Aujourd’hui, le Règlement général de protection des données personnelles (RGPD) dans l’Union européenne entre en vigueur en France. Derrière ce sigle barbare se profile un texte incontournable pour les organisations publiques ou privées (PME/PMI, grandes entreprises, collectivités territoriales, associations…). Désormais, le traitement automatisé des données personnelles devra reposer sur le consentement écrit, clair et explicite de chaque internautes. Cette réglementation européenne plus restrictive représente un enjeu majeur pour les grandes entreprises du numérique. En effet, le modèle économique des GAFA (Google, Apple, Facebook, Amazon) repose largement sur l’exploitation et la valorisation des données personnelles. En collectant des nombreuses données (Like, statut, messages…) les réseaux sociaux précisent de profils d’utilisateurs qui permettent de caractériser des cibles marketing et publicitaires. Ces profils sont aussi enrichis par nos habitudes de navigation, sous la forme de cookies
La protection des données introduite par le RGPD repose sur quatre grands principes : majorité numérique, portabilité des données, droit à l’effacement et à la protection effective des données. Premièrement, chaque internaute doit prendre conscience de son consentement éclairé au commerce des données personnelles. La majorité numérique sera donc fixée à 15 ans en France. C’est l’âge à partir duquel un adolescent protégera lui-même ses données. Deuxièmement, chaque opérateur devra permettre la portabilité des données. Ainsi, des informations personnelles laissées sur une plateforme pourront migrer librement vers une autre plateforme. Troisièmement, chaque internaute se voir reconnaître un droit à l’effacement de ses données personnelles. Par exemple, il pourra s’adresser à un site ou à un moteur de recherche pour ne plus être référencé à partir de son nom. Enfin en cas de piratage, chaque entreprise gestionnaire de données devra immédiatement informer la CNIL. L’autorité numérique examinera alors l’efficience des procédures et les moyens dévolus à la protection des données.
En cas d’infraction au RGPD, l’Union Européenne se dote d’une batterie de sanctions particulièrement coercitives. La Loi prévoit d’infliger jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel pour une entreprise défaillante. Le montant de ces amendes parait suffisamment élevé pour s’avérer dissuasif. Par ailleurs en cas de manquement, le RGPD entend favoriser les recours collectifs des citoyens et les actions de groupe. Des collectifs pourront donc se constituer pour mettre un terme à l’exploitation illicite de données. Les internautes européens pourront s’organiser dans des collectifs et des associations de défense. Le rapport au faible au fort pourrait ainsi progressivement s’inverser, mettant les grandes entreprises du numérique en position d’accusé et exposant leur E-réputation.