Notre guide ultime pour comprendre le RGPD (Règlement général sur la protection des données)

Vous faites peut-être partie des personnes qui ne suivent pas forcément l’actualité sur l’anonymat et la protection des données personnelles.

C’est pourquoi vous avez dû être surpris de recevoir des centaines de mails, provenant de vos sites préférés, d’accepter leur nouvelle politique de vie privée et vous avez dû être bombardé de mails du 1er mai jusqu’au 25 mai 2018.

Le 25 mai 2018, le RGPD qui signifie Règlement général sur la protection des données est entré pleinement en vigueur et on a eu des centaines d’articles qui expliquent que c’est la réforme la plus importante sur la protection des données depuis l’invention du web.

Est-ce que c’est vrai et comment ce règlement européen données personnelles impacte votre vie numérique et vos activités si vous travaillez sur le web.

Pourquoi le RGPD est-il si important ?

Un peu d’histoire est nécessaire avant de comprendre le RGDP. Ce dernier est le successeur de ce qu’on appelle la Directive 95/46/CE qui a été mise en place en 1995.

Cette ancienne directive était déjà un état embryonnaire du RGPD dans la mesure où elle limitait la collecte des données personnelles et demandait aussi une forme de consentement. Mais le problème est que c’était une directive alors que le RGPD est une législation.

La principale différence est qu’une directive n’est pas contraignante et que c’est à chaque Etat membre de l’Union européenne de proposer sa propre politique de données personnelles. On avait donc les législations nationales qui pouvaient suivre ou non la directive.

Le RGPD se place au dessus de tous les Etats membres et ensuite, les législations nationales doivent suivre. C’est un cadre harmonisé pour tous les Etats et les citoyens européens.

Une loi pour tous sans aucune distinction ou aucune exception. Le RGPD résout aussi le problème de ce qu’on connait comme la directive Cookie de 2002 qu’on surnomme comme la loi Cookie.

Avant le RGPD, vous aviez souvent des bannières qui vous demandaient d’accepter des Cookies quand vous visitiez un site et cette directive impliquait que l’utilisateur devait donner son consentement avant que vous n’implémentiez des cookies de vos sites sur son navigateur.

Mais comme son nom l’indique, c’était également une directive et personne n’a respecté le droit du consentement et tout le monde a juste affiché une bannière avec un bouton Accepter ou OK et la loi était contournée.

De ce fait, les législateurs ont en eu marre qu’on les prennent pour les dindons de la farce et ils ont combinés toutes les directives de protection de données personnelles en une législation globale à l’échelle européenne qui est contraignante pour tous les acteurs.

C’est-à-dire que vous gériez une grosse entreprise comme Facebook ou un petit site web personnel, alors vous devez respecter le RGPD du moment que vous avez des visiteurs européens.

L’extra-territorialité du RGPD

Le RGPD a fait beaucoup grincer les dents à cause de sa portée extraterritoriale. Cela signifie que même si vous avez un site web hors de l’Union européenne, alors vous devez quand même respecter le Règlement général sur la protection des données du moment que vous avez des visiteurs européens sur votre site.

De nombreux analystes ont estimé que l’Europe impose sa vision de la vie privée au reste du monde. Et même si ce n’est pas entièrement faux, cette législation a créé un séisme sans précédent parmi tous les acteurs pour qu’ils modifient la manière dont ils collectent et traitent les données de leurs utilisateurs.

Les principes fondamentaux du RGPD

Le RGPD est régi par plusieurs principes fondamentaux et chaque principe est corrélé les uns aux autres pour offrir une protection de la vie maximale aux utilisateurs. Et le premier de tous ces principes est le Privacy by Design ou la protection de la vie par défaut.

La protection de la vie privée par défaut (Privacy by Design)

C’est sans doute le principe le plus important, mais également qui est passé à la trappe pour les sites web et des services qui ont voulu respecter le RGPD.

Le Privacy by Design ou protection de la vie privée par défaut implique que vous devez créer votre site, votre application ou votre service en ne collectant aucune donnée personnelle à la base.

Pas de statistiques, pas de publicités, pas de permissions intrusives sur les téléphones. L’objectif n’est pas de demander le consentement comme on veut nous le faire croire, mais que vous proposiez un service avec le minimum de collecte de données personnelles.

Quand la collecte de données personnelles est devenue une norme, alors des outils comme le VPN Hidemyass, NordVPN, VyprVPN ont été les premiers à protéger la vie personnelle des utilisateurs en chiffrant entièrement la connexion.

Ensuite, si vous collectez des données personnelles, alors le RGPD implique que ce soit utile à la personne en question.

Par exemple, vous ne pouvez pas justifier une collecte de données personnelles à des fins publicitaires sous prétexte que c’est la monétisation de votre site, car l’internaute n’a aucun intérêt dans ce processus.

En revanche, si vous avez un site e-commerce et que vous collectez l’adresse de domicile, alors vous pouvez le justifier à l’internaute, car ce sera son adresse de livraison.

Le consentement explicite pour chaque traitement de données

Une fois que vous avez mis en place le RGPD, mais que vous devez quand même collecter des données personnelles, alors vous devez obtenir le consentement explicite de l’internaute.

Dans le cas de l’adresse de domicile, vous devez indiquer que vous allez stocker cette donnée personnelle, mais que vous ne l’utiliserez pas pour envoyer des courriers indésirables à cette personne. Vous l’utiliserez uniquement pour lui envoyer ces produits.

Après la mise en place du RGPD, quand vous visitez un site et qu’il vous demande un consentement, alors on se rend compte que ces sites n’ont rien compris, car ils n’appliquent pas le Privacy by Design, ils ne justifient pas la collecte du point de vue l’internaute et même le consentement explicite n’est pas respecté.

Si votre site collecte des statistiques, affiche des publicités, proposent des boutons de partage Facebook ou Twitter, alors le RGPD implique que vous demandiez le consentement explicite pour chaque aspect, car tous ces processus collectent et traitent des données personnelles à des niveaux différents.

C’est quoi une donnée personnelle pour le RGPD

Mais qu’est-ce qu’une donnée personnelle pour le RGPD ? C’est assez simple et complexe à la fois. Une donnée personnelle est une information qui peut identifier une personne et donc, on peut citer :

  • Une adresse mail
  • Une adresse IP
  • Une adresse de domicile
  • Un numéro de téléphone
  • Votre nom d’utilisateur sur les réseaux sociaux
  • Le numéro de votre carte de crédit
  • Des informations sur votre carte d’identité
  • Votre numéro de sécurité sociale

Du moment qu’une information permet d’identifier une personne, alors le Privacy by Design et le consentement explicite s’appliquent pleinement.

Mais force est de reconnaitre que le RGPD ne nous protège pas contre la surveillance de masse des gouvernements, car il exclut les entités et les utilisations suivantes dans les données personnelles :

  • Des données collectées dans un but judiciaire
  • Une tâche dans un intérêt public
  • De protéger les intérêts vitaux de la personne dont on collecte les données

Et comme la NSA ne demande pas la permission pour espionner les internautes, alors on peut dire que tout le monde va respecter plus ou moins le RGPD, mais que les principaux espions vont continuer à pratiquer tranquillement la surveillance de masse.

Toutefois, des outils comme le VPN de chez Hidemyass, NordVPN, VyprVPN permettent de réduire considérablement l’espionnage de masse. Cela montre qu’on n’a pas forcément besoin d’une législation massive pour bloquer l’espionnage gouvernemental.

La pseudonymisation et l’anonymisation

Quand on parle du RGPD, on entend qu’on peut toujours collecter les données personnelles si elles sont pseudonymisées. La différence est cruciale entre la pseudonymisation et l’anonymisation.

La pseudonymisation va impliquer qu’on va transformer une donnée personnelle pour qu’elle ne soit plus identifiable par rapport à une personne.

L’anonymisation implique la même chose sauf que cette dernière est irréversible. Une fois que la donnée personnelle est anonymisée, il est impossible de l’inverser pour avoir l’information en question. La pseudonymisation implique que le processus est réversible.

Cette pseudonymisation est une approche intéressante, car elle ne modifie pas radicalement la donnée tout en protégeant la vie privée de l’internaute. Par exemple, on peut utiliser une série de chiffres pour remplacer le nom d’une personne ou son téléphone.

Ces chiffres vont toujours nous permettre d’avoir des statistiques sur le profil, mais on ne peut pas identifier précisément la personne.

En revanche, si vous utilisez un VPN comme celui de Hidemyass, NordVPN, VyprVPN, alors vos données sont anonymisées grâce au chiffrement du serveur VPN. De ce fait, vous bénéficiez d’un anonymat qui est irréversible dans la majorité des cas.

Vos droits avec le RGPD

Pour le moment, on a parlé des droits RGPD d’un point de vue des sites web et des différents acteurs en ligne. Mais l’un des objectifs du RGPD est que le citoyen soit au centre de commandes pour contrôler les données.

Et le règlement européen données personnelles lui offre 2 droits fondamentaux qui sont la modification et la suppression de vos données.

La modification des données personnelles

Quand un acteur en ligne respecte le RGPD, alors il doit avoir une personne chargée de la gestion des données personnelles qu’on appelle un Data Protection Officer. Si vous utilisez un site web et que vous estimez qu’il collecte vos données personnelles et que vous voulez plus d’information, alors vous pouvez contacter ce responsable de la protection des données et le site doit fournir clairement le moyen de le contacter.

Sinon, le service n’est pas conforme au RGPD. Techniquement, cette obligation de responsable est pour les entreprises, mais tout le monde l’a adopté, car le webmestre ou même un blogueur peut aussi être ce responsable des données personnelles.

Une fois que vous l’avez contacté, vous avez le droit de modifier n’importe laquelle de vos données personnelles sans donner de justification préalable.

De la même manière, le responsable doit vous fournir toutes vos données personnelles qui sont collectées par le site ainsi que la raison pour laquelle elles sont collectées.

Par exemple, s’il collecte votre adresse IP, alors vous pouvez demander la raison, car c’est une donnée personnelle.

La suppression des données personnelles

La suppression des données personnelles est un droit fondamental du RGPD. Chaque citoyen européen a le droit de supprimer les données personnelles sur n’importe quel site.

Il n’a pas à donner des justifications sur cette suppression. Cette suppression doit être prouvée avec un effacement physique des données.

Ce droit à l’effacement est une mise à jour du droit à l’oubli. Plutôt que d’oublier les données personnelles, on a un droit de suppression absolu.

Le droit à l’oubli était surtout utilisé pour les affaires criminelles. Des personnes, condamnées dans le passé, ne pouvaient pas intervenir pour supprimer leur condamnation qui remontait parfois à des années.

Avec la suppression des données, ce droit est renforcé même si on peut penser qu’il pourrait être utilisé comme un droit à la censure, par exemple, quand des politiciens veulent cacher leurs affaires douteuses dans leur passé et qu’ils veulent retrouver une virginité numérique.

La portabilité des données

Encore une excellente approche du RGPD, car vous pouvez modifier et supprimer vos données, mais également les exporter. Ainsi, vous pouvez demander à un site de fournir vos données dans un format lisible et standardisé.

Ce dernier point est très important, car cela vous permet d’importer vos données chez un concurrent sans aucun problème. Malheureusement, les géants du web rechignent à respecter cette portabilité optimale des données.

Et pour les utilisateurs de sites comme Linkedin, cette portabilité est parfois cruciale afin d’éviter de recréer leur profil et leur réputation à chaque nouveau site d'emploi.

La notification en cas de piratage

Si vous avez donné votre consentement pour la collecte de données personnelles sur un site et que ce dernier est victime d’un piratage, alors le responsable des données personnelles doit vous avertir dans un délai maximal de 72 heures.

Il doit vous indiquer la date du piratage, les données qui sont compromises. Toutefois, la notification est facultative si le service a fait en sorte que les données sont pseudonymisées, car la vie privée n’est pas compromise.

>Les amendes si on ne respecte pas le RGPD

C’est sans doute l’aspect qui a donné des sueurs froides à de nombreuses entreprises, notamment les géants. Comme on l’a mentionné, le RGPD est contraignant avec des peines et amendes à la clé.

Ce sont les grosses entreprises qui sont plus visées, car en cas de non-respect du RGPD, elle peut être condamnée à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires. Et si elle récidive, alors cela peut monter jusqu’à 20 millions d’euros d’amendes et 4 % du chiffre d’affaires.

On a eu une énorme panique à cause de ces amendes, mais il faut bien comprendre que c’est des amendes maximales. Et surtout, les peines sont graduées.

En premier lieu, on aura des avertissements et un délai pour devenir conforme au RGPD et des inspections régulières pour voir si l’entreprise respecte la législation.

L’amende peut être intervenir quand toutes les tentatives à l’amiable ont échoué. Donc, ce n’est pas parce que vous n’avez pas respecté une clause du RGPD que vous devrez payer directement 10 millions d’euros.

Pour de nombreux analystes, ces amendes et de nombreuses clauses du RGPD ont été conçues spécifiquement pour viser les GAFAMs dont le business model est entièrement basé sur la collecte et la revente des données personnelles. On attendra de voir si l’Europe sanctionne vraiment ces entreprises dans le futur.

Que faire si vous êtes bloqué sur un site à cause du RGPD ?

L’application du RGPD a eu des conséquences qui sont à l’opposé de ce qu’on attendait. Plutôt que d’avoir une protection de la vie privée optimale, on s’est retrouvé sous un déluge de demandes de consentement et de notifications qui ont pourri les boites mail des utilisateurs.

Cela s’explique par un manque de communication criant de la Commission européenne, car le RGPD a été voté dès 2016 et donc, les entreprises avaient 2 ans pour se préparer.

Mais on a pensé qu’on allait s’en sortir comme avec la loi Cookie en affichant simplement une bannière sur le site, mais quand on a compris que c’était une réforme majeure qui ébranlait tout l’écosystème des GAFAMs, alors on s’est retrouvé dans un festival de pagailles.

L’uen des conséquences inattendues est que de nombreux sites américains ont bloqué unilatéralement tous les visiteurs européens. Ainsi, des médias comme le Los Angeles Time ou le Chicago Tribune ont bloqué toutes les adresses IP européennes.

La même chose pour des services comme Unroll.me ou Instapaper. Toutefois, c’est juste un blocage géographique et si vous êtes un visiteur européen et que vous êtes bloqué sur un site américain à cause du RGPD, alors vous pouvez utiliser un VPN comme celui de Hidemyass, NordVPN, VyprVPN pour avoir une adresse IP non européenne.

Dans votre logiciel VPN, vous pouvez choisir un serveur aux États-Unis, en Afrique ou en Asie et vous contournerez ce blocage sans aucun souci. Mais le RGPD peut aussi vous donner un web plus propre.

Faites vous passer pour un citoyen européen pour bénéficier du RGPD

Quand on regarde les critères du règlement européen données personnelles, alors on se rend compte que les citoyens européens ont énormément de droits sur le contrôle de vos données personnelles.

Et si vous utilisez un VPN comme celui de Hidemyass, NordVPN, VyprVPN, alors vous pouvez bénéficier de ce droit. Dans votre logiciel VPN, sélectionnez un serveur dans n’importe quel serveur européen et ensuite, accédez à un site comme USA Today ou The Verge.

Ces deux sites, quand ils détecteront votre adresse IP européenne, vont vous présenter une version différente du site qui est 4 fois plus rapide que la version normale, car elle ne possède aucune publicité, aucun tracking ou aucune collecte de statistiques.

Vous avez simplement le contenu, les images et les vidéos. Plutôt que demander le consentement pour chaque traitement de données, ces sites ont préféré adopter le critère de Privacy by Design qui est l’épine dorsale du RGPD.

Dans les deux cas, un VPN peut vous aider, soit à contourner des sites qui veulent continuer à collecter vos données sans proposer aucune garantie, soit à vous offrir un web beaucoup plus propre sans aucune collecte ou violation de la vie privée.

The concept of an encrypted Internet connection.

Le RGPD, solution miracle contre la surveillance capitaliste ?

En conclusion, le RGPD est une solution mi-figue, mi-raisin. Les intentions de départ sont excellentes, car cette régulation place le citoyen européen au centre de la protection des données personnelles.

C’est lui qui décide de ce qu’on peut faire avec sa vie privée et il a le droit de la modifier et de la supprimer à tout moment. Malheureusement, on se rend compte que le RGPD a provoqué d’énormes dommages collatéraux.

On estime que pour les entreprises européennes, le cout sera de 200 milliards d’euros si elles veut être conformes à la législation et ce sera 41 milliards d’euros pour les entreprises américaines.

De plus, on voit également une certaine hypocrisie de la part de l’Union européenne. On a appris que le site du parlement européen n’était pas conforme au RGPD et que la Commission européenne, qui avait un tableur sur son site avec des noms et des adresses de domicile identifiables, a estimé que la Commission européenne n’est pas obligée de respecter le RGPD pour des raisons légales.

L’objectif inavoué est de s’attaquer aux grandes entreprises américaines, mais on ignore si ces dernières sont prêtes à réformer tout le web pour que celui-ci devienne plus soucieux de la vie privée.

On est dans une ère de surveillance capitaliste où tout l’écosystème financier, économique et social du web se base sur la collecte et la revente des données personnelles. Est-ce que le RGPD est capable de renverser cette surveillance capitaliste, seul l’avenir nous le dira.