Il y a trois ans maintenant, le 24 mai 2018, le règlement général sur la protection des données (RGPD) entrait en vigueur et obligeait toutes les entreprises à signaler sur leur site qu’elles collectaient les données de leurs utilisateurs. Au-delà de la simple communication, cette règle européenne contraint les sociétés à s’assurer que les informations de leurs clients soient bien sécurisées pour ne pas finir entre les mains d’un hacker.
Pourtant, il ne se passe pas une semaine sans que les médias révèlent une fuite de données sensibles depuis les serveurs d’une multinationale. En avril, les infos de 533 millions de comptes Facebook – dont les numéros de téléphone – ont été diffusées sur un forum de cybercriminels. Le réseau social professionnel LinkedIn et la dernière plateforme audio en vogue, Clubhouse, ont tous les deux fait l’objet d’une récupération frauduleuse des données d’utilisateurs le mois dernier. On ne parle pas ici d’un piratage, mais d’une simple manœuvre informatique – le web scraping – traduisible en français par «grattage d’Internet» – consistant à piocher des renseignements en exploitant une faille dans le code du site.
Aucune sanction n’a été infligée pour l’instant. Doit-on en conclure que le RGPD n’est qu’un texte illusoire et que les GAFA sont incapables de respecter la loi ? Cela dépend des pays.
D’après le site d’information financières Finbold, les pays de l’Union européenne ont condamné au total pour 33,61 millions d’euros d’amendes au premier trimestre 2021. L’Espagne est pour l’instant en tête des sanctions avec 15,7 millions d’euros infligés, l’Allemagne arrive en deuxième position avec des amendes s’élevant à 10,7 millions d’euros. La France fait plutôt figure de bon élève, se classant sixième avec un total de 245 000 euros de sanctions.
En 2020, les régulateurs avaient déjà délivré 306,3 millions d’euros d’amendes, la France étant la championne des amendes avec 8 sanctions pour un montant total de 138,3 millions, suivie par l’Italie (58 millions d’euros) et le Royaume-Uni (44 millions d’euros). En dernière position, se trouvait l’Irlande, alors même que Dublin est la capitale des sièges des géants du web : Google, Facebook, LinkedIn, Microsoft, Airbnb, Dropbox, IBM et bien d’autres y sont installés.
Cela explique aussi le manque de sanctions contre ces mêmes entreprises, le gouvernement irlandais préfèrent encore fermer les yeux que de se priver du potentiel attractif des groupes américains. Ce laxisme n’est pas apprécié par les députés européens qui ont fait part de leur inquiétude dans une résolution votée en mars dernier. Contre Facebook, le gendarme irlandais des données, la DPC (ou Data Protection Commission) s’est réveillée et, après une première enquête, l’institution estime que si le groupe de Palo Alto a enfreint les règles européennes, le réseau social risquerait une amende qui pourrait atteindre jusqu’à 4 % de son chiffre d’affaires mondial (70 milliards d’euros dans le monde en 2020), selon Business Insider.
« Les données, c’est l’or du XXIeme siècle. Leur valeur économique est très importante pour les entreprises qui veulent cibler leur produit, nous décrit Alexandre Lazarègue, avocat spécialisé en droit du numérique. Maintenant que la population est consciente qu’un site est susceptible de récupérer des informations, il faut encore lui expliquer de quelle manière fonctionne l’algorithme qui cible les internautes ».
La prochaine étape du RGPD devrait être la régulation de l’intelligence artificielle. Le 21 avril dernier, Bruxelles a présenté une première ébauche d’un texte visant à mieux encadrer ces technologies, en particulier pour les systèmes de «surveillance généralisée» de la population et ceux «utilisés pour manipuler le comportement, les opinions ou les décisions» des citoyens.
« Imaginez une personne qui habite au bord de la mer et consulte des sites pour des produits susceptible d’intéresser les habitants de stations balnéaires. Le citoyen en question peut demander à ce que l’entreprise efface toutes les données qu’elle a récupéré sur lui. Entre temps, l’algorithme est parvenu à développer un moyen de cibler les personnes habitant près de la mer et va pouvoir le reproduire désormais sur tous les autres utilisateurs qui auront accepté de transmettre leurs données », nous explique Nicolas Gaude, co-fondateur de Prevision.io, une start-up spécialisée dans l’IA.
Encore faut t-il que les entreprises communiquent mieux sur la manière de stopper la récupération d’informations. Dernièrement, le groupe Facebook a tout simplement refusé de communiquer le changement des conditions générales de son appli Whatsapp.
Business Insider
