Par Lotfi SAKANI, Master Cultures et Métiers du Web
___
Le numérique ne cesse de révolutionner notre quotidien et transformer notre société. Avec l’augmentation de la puissance de calcul et de stockage, il produit d’immenses quantités de données que les acteurs publics et privés peuvent analyser et diffuser, à une échelle encore jamais égalée dans l’histoire. Et, cette échelle se voit bouleversée par L’Open Data, ou le mouvement des “données ouvertes”. Open Data, c’est le mouvement qui vise à rendre les données publiques, accessibles pour tous. Cette notion ne doit pas être confondue avec celle de la Big Data, qui représente plutôt la manière d’analyser les données et de les restituer. Beaucoup pensent que l’Open data peut permettre d’accélérer le rythme des innovations par une meilleure compréhension de la société grâce à nos données. Mais pourtant, de nombreux scandales éclatent autour de ce partage des données.
Dans quelles mesures l’ouverture des données est-elle un bouleversement ? Que deviennent nos données personnelles ? Quelles initiatives sont mises en place pour protéger ces données et éviter les abus de vie privée ?
Pour répondre à ces questions, nous avons mené une étude qualitative en menant des entretiens avec différentes personnes afin de mieux connaître leurs habitudes, leurs appréhensions vis-à-vis d’internet et des réseaux sociaux, principalement en rapport avec leurs données personnelles. Cette étude a été complétée par une analyse des commentaires d’internautes sur différents articles du magazine 20 minutes relatant les derniers scandales liés à Facebook et au partage de données.
Dans un premier temps, nous expliquerons ce qu’est le mouvement de l’Open Data et les changements qu’il induit sur le rapport entre ce qui est public et ce qui est personnel sur Internet et les réseaux sociaux. Ensuite, nous étudierons les risques de ce mouvement notamment à propos des données personnelles. Enfin, nous verrons qu’actuellement, plusieurs initiatives se mettent en place afin de protéger les données des individus et ainsi de dessiner une frontière précise entre ce qui est personnel et ce qui ne l’est pas.
L’Open Data
Comme nous l’avons cité précédemment, l’Open Data est un mouvement d’ouverture des données. Il permet à chacun de visualiser et réutiliser, sans conditions, les données numériques produites par des entreprises privées, des services publiques ou des associations. Ce mouvement est rendu possible grâce à la culture de notre société actuelle, qui met en valeur l’égalité, le partage du savoir à tous, ce qui est aujourd’hui possible grâce au numérique et sa capacité sans égale, à stocker des informations et les publier.
Petit à petit, toutes les entreprises et organismes doivent se préparer à l’Open Data et rendre leurs données accessibles. L’accès aux données s’ouvre donc peu à peu : par exemple, la poste met à disposition la liste de toutes ses boîtes aux lettres même si ça n’a pas toujours été simple. Le mouvement de l’Open Data fait miroiter de grandes possibilités notamment dans l’analyse statistique, la meilleure connaissance des individus et de leurs usages, leur vie, et sous-entend donc une possibilité de mieux répondre aux besoins de cette société, de gagner en efficacité.
Avec l’essor du numérique, l’ouverture de données touche différents secteurs et se fait de plus en plus diverse : données de justice, données de santé, d’énergie etc. Par là, on voit que des données de plus en plus sensibles peuvent s’inscrire dans la dynamique de l’open data. On s’interroge alors sur la question de l’équilibre entre le droit d’accès à l’information (transparence administrative) et la question de la protection des données à caractère personnel.
Qu’est-ce qu’une donnée à caractère personnel ?
Selon la CNIL, la Commission Nationale de l’Informatique et des libertés, une donnée à caractère personnel “est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.”
Concrètement, il peut s’agir d’un nom, d’une photo, d’un numéro d’immatriculation quel qu’il soit, d’une adresse IP, etc. Dans la mesure ou des données permettent l’identification d’une personne physique, elles sont considérées comme personnelles. Mais l’identification d’une personne physique ne se limite pas à des mentions telles que le nom, le matricule, etc., mais doit également prendre en compte l’identification indirecte par la mention d’un élément spécifique concernant la personne visée. En ce sens, les informations (âge, ville, parcours professionnel, etc.) dont le recoupement permet d’identifier une personne physique constituent aussi des données à caractère personnel.
Certaines plateformes comme LinkedIn, par exemple, un réseau social professionnel, se basent sur la création d’un profil composé presque entièrement de données personnelles (parcours scolaire et professionnel, lieux de vie, compétences…) et qui sont accessibles publiquement. Dévoiler publiquement des données personnelles a donc l’air normal sur cette plateforme, qui est peut-être dû au fait que c’est un réseau qui se veut professionnel et donc sérieux, et que l’on a la possibilité de cacher son profil. Ce n’est pas le seul réseau social à accéder à des données considérées comme privée des utilisateurs. Mais pour les utilisateurs de réseaux sociaux et d’Internet, qu’est-ce qui relève de la donnée personnelle ? Qu’est ce qu’ils sont prêt à partager et qu’est-ce qu’ils préfèrent garder privé ?
Lors des entretiens, les interrogés ont listé un certain nombre de données et notamment celles qu’ils considèrent comme privées et personnelles et qui ne devraient donc pas être divulguées sans l’accord ou l’autorisation de l’individu. Pour les interrogés, une information personnelle est avant tout en rapport avec l’identité :
“notre visage, notre prénom, notre goût pour quelque chose, nos passions, nos loisirs […] notre personnalité.”
Ensuite, il y a toutes les données autour de l’univers professionnel notamment les adresses (surtout si l’univers professionnel est un environnement confidentiel comme les entreprises de défense, de chimie ou autre). Enfin, l’adresse du foyer, elle aussi, représente une donnée personnelle pour les individus, autant que les informations financières du type : nom de la banque, numéro de compte, de carte. Ces données sont divulguées par l’utilisateur sous certaines conditions :
“Les seuls moment où je donne cette information, c’est quand c’est une plateforme sécurisée […] Ça va pas être divulgué à n’importe qui […] parce qu’on sait jamais qui se cache derrière l’écran”, mais jamais ils n’autorisent à les partager ou les utiliser car “des gens peuvent s’en servir à mauvais escient.“
Les données autour de la personnalité des individus, leurs goûts, leur âge, leurs lieux d’habitation, etc, représentent des informations inestimables et convoitées par plusieurs sortes d’organismes et d’entreprises.
Pourquoi les données personnelles sont-elles tant convoitées ?
Avec le développement des capacités de traitement de grandes masses de données, l’internaute est désormais surveillé en permanence. Les fournisseurs de service collectent des données personnelles pour les vendre, en exploitant les traces numériques involontaires que laisse l’internaute au quotidien lors de l’utilisation de systèmes d’information connectés à internet.
Il faut dire qu’il y a un réel marché de données derrière tout cela. Et, plus le profil est atypique (par exemple, une femme enceinte), plus le prix des données peuvent augmenter. Des données sont récupérées autour du type géolocalisation, des données grâce à des questionnaires, les cookies, les réseaux sociaux, etc. Ces données là peuvent servir ensuite à étudier les actions et les comportements des différents profils de personne analysées. Ces données serviront à de la publicité adaptée la plupart du temps. Mais, elle peut intéresser de nombreux autres domaines, comme celui de la santé, par exemple.
Les données collectées, même en ayant de simples visées marketing (connaître nos goûts, anticiper nos achats, etc.), leur traitement peut aussi mettre en danger la vie privées des personnes identifiées. En 2013, les révélations d’Edward Snowden sur l’existence de programmes de surveillance ont donné une ampleur sans précédent à la question de la protection de la vie privée sur internet.
Pour se rendre compte de la diffusion des données personnelles, il n’y qu’à avoir le nombre de spams que nous recevons par jour. Ceci s’est accentué avec l’utilisation croissante des ordinateurs et des smartphones et la démultiplication des sites e-commerce et des réseaux sociaux.
Aujourd’hui, l’internaute se sent de plus en plus traqué : des publicités de plus en plus adaptées rendues possibles grâce à la vente de son suivi en temps réel sur les différents sites visités (cookies, retargeting…) et les plateformes d’échange d’information ont privé les internautes du contrôle de leurs données personnelles. De plus, la libre ouverture, consultation et analyse de ces données peut mener vers des abus ou représenter une menace à la vie privée. On se demande alors si le mouvement Open data tient compte de la problématique de la protection des données à caractère personnel.
Les risques de l’ouverture et l’analyse des données
L’Open Data semble être un mouvement bénéfique en plusieurs points. Mais, derrière cette idée que le partage des données de tous, accessibles à tous, va permettre une meilleure compréhension et appréhension de la société et de gagner en efficacité, ce mouvement nécessite un contrôle. L’utilisation d’Internet et des réseaux sociaux en général, nécessite une régulation, un cadre d’utilisation. En effet, la frontière entre ce qui relève du privé sur Internet et ce qui est public est mince, et souvent floue.
Une entreprise privée peut produire et publier des données qui sont, à une autre échelle, personnelles, nous en donnerons des exemples. Donc, comment savoir si une donnée est éthiquement et légalement partageable ou non ? Comment savoir si une donnée produite sur les réseaux sociaux relève de l’espace privé ou de l’espace public ? Ce sont des problématiques qui sont à l’origine de bon nombre de scandales actuellement.
Le problème avec les données publiées par les entreprises, les associations ou autres organisations ; c’est que, parmi la totalité des données, il y a l’individu et sa donnée personnelle, son action individuelle. Lorsque les données sont étudiées ou utilisées à l’échelle du groupe, cela ne pose pas de problèmes éthiques, mais dès lors que l’on descend à l’échelle de l’individu, cela porte atteinte à la vie privée.
Prenons l’exemple des entreprises de transport. Ces entreprises connaissent l’heure de montée, le lieu de montée, le temps de trajet, le transport utilisé, l’arrêt de descente, et l’heure de descente de chacun des utilisateurs, grâce à la validation du titre. Sans restrictions et sur le long terme, ils peuvent connaître toute votre vie. En dehors des informations identitaires fournies par le titre de transport, ils peuvent donc savoir d’où vous venez, où vous allez, deviner si vous arrivez à l’heure au travail, etc. Si ces données sont rendues publiques, cela peut poser un problème éthique d’appartenance. Partager ces informations, permettant de nous cerner la vie quotidienne, représente une atteinte aux libertés individuelles et à la vie privée. Si cela n’est pas régulé, ça peut devenir une forme de contrôle social sur les individus, une incitation à la conformité, et pourrait tourner à la surveillance malsaine.
Une deuxième problématique voit le jour avec Internet et la vie privée, notamment sur les réseaux sociaux. Plusieurs cas finissent au tribunal, notamment par rapport à des diffamations postées sur les réseaux sociaux, qui ont été rendues publiques (pour diverses raisons telles que des partages, des captures d’écran, ou des bugs de la plateforme). Par exemple, si un employé poste un mot méchant à propos de son patron sur Facebook, ou Twitter, et que ce même patron porte plainte, que fait la loi ? C’est tout le problème qui subsiste aujourd’hui. Le fait est que, la justice n’a pas eu le temps, au vu de la rapide expansion d’utilisation de ces plateformes, de réfléchir et se décider sur une loi précise et cette problématique reste en débat.
Quel impact a internet sur notre espace privé ?
Il est important de différencier la notion d’espace public et d’espace privé, même si cette dernière tend à disparaître aujourd’hui. L’espace public est un espace qui n’appartient à personne en droit, ou s’exerce l’opinion publique, à la fois acteur et arbitre des débats qui animent la société. L’espace privé quant à lui est un espace au sein duquel ce qui se déroule est inaccessible aux regards des autres. Mais avec le développement d’internet, la définition de l’espace privé n’est plus de vigueur car des dispositifs techniques y ont fait irruption. Ce sont autant de fenêtres qui permettent aux autres d’accéder à notre espace intime et inversement.
Avec les réseaux sociaux que nous connaissons aujourd’hui, les modalités de partage sont brouillées entre la sphère publique et privée. De cette manière, la notion de vie privée est remise en cause. Notre vie privée, serait-elle vraiment en train de disparaître ?
Cela dépend déjà de la plateforme utilisée et de son fonctionnement. Sur Twitter, c’est un espace public, tout le monde peut s’abonner, lire les posts publiés, etc. Mais, avec Facebook, par exemple, c’est différent puisqu’il y a des politiques de confidentialité, grâce auxquelles l’utilisateur peut rendre son compte privé, etc. Donc parfois, la justice peut prendre le parti du patron car, c’est un espace public et donc il y a eu diffamation. Mais, elle peut aussi prendre le parti de l’employé, car les conditions d’utilisations sont compliquées, et il ne savait pas. La justice n’est donc pas fixée, n’a pas encore posé de cadre juridique permettant de réguler ces données et savoir si elles relèvent de l’espace privé ou l’espace public. Il y a une confusion, une frontière floue entre l’information publique et l’information privée. Entre ce qui relève de l’individu et de ses libertés individuelles, et ce qui relève de l’espace public et de la société.
Sur les réseaux sociaux, les causes des dérives elles-même font débat : des données personnelles rendues publiques, qui est le fautif ? Certains pensent que c’est inadmissible que nos données soient publiées ou partagées (posts, mentions j’aime, lieux d’identification, etc), ou revendues à des tiers. Cela peut être illustré par le scandale autour de Facebook qui a vendu des données issues des utilisateurs à des entreprises de téléphonie chinoises. D’après notre étude des commentaires sur les articles à propos du scandale de Facebook, on peut voir que les gens ne sont pas dupes pour autant :
“J’espère que les utilisateurs comprendront qu’il faut fuir ce réseau social dont la seule raison est […] de s’enrichir” ou encore “Si c’est gratuit, c’est vous le produit. C’est pas compliqué, pas la peine de râler après.”
D’autres pensent que le vrai fautif est l’utilisateur, qui se doit lui-même de contrôler ses actions sur les réseaux sociaux et garder ce qui est privé, dans un réel espace privé, sans quoi il n’a pas la légitimité de se plaindre des éventuelles conséquences : “Facebook, Twitter […] des gens qui veulent montrer qu’ils existent […] il serait éducatif de les mettre en cause et pas le fournisseur, car les âneries ne sont produites que par les utilisateurs!”. Les internautes pensent donc que l’utilisateur est au final au courant que les données sont partagées, mais décide consciemment ou non d’ignorer cela.
Ceci est confirmé par les entretiens réalisés. En effet, peu importe s’ils ont confiance ou non en Google, Facebook, ou autres entreprises qui gèrent leurs données, les interrogés considèrent qu’il faut être vigilant sur ce que l’on renseigne ou partage sur les réseaux sociaux : “Tant que tu met pas des trucs délicats, comme des numéros de téléphone ou de banque […] jamais des trucs précis quoi“. Certains hésitent même à utiliser les plateformes, de peur que des données privées soient partagées ou publiées : “j’ai déjà hésité à utiliser un réseau social […] parce que je n’avais pas envie de laisser une “trace” de moi. […] Au début j’utilisais un pseudo et une photo aléatoire pour ne pas qu’on sache que c’est moi […] ce n’est pas mon vrai nom. Je ne mets pas de photos de moi ou autre.” Ainsi, on peut voir qu’il est délicat de tracer cette frontière entre l’espace privé et l’espace public sur internet, de savoir où se positionne la loi par rapport aux données privées et personnelles, et donc, ce qui ne peut pas être partagé ou analysé. C’est pour cela que s’instaure une réelle politique de protection des données, qui s’amplifie de plus en plus aujourd’hui.
Protection des données personnelles
Selon Matthieu Berguig, avocat à la Cour, Open Data et protection des données personnelles n’entretiennent aucun rapport l’un avec l’autre. En effet, comme nous l’avons déjà évoqué, l’Open data consiste, par définition, dans l’ouverture des données de l’Etat et des collectivités locales. Ces données sont toutes les informations recueillies par les organismes publics et qui sont principalement comme des statistiques en tout genre, des données publiques, qui seraient autant d’outils pouvant aider à la prise de décision.
De prime abord, il est difficile d’imaginer que la diffusion de ces données publiques puisse s’opposer à la protection des données personnelles, car, par définition, ces données n’ont pas vocation à être diffusées dans le cadre de l’Open data.
Pourtant, les liens entre l’Open data et la protection des données personnelles sont plus étroits que ce l’on peut imaginer. En effet, il faut distinguer l’organisme public détenant des données et, d’autre part, le type de données que celui-ci peut être amené à recueillir. Il faut savoir qu’avant même d’être présentés sous forme de statistiques, les données sont collectées auprès des personnes privées.
La législation « Informatique et libertés », une loi parue en janvier 1978, peut être considérée comme l’un des obstacles prépondérants à la mise en oeuvre d’une politique d’ouverture des données. Certains responsables de la scène du numérique en France prônent l’Open data au service de l’action publique mais proposent parallèlement la suppression de la CNIL car qualifiée « d’ennemie de la Nation » à cause de ses nombreuses régulations en terme de protection de la vie privée. Le développement de l’Open data soulève donc bien des problématiques au regard de la protection des données à caractère personnelles.
L’Open Data et la libre circulation des données supposent donc de définir un cadre juridique et moral afin d’éviter toute dérive dans le partage ou l’analyse de ces données. Un cadre de régulation est nécessaire pour que la frontière entre les données privées et les données publiques, entre ce qui est partageable ou non, soit claire et précise. Pour cela, nous l’avons vu, il a fallu déjà définir ce que représente une donnée personnelle afin de mieux la protéger. Mais, d’autres initiatives ont été mises en place afin d’éviter les menaces à la vie privée que peut représenter le partage et l’utilisation des données. Il y a des organismes qui s’occupent de régulariser, cadrer les droits et les interdits sur Internet. C’est le cas de la CNIL. Cette organisation, fondée à la fin des années 70, se charge de surveiller et empêcher les dérives et à protéger les libertés et les droits de chacun. Pour cela, ils ont instauré quelques règles.
Par exemple, afin de permettre le partage et l’analyse sans atteindre le droit à la vie privée, il a fallu faire poser quelques limites. Par exemple, nous avons vu que les entreprises de transport possèdent de nombreuses données des déplacements des usagers et peuvent en réalité, en les analysant, connaître beaucoup plus de choses que prévu. Ces données sont tout de même nécessaires pour l’entreprise, afin d’adapter l’offre de transport aux usagers et leurs habitudes, pour connaître leur cible. Mais, pour éviter les dérives et la surveillance malsaine, une régulation a été mise en place face à ce genre de données. Les données peuvent être partagées et analysées, mais elles sont soumises à une certaine temporalité. En fait, la CNIL estime que ces données doivent être supprimées au bout d’un certain temps afin qu’il soit impossible de connaître la vie quotidienne des individus.
Une deuxième régulation a été mise en place afin de compléter celle de la temporalité d’existence ou publication des données : celle de la granularité. En effet, de nombreuses données statistiques sont produites notamment par les établissement publics comme les écoles ou les hôpitaux. Grâce à ces statistiques, il est possible d’en savoir plus sur le taux de réussite d’un lycée par exemple, ce qui est une donnée et un critère important. Cependant, avec l’Open Data, les données brutes produites par l’établissement pourraient permettre de calculer le taux de réussite du lycée, le taux de réussite d’un niveau scolaire, d’une classe, mais aussi d’un professeur. Cependant cela peut porter, non seulement atteinte à la vie privée, mais préjudice, lorsqu’un taux de réussite est réduit à l’échelle d’un individu comme un professeur, ou bien encore un taux de mortalité calculé à l’échelle d’un chirurgien. Pour éviter ce genre de dérives, là encore une limite est fixée. Les données peuvent permettre de calculer à une échelle de groupe, mais ne doit pas être réduit à un individu.
Ces régulations ont été créées ou mises en place pour permettre d’éviter les abus d’analyse de données existantes. Mais, il y a d’autres domaines qui ont aussi dû être régulés et encadrés : la conservation des données des utilisateurs sur Internet et l’information autour de celle-ci. En effet, nombreux débats ont lieu encore aujourd’hui autour des données et de leur partage car l’utilisateur n’est pas au courant de tout ce qui est récupéré par les plateformes qu’il utilise.
Par exemple, les cookies sur Internet sont des données de l’utilisateur (connexion, visite de page, visualisation d’une vidéo, click sur une rubrique, etc). Ces données sont gardées par les sites afin d’améliorer la navigation sur le site. Il y a plusieurs exemples de ce que permettent les cookies : garder des objets dans un panier d’achat sur des sites, maintenir une session ouverte même après fermeture de la page, entre autres. Mais cela implique de garder en mémoire toutes les actions des utilisateurs sur le site. Cela peut-être une donnée personnelle que les utilisateurs ne souhaitent pas partager. C’est pour cela que la loi impose aux sites de demander à l’utilisateur s’il accepte les cookies ou non pour naviguer sur la plateforme, sinon le site n’est pas considéré comme dans la norme. Mais, souvent, les cookies sont tellement nécessaires à la navigation, que le site serait inutilisable sans. D’ailleurs, les utilisateurs se sentent parfois forcés à accepter les cookies, sans qu’ils ne sachent réellement ce que c’est en réalité et leur utilité :
“En général je les refuse mais des fois je les accepte ou sinon je ne peux pas accéder au site.“
Ou encore :
“souvent ils forcent à accepter pour laisser voir le site, sur les téléphones notamment, ça prend tout l’écran.”
Qu’ils acceptent sans s’en rendre compte ou non, les utilisateurs ont cependant la possibilité de s’informer et savoir que leur navigation devient des données. Ils peuvent aussi connaître les différentes raisons de leur utilisation, quelles fonctionnalités nécessitent ces données. Ils peuvent donc décider de ne pas les accepter, de ne pas naviguer sur la plateforme en tout connaissance de cause car la possibilité leur est donnée.
Ceci permet de poser une norme, des règles afin de pouvoir régler d’éventuels désaccords grâce à un cadre juridique. Ce cadre va justement être renforcé par l’arrivée très récemment du RGPD.
Le Règlement Général sur la Protection des Données
Afin de réguler le mouvement de l’ouverture des données, leur accès et l’analyse, et pour définir réellement une frontière entre privé et public sur Internet, une nouvelle loi a été mise à place. Celle-ci arrive d’ailleurs en plein dans un contexte de scandale avec Facebook qui revend des données à des tiers, des entreprises. Et même si les utilisateurs comprennent le fonctionnement des réseaux sociaux gratuits, une meilleure information de ce qui est partagé et à qui, est nécessaire pour instaurer un cadre légal et juridique, et ainsi éviter les éventuelles explications devant les tribunaux.
Le RGPD, Règlement général sur la protection des données, est un nouveau texte de loi mis en place le 25 Mai dans toute l’Union Européenne et vise à devenir le texte de référence en ce qui concerne les données personnelles et leur protection dans l’ensemble des Etats membres. Ce nouveau règlement s’est mis en place afin d’actualiser la législation entrée en vigueur depuis plus d’une vingtaine d’années en tenant compte des évolutions technologiques. Ce texte s’est fait dans un contexte particulier lorsqu’on voit ce qui s’est passé durant ces dernières années. En effet, en 2013 la Cour européenne avait obligé Google à donner satisfaction aux internautes qui ne souhaitaient plus apparaître dans les résultats de recherche (droit au déréférencement). En 2015, la même Cour de justice a mis fin au programme “Safe Harbor” qui permettait le transfert de données personnelles depuis l’Union Européennes vers des entreprises établies au Etats-Unis. Celui-ci a été arrêté suite aux révélations d’Edward Snowden. Le déploiement du RGPD s’est fait en deux temps : d’abord, il y a eu l’adoption du texte le 14 avril 2016, puis, sa mise en place deux ans plus tard, à savoir le 25 mai dernier. A partir de cette date, tout traitement en infraction pourra déboucher sur des sanctions.
Le RGPD vient conforter un certain nombre de protections. Les entreprises n’ont désormais plus le droit de récolter de données personnelles sans le consentement de l’internaute. Il faut que celui-ci ait donné au préalable son consentement de manière écrite, claire et explicite. Par ailleurs, avant d’inscrire des enfants en-dessous d’un certain âge à un réseau social, il faut qu’ils aient reçu l’accord de leurs parents. Le droit à l’oubli est désormais reconnu : un internaute peut obtenir le retrait de toutes ses données en cas d’atteinte privée, mais il a aussi la possibilité de demander leur portabilité si jamais il souhaite passer d’un réseau social à l’autre.
Ce règlement s’applique à toute entreprise manipulant des données concernant des européens, sans prendre en compte sa taille, son secteur d’activité, etc. Les géants du Web ont dû donc tenir compte des modalités du RGPD s’ils voulaient continuer à fournir des services aux européens sans risque. Donc, depuis fin mai, tous les réseaux sociaux ou sites ou navigateurs qu’utilisent les internautes ont dû mettre à jour leurs conditions d’utilisation. Pour ne courir aucun risque, certains réseaux sociaux ont d’ailleurs fermé temporairement ou définitivement le compte de l’utilisateur si celui-ci a refusé d’accepter les nouvelles conditions d’utilisation.
“Ouais d’ailleurs, j’ai mon Messenger qui est bloqué à cause de ça, parce que j’ai pas accepté les conditions. Chaque fois je fais refuser, je sais pas pourquoi, j’avais pas envie et maintenant j’suis comme un con ça marche pas.”
En cas de non respect de cette nouvelle réglementation, les entreprises pourront se voir infliger une amende allant jusqu’à 4% de leur chiffre d’affaire mondial annuel.
Les Conditions Générales d’Utilisation
Selon une étude menée par Internet Society France, 7 français sur dix ne lisent pas les “conditions générales d’utilisation”. Selon eux, les règles qui composent les CGU sont complexes et non-accessibles pour des internautes sans trop de connaissance du droit. Les CGU sont aussi très volumineuses (les CGU de Fracebook, Twitter et Google font respectivement 9, 8 et 7 pages). Les résultat de ce sondage font également ressortir que sur 1004 personnes interrogées ayant plus de 18 ans : 21% des personnes interrogées ne lisent “jamais” et 48% “rarement” et 7% les lisent “systématiquement”.
Lors de nos entretiens, une étudiante nous a confié qu’elle était contrainte d’accepter si elle voulait continuer à utiliser le réseau social, elle a donc accepté sans vraiment les lire :
“J’ai accepté sans lire, comme d’habitude. De toute façon les réseaux sociaux remettent tous à jour leurs conditions d’utilisation en ce moment, à cause des lois de protection des données. Mais, si on veut continuer à utiliser les réseaux, on doit accepter, donc on accepte.“
La seconde personne interrogée disait être curieuse de connaître les changements avant de les accepter, mais a quand même fini par accepter sans les lires :
“Honnêtement j’ai mis du temps à accepter parce que je voulais lire pour voir ce qui changeait. Mais en fait j’ai même pas eu le temps de lire et le fait d’être spammée à l’ouverture du compte ou bien par mail m’a soulée et j’ai fini par accepter sans lire. Oui je sais, c’est pas bien.”
Nicolas Chagny, le président de l’ONG Internet Society France, confie à “Leparisien” que les sites cherchent de toute évidence soit à se surprotéger, soit à cacher quelque chose. Il qualifie d’ailleurs les CGU comme une mascarade car, d’après une étude, la lecture des CGU des sites visités nous prendrait 76 jours par an selon une étude très sérieuse menée par une revue américaine.
En lisant les réactions des internautes concernant cet article, on peut supposer qu’ils/elles ne lisent pas vraiment les CGU.
Figure 1 : Commentaires sur le site « LeParisien »
Le RGPD s’attaque de front à la complexité des CGU. L’une de ses régulations vise à simplifier les textes interminables qui cherchent à recueillir le consentement de l’internaute dans l’exploitation de ses données personnelles. D’ou les récentes mises à jour invitant à accepter les nouvelles CGU. Paradoxalement, quelques jours avant la mise en application du RGPD, Facebook invitait ses utilisateurs à donner leur consentement pour activer une fonctionnalité controversée : la reconnaissance faciale (Il y a six ans, cette option avait été bannie de Facebook en Europe).
L’homme que nous avons interrogé ne voit aucun inconvénient à la reconnaissance faciale, selon lui, quand on a rien à cacher, cette option ne devrait pas poser problème :
“Je l’ai pas encore vécu mais ça me dérange pas fondamentalement. Il me reconnaît, bah tant mieux. J’ai rien de privé, je suis pas agent secret, j’ai rien à cacher. Ca me dérange pas du tout. Y en a ça leur fait peur, et y en a qui aimeraient pas parce qu’ils ont des vies secrètes ou des choses à cacher comme des dealeurs, ils aimeraient pas qu’on les reconnaisse sur Facebook.”
L’étudiante quant à elle est plutôt méfiante :
“Aucun intérêt. Je vois pas du tout à quoi ça sert. C’est encore moins sécurisant qu’un mot de passe pour moi.”
Ainsi, on peut dire que les avis divergent. Pour le moins que l’on puisse dire, c’est que Facebook ne facilite pas trop le choix à ses utilisateurs en rappelant l’intérêt que peut représenter une telle technologie au quotidien, notamment pour la protection contre l’usurpation d’identité. Néanmoins, lorsqu’un utilisateur souhaite revenir sur sa décision après avoir accepter cette option, cela lui est possible… Après cinq clics.
Enfin, si l’Open data représente une opportunité à la fois sur le plan économique et sur le plan de la transparence de la vie publique, son encadrement est quant à lui indispensable. Les données à caractère personnel qui sont collectées par l’Etat et les différentes collectivités territoriales doivent impérativement rester privées. Ce mouvement doit être construit sur un nécessaire anonymat.
La collecte et la diffusion de données ne peuvent être mis en oeuvre qu’en vertu du consentement des personnes concernées ou d’un texte le prévoyant. À défaut, seul les informations anonymes qui ne permettent pas l’identification directe ou indirecte, peuvent être diffusées. Pourtant, les risques d’identification ou de « réidentification » sont réels et il ne sera pas surprenant de voir un de ces jours des données relatives à des personnes physiques en libre accès sur Internet.
Sinon, bien plus effrayant encore, ce sont les sites/app et les réseaux sociaux qui collectent nos données à notre insu. C’est pour ces différentes raisons qu’il est aujourd’hui indispensable de bien lire les conditions générales d’utilisations avant d’adhérer à une plateforme, bien que cela paraisse presque impossible lorsqu’on voit à quel point les CGU sont longues et complexes. Fort heureusement, certaine réglementations se mettent en place afin de protéger les données personnelles de l’utilisateur. Aujourd’hui, la collecte des données devra être cohérente avec l’utilisation qui en sera faite et les éditeurs devront informer leurs clients de leurs usages commerciaux, en donnant la possibilité aux consommateurs d’accepter ou pas de céder leur données personnelles.
___
Annexes : Terrain
___
Bibliographie / Sitographie :
Une donnée à caractère personnel, c’est quoi ? – Lien
Christian – François Viala, Yes profile : Mon profil est mon patrimoine – Lien
Sondage Opinionway pour l’Internet Society France : 7 Français sur 10 ne lisent pas ou rarement les CGU – Lien
Les internautes ne lisent pas assez les conditions d’utilisation des sites – Lien
Le Règlement Général sur la Protection des Données – Lien