Le paradoxe de la vie privée et comment l'Europe s'y prend pour protéger les données.

Il nous a fallu actualiser le régime réglementaire concernant la protection des données afin de suivre la cadence des défis technologiques", a affirmé le représentant de la Commission européenne, Paulo Silva, lors de son discours au Forum des droits numériques 2016 sur les changements induits par la Réglementation générale de la protection des données (RGPD).

Une évolution, pas une révolution

Selon Paula Silva, la nouvelle réglementation représente une évolution et non une révolution en matière de protection des données, puisque nous connaissons déjà la plupart des règles.

"Qu'est-ce qui change? Nous nous dirigeons vers une plus grande responsabilité de la part de ceux qui traitent les données. Il s'agit d'un nouveau modèle de gestion de la protection des données qui vise à laisser les utilisateurs à contrôler eux-mêmes leurs données".

La réglementation facilite le contrôle des données. Les entreprises ou institutions qui traitent les données sont désormais tenus de fournir plus d'informations globales sur les finalités de leur utilisation de ces données, tandis que le consentement pour qu'elles soient traitées devra être donné de manière claire.

La nouvelle réglementation met également sur la table la protection des données par nature. Différents produits et services devront également incorporés des mesures de protection des données (par exemple, si votre réfrigérateur est connecté à internet, il sera nécessaire de s'assurer qu'il ne fonctionne pas sans le bon mot de passe).

Ces nouvelles règles de protection des données s'appliqueront à la fois aux institutions et entreprises en UE et hors-UE, qui offrent des services aux citoyens européens.

Un comportement en ligne analysé par les entreprises

Selon l'assistant du Superviseur de la protection des données européenne, Christian D'Cunha, qui s'est exprimé sur les avantages compétitifs offerts par la protection de la vie privée, le respect de la vie privée est nécessaire pour que l'on puisse jouir d'autres choses: l'auto-expression, la création, l'innovation et plus récemment, le libre choix du contenu auquel on veut accéder en ligne.

"Les trois quarts des gens trouvent désormais leurs informations sur les réseaux sociaux, mais vos expériences sont déterminées par des algorithmes. Quand je suis allé cherché du réconfort sur Facebook au lendemain du Brexit, on aurait cru que 95% des gens avaient voté pour le maintien du Royaume-Uni en UE, mais ce n'était évidemment pas vrai".

D'Cunha explique que 91% des résidents américains ont le sentiment de ne plus pouvoir contrôlé la manière dont les entreprises utilisent leurs données.

"L'an passé, nous avons visité la Sillicon Valley, nous avons eu des réunions avec des entreprises et avons eu l'impression que le modèle commercial dominant est aujourd'hui l'analyse du comportement en ligne". Selon D'Cunha, les réunions ont révélé qu'il était très difficile d'obtenir le soutien de la part d'investisseurs sans montrer comment l'entreprise peut rentabiliser les données. Les entreprises souhaitant échapper à ce modèle n'attireront tout simplement pas les investisseurs.

Les entreprises lituaniennes s'adaptent

Cette tendance a aussi été observée par Mindaugas Kiškis, qui a présenté une étude sur la préparation des entreprises lituaniennes en vue d'appliquer la réglementation. Selon l'expert, les chercheurs ont été agréablement surpris par le progressisme des entreprises lituaniennes et leur volonté de s'adapter aux nouvelles technologies. Si cela procure un avantage concurrentiel (surtout pour les startups), cela génère également des risques en termes de protection des données.

Selon Mindaugas Kiškis, quand il s'agit de questions liées à la protection des données, les entreprises se reposent sur des ressources en interne sans s'en remettre à des professionnels, et ce alors que les sociétés ont très peu de connaissances sur la réglementation en vigueur dans ce domaine précis.

Le chercheur critique l'approche bureaucratique et formaliste de la protection des données et les pratiques inégales de l'UE en matière de protection de la vie privée.

"La Commission européenne nous dit qu'elle protège notre vie privée, et c'est cette même question, qui, je dirais, décide de manière plutôt non démocratique de rassembler les données biométriques de tous les citoyens".

L'expert se demande si cela ne revient pas à appliquer un système de deux poids, deux mesure. "Est-ce qu'on nous a demandé nous voulions de ça? Nous a-t-on demandé notre permission pour donner à l'État l'accès à toutes nos données biométriques? Tel que je vois les choses, ça ne contribue vraiment pas à la perception générale de la vie privée".

"Une sécurité renforcée ne vaut pas grand chose"

Selon Mindaugas Kiškis, le public n'est pas suffisamment instruit en matière de vie privée et de protection des données. En outre, il existe un besoin de recherche qualitative afin d'analyser l'opinion publique sur ces questions. Tandis que beaucoup affirment qu'ils accordent beaucoup d'importance à la vie privée, ils ne savent pas quoi dire quand on approfondi. En l'absence de recherche qualitative, il est difficile de dire si ce type de réglementation correspond vraiment à ce dont les gens ont besoin.

"On se focalise sur la sécurité, le cryptage des données et les pare-feux. Nous avons besoin de comprendre que la sécurité renforcée ne vaut pas grand chose en réalité. Si nous observons bien les menaces en termes de sécurité, les deux tiers d'entre elles sont "légères" et sont causées par les gens. Le cryptage n'a pas beaucoup de sens quand votre mot de passe est "Lituanie1".

Afin d'améliorer la vie privée et la protection des données personnelles, Kiškis recommande de renforcer le rôle des autorités de contrôle afin qu'elles soient en mesure de conseiller les entreprises sur la protection des données, et de renforcer la sensibilisation sur les changements et les nouvelles dispositions dans ce domaine.