Notre guide pour tout savoir sur le RGPD

Depuis l’invention du mail, on a toujours eu des spams. Mais à partir de mai 2018, on a commencé à voir des mails étranges. Des courriers, provenant de tous les services qu’on utilise, nous demandaient d’accepter leur nouvelle politique de vie privée. Du 1er mai au 24 mai 2018, on a eu des dizaines de mails par jour.

Certains ne comprenaient pas cette avalanche de demandes. Mais pour ceux qui suivent l’actualité de la vie privée, c’était logique et même drôle d’une certaine façon.

Le 25 mai 2018, l’Union européenne a mis en place le RGPD pour règlement européen données personnelles. C’est une réforme majeure qui encadre la totalité des données personnes collectées par les sites web, les applications et les appareils.

Étant donné que pendant des années, les services, notamment les géants du web, ont collecté massivement les données, il est normal de voir une certaine panique.

L’internaute lambda pourrait croire que le RGPD ne le concerne pas. Mais en fait, que vous soyez un citoyen européen ou non, cette réforme concerne tout le monde qui est présent sur le web.

Mais un peu d’historique est nécessaire pour comprendre le RGPD et la pagaille qui s’en est suivi.

Avant le RGPD

L’Union européenne a toujours eu des relations compliquées avec les USA sur le plan de la vie privée. Les entreprises américaines sont florissantes à cause de la collecte et de la vente de données personnelles.

Historiquement, l’Europe a toujours privilégié la protection de la vie privée. Dès 1995, l’Europe avait proposé une législation appelée Directive 95/46/CE.

Et cette directive est inspiré par l’article 8 de la Convention des Droits de l’homme en Europe. Cet article nous dit que Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

A la base, la directive 97/46/CE était intéressante, mais malheureusement, personne ne l’a respecté. Le problème est que c’était une directive et non une loi en bonne et due forme.

La directive offre la liberté aux Etats européens de fixer leur politique sur les données personnelles. Certains pays sont devenus très stricts comme la France tandis que l’Irlande était plus flexible.

Avec 5 ou 10 Etats membres, on pouvait encore s’y retrouver. Mais avec plus de 28 Etats membres en 2018, la législation est devenue une véritable jungle.

Une jungle qui permettait aux géants du web de passer entre les mailles du filet. Ils stockaient les données dans un pays et les traitaient dans un autre pays.

L’Union européenne a tenté de trouver des solutions à l’amiable. Le meilleur exemple est ce qu’on appelle directive Cookie, votée en 2009.

Shot of an unidentifiable businessman using his laptop in his office

Sur bien des points, cette législation était un embryon du RGPD. Il demandait aux sites d’obtenir le consentement des utilisateurs pour le stockage d’un Cookie.

Un cookie permet à un site de mieux vous connaitre. Mais là encore, c’était une directive. Et au lieu de la respecter à la lettre, les services ont imposé des bannières pour que l’utilisateur fournisse un consentement unilatéral. Le respect de la vie privée est tombé dans les oubliettes.

L’Europe montre les dents avec le RGPD

Le règlement européen données personnelles est une réponse de l’Europe. Une réponse aux géants du web américains qui trouvaient constamment des solutions pour contourner la loi.

En 2016, le RGPD était voté et ratifié par les différents parlements. Le RGPD est une loi dans le cadre des traités européens. Cela signifie qu’elle couvre tous les Etats membres qui doivent respecter ses principes. L’intention est très intéressante, car c’est une loi pour tous. Pas de lois différentes à droite et à gauche.

Qui doit respecter le RGPD ?

En bref, tout le monde. C’est à la fois une bonne et une mauvaise nouvelle. Du moment que votre activité sur le web s’applique sur le territoire européen, alors le RGPD s’applique pleinement.

De plus, on lit souvent que le RGPD est souvent destiné aux grandes entreprises. On peut penser que c’est un levier pour faire plier les GAFAMs, mais c’est une loi pour tous.

Que vous gériez un site avec des millions de personnes ou un petit site web personnel, vous devez respecter le RGPD.

D’un point de vue juridique, cela pose un souci. Car cela implique que l’Europe impose sa loi dans le monde entier. D’un autre côté, on est obligé de respecter les lois quand on va dans un pays.

Les données personnelles sont un enjeu crucial. Cela pose un risque sur la vie numérique, la démocratie et la surveillance de masse.

Les principales directives du RGPD

On pourrait penser que le RGPD est un énorme pavé juridique que personne ne comprend. Mais en fait, il se base sur des principes simples que tout le monde peut respecter.

La première directive est une harmonie dans le cadre européen. Tous les Etats membres doivent le respecter sans aucune exception.

La seconde directive est le pilier, mais personne ne le comprend clairement. Il s’agit de la vie privée par défaut qu’on connait comme le Privacy by Design.

La vie privée est la règle absolue

Le Privacy by Design implique que la vie privée est une règle absolue et qu’il n’y a aucune exception. On a parlé de ces dizaines de mails qu’on a reçu pour demander notre consentement.

Et ils prouvent que toutes ces entreprises n’ont rien compris. La vie privée par défaut implique qu’on doit créer son site web ou son application en ne collectant aucune donnée à la base.

Le consentement n’est valide que quand c’est nécessaire. Toutefois, on parle ici de données personnelles. C’est-à-dire une donnée qui peut vous identifier sans ambiguïté.

Si on veut respecter le règlement européen données personnelles, alors un développeur, un webmestre ou un design ne doit rien collecter à la base.

Et s’il doit le faire, alors cela doit être utile pour l’internaute. Par exemple, une demande de consentement pour imposer la publicité à un internaute ne respecte pas le RGPD.

Car l’utilisateur ne gagne rien et son intérêt s’en fiche de la publicité. En revanche, une demande pour une adresse de domicile pour un site de e-commerce est valide.

Sans cette adresse, l’internaute ne peut pas recevoir son produit. Donc, cela lui est nécessaire et respecte le RGPD. Quand vous collectez une donnée personnelle, il faut se demander si ça apporte quelque chose à l’internet.

L’expression fourre-tout « Pour améliorer l’expérience d’utilisateur » n’est pas valide. Et le concept de donnée personnelle est large et il inclut de nombreuses informations anodines.

La définition d’une donnée personnelle

Le RGPD est spécifiquement conçu pour encadrer le traitement des données personnelles. Parmi ces dernières, on peut citer le nom, l’adresse de domicile, des informations bancaires, le numéro de téléphone, etc.

L’adresse IP est la principale donnée personnelle sur le web. Avec une adresse IP, vous pouvez déterminer la localisation d’un internaute.

Mais vous pouvez aussi connaitre son réseau de connexion, l’entreprise, l’école, etc. Et si vous associez l’adresse IP à d’autres données, alors ce n’est plus de la collecte, mais une véritable surveillance ciblée.

Il faut noter que la technologie n’a pas attendu le RGPD pour protéger ses utilisateurs. Des outils comme le VPN tel que ceux de Hidemyass, VyprVPN, NordVPN permettent de masquer l’adresse IP.

Mais ce n’est pas suffisant au regard du RGPD, car on ne doit pas collecter cette adresse IP même si elle est masquée. Cependant, c’est déjà un bon point de départ. Ensuite, nous avons le consentement pour chaque information personnelle.

Le consentement pour chaque traitement de données

Vous avez construit votre site web, vous minimisez votre collecte de donnée et maintenant, on passe au consentement. Là encore, les demandes incessantes avant le RGPD n’ont pas compris le concept.

Le consentement explique, exigé par le RGPD, implique que vous devez obtenir un consentement explicite pour chaque information. Vous pouvez les lister sur une seule page de politique de vie privée.

Mais cette dernière doit indiquer tout ce que vous collecter et pourquoi vous le faites. Le RGPD est assez lisible et donc, la politique de vie privée doit l’être aussi.

Si vous voyez qu’une politique de vie privée est illisible, alors vous pouvez demander une version simplifiée au site. Avec le RGPD, tous les services doivent avoir un responsable pour la protection des données.

Cela peut être le webmestre ou le blogueur, mais l’internaute doit avoir un contact qui peut lui répondre sur ce qu’on collecte sur lui.

Imaginez que vous collectiez le mail et l’adresse IP de l’utilisateur. De ce fait, votre politique de vie privée doit lister les raisons à la fois pour le mail et l’adresse IP. Notons que cette collecte doit se faire au bénéfice de l’internaute.

Si vous lui dites que c’est pour lui envoyer des offres promotionnelles, alors vous ne respectez pas le RGPD. Quand vous visitez une page, regardez ses différents aspects pour voir si elle respecte votre privée.

Ainsi, l’espace commentaire, où vous devez fournir votre mail ou votre pseudo, doit avoir un avertissement du RGPD. Cette collecte est valide, car c’est pour commenter sur le site. Mais il y a des suivis cachés sur un site.

Les boutons que vous utilisez pour partager l’article sur Twitter ou Facebook doivent être régis par le RGPD. Un bouton Facebook peut informer Facebook que vous avez visité tel site même si vous n’êtes pas inscrit sur Facebook.

Le RGPD protège de tout sauf de la surveillance gouvernementale

De nombreuses personnes ont crié victoire après la mise en application du RGPD. C’est une victoire de consolation. Car les pires surveillances à notre époque sont totalement exemptes du RGPD.

En effet, on a mentionné que le RGPD s’inspire d’une directive de 1995. Et cette directive ne concernait pas la collecte des données à des fins judiciaires.

Aujourd’hui, la plupart des lois liberticides sont votées au nom de la lutte contre le terrorisme. De ce fait, il est risible que le RGPD soit draconien à l’égard des sites, mais ne sanctionne absolument pas les pires violeurs de notre vie privée.

La NSA, le GCHQ, la DGSE et toutes les agences d’espionnage peuvent collecter des tonnes de données sans être inquiétés. C’est une définition étrange de la protection absolue des données personnelles.

Des données anonymes ou pseudonymes ?

Des firmes juridiques ont publié des articles, prétendant qu’il suffit de pseudonymiser les données pour respecter le RGPD. Il y a une différence subtile entre l’anonymat et le pseudonymat, mais elle est de taille.

Une donnée anonyme est irréversible. Si on anonymise votre adresse IP, alors il est impossible d’inverser le processus par la suite.

Le pseudonymat permet de protéger une donnée personne, mais on peut inverser cette protection. Si une adresse mail est pseudonymisée, alors on pourra la connaitre en appliquant un traitement supplémentaire.

Cela se produit souvent dans la collecte combinée. Si vous n’utilisez pas votre vrai nom dans votre adresse mail, alors c’est un pseudonymat relatif. Mais si on associe cette adresse à votre compte Facebook, alors on peut vous identifier.

De ce fait, la pseudonymisation ne respecte pas du tout le RGPD. Et ce n’est pas étonnant que des firmes juridiques la mettent en avant pour contourner la loi. Vous ne devez pas compter sur la bonne volonté des services pour vous offrir l’anonymat.

À la place, devenez anonyme par vos propres moyens avec un VPN tel que ceux de Hidemyass, VyprVPN, NordVPN. Cela coute quelques dollars par mois et le VPN propose un vrai anonymat grâce au chiffrement de votre connexion.

Les protections du RGPD pour les internautes

En tant qu’internaute, vous êtes au centre des protections offertes par le RGPD. On a mentionné le consentement explicite. Ce consentement s’accompagne aussi de l’accès et de la portabilité des données.

Vos données vous appartiennent

L’accès aux données implique que si un service collecte de données, vous pouvez y avoir accès à tout moment. Sur votre demande, le service doit vous offrir une copie de tout ce qu’il a collecté sur vous.

Il ne doit rien exiger de votre part, car c’est un droit fondamental fourni par le RGPD. Il doit faciliter le processus au maximum. Une simple demande par mail doit déclencher le processus.

En plus de l’accès, vous avez un droit de modification par défaut. Par exemple, vous publiez sur un forum et vous voulez modifier certaines de vos informations. Le forum ne peut pas vous interdire cette modification.

Cela inclut votre identité, mais également tous les messages que vous avez postés. Même avant le RGPD, tous les sites web proposaient cette option. Mais si on vous le refuse, alors vous pourrez invoquer ce droit sans aucune contrepartie.

La portabilité des données

L’accès et la modification sont une chose, mais la portabilité des données est aussi importante. On néglige son importance, mais elle implique une vraie liberté pour l’utilisateur.

Cependant, il serait étonnant que les géants du web le respectent à la lettre. Une fois que vous avez téléchargé vos données sur un service, celles-ci doivent être portables. Cela signifie qu’elles doivent être dans un format ouvert et compatible sur toutes les plateformes.

Cela peut annoncer une révolution. Car cette portabilité permet de prendre la totalité de ses données sur Facebook et de les exporter vers un site concurrent.

Étant donné que la force des GAFAMS se base sur vos données personnelles qu’ils ont verrouillées sur leurs serveurs, autant dire que c’est un droit qui fait grimacer.

Cette portabilité est cruciale pour des réseaux professionnels comme Linkedin. Vous avez construit votre profil pendant des années, mais le service refuse que vous l’exportiez ailleurs. La portabilité du RGPD implique que vous pourrez en faire la demande.

Être averti du piratage de vos données personnelles

Il ne se passe pas une semaine sans qu’on entende d’un piratage qui concerne des millions d’utilisateurs. Une disposition du règlement européen données personnelles indique que le service doit notifier l’utilisation dans un délai de 3 jours.

Il doit inclure le type de piratage, les données compromises et ce qu’il compte pour résoudre le problème. On pourrait le surnommer comme l’amendement Equifax.

En 2017, Equifax, une entreprise de renseignement de crédit, s’est fait piraté et les données personnelles de 143 millions d’Américains se sont retrouvées sur le web.

Pour vous donner une idée, cela inclut la totalité des Américains adultes. Le pire est qu’Equifax a attendu 2 mois avant de l’annoncer. Avec cette exigence de notification, le RGPD s’assure de réduire les risques du piratage massif.

Les amendes prévues par le RGPD

On doit comprendre que ce n’est pas le souci de la vie privée qui a incité les entreprises à se conformer au RGPD. Mais c’est surtout le coup au portefeuille.

En cas de non-respect de cette loi, on peut écoper de la bagatelle de 10 millions d’euros ou encore de 2 % du chiffre d’affaires. Et si on ne respecte pas toujours la loi après la première amende, la facture passe à 20 millions d’euros ou 4 % du chiffre d’affaires.

Cette histoire d’amende a provoqué une véritable panique même s’il faut relativiser. Ce n’est pas parce que vous n’avez pas respecté le règlement européen données personnelles sur votre blog de téléphone que vous devrez payer 10 millions d’euros.

Ce sont des amendes maximales dans le pire des cas. Au début, l’Europe ou un Etat membre vous notifiera avec un courriel. Et cette demande fera suite à la réclamation d’un internaute.

Après ce courriel, vous aurez un certain délai pour être conforme au RGPD. L’amende n’interviendra qu’en dernier recours. Il est clair que ces chiffres colossaux sont destinés aux GAFAMs.

Et pour cause, dès le 25 mai 2018, plusieurs organisations ont porté plainte contre Google et Facebook pour non-respect de cette loi.

The concept of an encrypted Internet connection.

Le blocage des sites à cause du RGPD

Comme l’Europe n’a pas bien communiqué sur le RGPD, on a eu des situations à la limite du ridicule. Ainsi, des sites américains ont décidé de bloquer tous les internautes européens.

C’est comme faire une opération chirurgicale avec une hache. Jusqu’à aujourd’hui, des sites comme Instapaper ou le Chicago sont bloqués pour les citoyens européens. Mais c’est juste un géoblocage et le VPN comme Hidemyass, VyprVPN, NordVPN peut facilement le casser.

Ce comportement est assez intéressant. Il montre que plutôt que de respecter le GDPR, certains sont prêts à bannir 500 millions de personnes.

Ce comportement hilarant s’explique par le fait que les entreprises américaines ont compris tardivement que le RGPD n’était pas une énième loi qu’on allait pouvoir contourner avec une bannière. La loi laisse peu d’échappatoires et le blocage est tout ce qu’ils ont trouvé.

Un web plus propre grâce au RGPD

Si vous devez utiliser un VPN pour accéder à un site bloqué à cause du RGPD. Sachez que vous pouvez aussi utiliser le VPN comme Hidemyass, VyprVPN, NordVPN pour avoir un web plus propre.

D’autres sites ont fait exactement l’opposé. Plutôt que de bloquer, ils ont crée une version du site pour les internautes européens. Aucune publicité, pas de tracking, pas de boutons de partage, un site minimaliste avec du contenu et des images.

Ces sites sont 10 fois plus rapides que la version standard. Et on se rend compte que la collecte des données personnelles pèse lourd dans tous les sens du terme.

Ainsi, prenez un VPN et sélectionnez un pays européen. Ensuite, accédez à des sites comme USA Today ou encore The Verge. Vous verrez que les pages se chargent à la vitesse de l’éclair.

Comme quoi, le RGPD permet aussi de se débarrasser de toutes saletés en arrière-plan sur un site web. De ce fait, un VPN vous servira quoiqu’il arrive.

Soit, vous pourrez contourner le blocage géographique, soit vous serez débarrassé définitivement de la publicité et du tracking.

Est-ce que le RGPD est une bonne chose ?

Sur bien des points, le RGPD est une bonne chose. On peut penser qu’à force, cela permettra de changer la mentalité des géants du web.

Pour la première fois depuis la création du web, l’internaute est le seul maitre de ses données personnelles. Il peut y accéder, les télécharger et les exporter où il veut. Mais il y a aussi des couacs.

Les premières victimes seront les entreprises européennes. Ces dernières ont déjà dû mal à concurrencer les sociétés américaines. Avec le cout supplémentaire pour être conforme au RGPD, ces entreprises vont encore être pénalisées.

On ne peut pas s'empêcher de voir de l’hypocrisie de la part de la Commission européenne. Il suffit d’aller sur la page du RGPD pour voir des trackers. Et pire encore, ces trackers sont fournis par des entreprises américaines. Mais cela va plus loin.

Des personnes ont trouvé des informations personnelles sur une page de la Commission européenne. On avait les adresses de domicile et les vrais noms de plusieurs intervenants dans une conférence.

Quand on en a fait la remarque à la Commission, celle-ci a répondu qu’elle n’était pas obligée de respecter le RGPD pour des motifs juridiques. On jette des pierres sur ses voisins alors que sa maison est en verre.

De plus, le principal problème est que tout le web s’est construit de la surveillance capitalisme. Un concept où la collecte et la vente d’informations personnelles sont une règle. Le RGPD arrive trop tard pour réguler ce secteur.

Rien qu’aux États-Unis, on estime qu’il y a plus de 2 000 Data Broker qui stocke des milliards d’informations sur des millions de personnes. Et ce n’est pas le RGPD qui va les inciter à changer.

Le business modèle de nombreuses entreprises dépend de la collecte des données personnelles. On se retrouve dans une situation où des petits sites respectent totalement le GDPR tandis que les plus gros font comme si de rien n’était.

On peut espérer que le RGPD, s’il met quelques grosses amendes, va faire changer les mentalités.

Google Analytics Alternative