Loi sur la protection des données: les entreprises dans le collimateur, pas les États

Si la Belgique somme Facebook d’arrêter de pister les internautes, la France fera preuve de souplesse en matière protection des données personnelles. Le texte européen à ce sujet sera-t-il appliqué dans les États membres avec le même zèle? François Vermorel, représentant du Parti pirate en Île-de-France, nous répond.
Sputnik

Les absents ont toujours tort? Le Règlement européen sur la protection des données personnelles (RGPD), qui entre en vigueur le 25 mai prochain, a trois objectifs: consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent les données à caractère personnel… Pour François Vermorel, représentant du Parti Pirate en Île-de-France, le texte ne va pas assez loin:

«Quand on parle de protection des données, il faut distinguer deux points. La protection vis-à-vis des entreprises du numérique, et la protection vis-à-vis des états et des institutions.»

Et ce sont bien ces derniers les grands absents du texte tant attendu:

«On constate que rien n'est fait dans ce texte pour protéger les citoyens contre les États et contre les incursions de plus en plus visibles et massives de la surveillance de masse. Les États sont absents de ce texte, alors que c'est un gros problème. L'affaire Snowden, c'est que ça.»

Majorité numérique à 15 ans: une loi censée protéger mais difficile à appliquer
Après des années de discussions houleuses, l'Europe se dote enfin d'une législation permettant de partager de nouvelles règles communes en matière de protection des données personnelles de ses citoyens: noms, adresses, adresses IP, e-mail, etc. seront, en principe, mieux protégés.

«Les entreprises n'en veulent jamais qu'à notre argent… ce qui est un problème, mais limité. Les États, eux, s'intéressent à ce que vous pensez, ce que vous faites et à la façon dont vous allez exercer vos libertés de citoyens. La menace est donc plus grave».

Les entreprises doivent se mettre en conformité afin de permettre, techniquement, aux citoyens d'exercer leurs nouveaux droits: droit à l'oubli, portabilité des données, droit d'être informé en cas de piratage de nos données, et possibilité d'intenter des actions de groupes, les fameux «class-action», très répandue aux États-Unis.

Le «Facebook russe» gagne un procès sur la protection des données ouvertes
Mais il est peu probable qu'elles le soient à temps: dans une interview accordée aux Échos, la présidente de la CNIL consent à accorder plus de «souplesse et de pragmatisme» aux entreprises: «Nous allons ainsi donner environ trois ans aux entreprises pour apprivoiser le nouvel outil des études d'impact. Il s'agit d'une démarche lourde et exigeante, en particulier pour les petites entreprises». De quoi faire cogiter notre intervenant, qui s'interroge sur le rôle de contrôleur de l'instance, qui emploie pour l'heure 200 personnes.

«Qu'il faille du temps aux entreprises, je peux l'entendre. Mais la CNIL, depuis des décennies, fait preuve d'énormément de souplesse […] Elle n'a jamais été vraiment capable d'appliquer les règles bénignes en termes de protection des données privée. Que sa présidente ait cette sincérité, qu'elle ne sera pas en mesure de faire quoi que ce soit, nous en prenons acte. […] On verra bien quelle sera la volonté des États, qui restent souverains.»

Facebook et WhatsApp accusés de violer la loi sur les données personnelles en France
Pourtant, ailleurs en Europe, d'autres pays se montrent déjà plus stricts. Vendredi 16 février, le tribunal de première instance de Bruxelles a condamné Facebook pour non-respect de la loi belge sur la protection des données. Le tribunal a largement repris l'argumentaire développé par la Commission belge de la vie privée (l'équivalent de la CNIL française), à l'origine de cette action contre Facebook Inc., Facebook Irlande et Facebook Belgique.

Il est reproché au réseau social de collecter des informations personnelles de manière disproportionnée et «sans consentement informé», même auprès d'internautes non-inscrits sur le réseau, qui cliquent simplement sur un des boutons «j'aime» ou «partager», présents sur des millions de sites tiers.

«Incontestablement, la France n'est pas en pointe sur ces sujets-là. Nos cousins européens francophones belges ou suisses vont beaucoup plus loin et sont plus sensibilisés. La décision de l'État belge, nous la jugeons positive»,

Poursuit François Vermorel, qui voit dans ce texte européen, une sorte de «tartuferie»:

«Ce texte a beau jeu de pointer les dérives de Facebook, Google et consorts… et finalement de fermer les yeux sur les abus commis par les États, y compris la France, les EU, l'Angleterre, etc. […] Plus la collecte des données sert un objectif, économique ou politique, plus, par définition, elles sont vulnérables. Pour nous, évident, le texte va dans le bon sens. […] Mais on n'est pas au niveau des enjeux».

Discuter