Les GAFAM, géants du Net, sont-ils en règle sur la protection des données ?
25 octobre 2018Après avoir été reçu à l’Elysée par Emmanuel Macron, le PDG d’Apple s’exprime ce mercredi au Parlement européen lors d’une conférence sur la confidentialité. L’occasion pour Tim Cook d’évoquer le nouveau RGPD, le règlement général sur la protection des données. Présenté comme une révolution en matière de droits numériques, il contraint les entreprises à obtenir le consentement des internautes européens pour utiliser leurs données personnelles mais les géants du Net sont accusés de ne pas le respecter.
Entré en vigueur le 25 mai dernier, le RGPD n’a pas tardé à produire ses premiers effets. La CNIL, la Commission nationale de l’informatique et des libertés, a publié un premier bilan sur les quatre premiers mois d’application du texte. Sur cette période, le gendarme français des données personnelles a reçu 3767 plaintes soit une hausse de 64%, signe d’une prise de conscience du grand public sur cette question. Par ailleurs, la CNIL a été saisie de plusieurs plaintes collectives. Ce type de procédure est l’une des grandes nouveautés introduites par le RGPD.
En France, l’association de défense des libertés sur la toile, la Quadrature du Net, a ainsi déposé cinq plaintes collectives regroupant 12 000 personnes contre Google, Amazon, Apple, Facebook et Microsoft. Principal reproche fait à ces entreprises américaines : la tactique du « à prendre ou à laisser ». Soit l’utilisateur accepte les conditions d’utilisation et donc cède ses données personnelles, soit il n’a plus accès au service, ce qui est interdit par le RGPD.
En cas de sanction, les entreprises risquent gros. Jusque-là, la CNIL pouvait prononcer une amende maximale de 150 000 euros. Le RGPD introduit des sanctions financières bien plus importantes, en théorie jusqu’à 4% du chiffre d’affaires. Pour Google, cela représenterait une amende de 3,7 milliards de dollars mais la guérilla juridique entre GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et citoyens européens ne fait que commencer.
« Je suis un grand fan du RGPD »
Pour les géants du Net, difficile de se montrer ouvertement opposé au RGPD sans donner l’image d’une entreprise peu soucieuse de la vie privée de ses clients. Sur ce dossier, Tim Cook, le PDG d’Apple se veut à la pointe du combat. « Je suis un grand fan du RGPD », a-t-il assuré lors de la première journée de sa tournée européenne à Berlin. La marque à la pomme cherche à se distinguer de ses homologues des GAFAM sur ce dossier. « En effet, dans certains domaines, Apple est moins pire que Facebook et Google », reconnaît Arthur Messaud, juriste à la Quadrature du Net.« Mais Apple à des pratiques de surveillance contraires au RGPD », poursuit le militant. Ce que l’on a reproché à Apple dans notre plainte, c’est l’utilisation du méga-cookie. Quand vous achetez un IPhone, vous avez un numéro d’identification, un méga-cookie, qui vous est attribué. Apple l’installe dans votre dos, sans vous le dire. Cet identifiant unique permet aux applications que vous avez téléchargé d’élaborer un profil pour les annonceurs pour ensuite vous vendre les meilleurs produits. Le RGPD vient pour nous protéger de ces stratégies publicitaires nocives et insidieuses. Nos données personnelles ne sont pas des marchandises. Ce sont des libertés fondamentales ! »
Vers un RGPD américain ?
Les Américains n’ignorent rien de ce qui se passe Outre-Atlantique et le débat aux Etats-Unis est lancé, avec en toile de fond les scandales et les piratages à répétition de Facebook ou Google. Fin septembre, les représentants des géants du Web et des télécoms étaient invités à donner leur avis sur le RGPD devant les sénateurs de la Commission du commerce, des Sciences et du Transport. Les GAFAM ont tous affirmé leur attachement à la vie privée des utilisateurs tout en plaidant pour un cadre plus souple que le nouveau règlement européen.
« Pourquoi les Etats-Unis accepterait un RGPD alors qu’ils ont une industrie des nouvelles technologies valorisée à plusieurs milliers de milliards et dont le modèle repose sur une manipulation et une exploitation commerciale des données à caractère personnel ? » s’interroge l’avocat Olivier Iteanu. Les signaux envoyés vont dans le sens opposé d’un RGPD analyse ce pionnier du droit sur internet citant le Cloud Act voté en mars par le Congrès. Cette loi d’« ingérence numérique » facilite l’obtention par le gouvernement de données stockées en dehors des Etats-Unis.
Olivier Iteanu se montre donc peu optimiste sur une loi fédérale « du niveau du RGPD européen ». Selon lui, seule une fuite spectaculaire de données pourrait obliger les Etats-Unis, sous la pression des citoyens, à adopter une législation ambitieuse. « Il n’est pas impossible qu’à l’occasion d’un accident industriel particulièrement important qui frappe l’opinion publique, se produise un changement radical de politique juridique sur ce sujet aux Etats-Unis ».
RFI