiciel espion qui exfiltre toutes les addresses courriel contenues dans la boite.

C'est un début impressionnant.

Écrit par : simple-touriste | 28 mai 2018

Ah ben tiens, comme le dit notre hôte : "Ce sont des montants absolument gigantesques".
Du coup certains on déjà décidé de ne plus être accessible depuis l'UE, tout simplement:
- Los Angeles Time, le Baltimore Sun ou le Chicago Tribune sont maintenant inaccessibles (C.F le blog d'H16)
Des plug-in pour twitter sur smartphones le sont également.
D'autres vont suivre c'est évident!

"De plus et en pratique, ce RGPD s’applique à tous sauf à l’État!" Ah ouf on est sauvé !! Merci maman !

Écrit par : Otto_West | 28 mai 2018

A peu près partout dans le monde, le vol est illégal.
Les libertaires sont les premiers à défendre la propriété privée, n'est-ce pas ?

Pourquoi le vol sans consentement de données privées serait-il permis ? Au nom de quelle liberté de commerce ?

Merci de m'éclairer à ce sujet...

Écrit par : Greg | 29 mai 2018

Je regrette que vous n'arriviez pas à prendre le recul suffisant pour percevoir les conséquences positives de la GDPR.

Je vous retourne votre phrase et ajoute que si vous êtes pour la surveillance de masse totale de tous par tous, vous n'arriverez pas à prendre le recul suffisant.

Je croyais, naïvement, sans recul, que certains droits fondamentaux étaient admis par les libertaires :
la propriété privée
la liberté de parole et d'opinion
la vie privée

Mais il semble que les pratiques commerciales soient tout compte fait plus importantes à vos yeux.

C'est un choix. Je vous le laisse. Et j'applaudis la GDPR.

Écrit par : Greg | 29 mai 2018

Le GDPR ne semble concerner que les données transmises par voie numérique de l'UE vers la Suisse : le courrier postal ne devrait pas entrer dans ce cadre-là. Et rien n'empêche ensuite la création d'une banque de données locale de clients issus de l'UE. On régresse, mais ça fait avancer les choses...

Écrit par : rabbit | 02 juin 2018

Les commentaires sont fermés.