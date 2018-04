Vera Jourova, la commissaire européenne à la Justice et aux Consommateurs, est une femme occupée. Très occupée. Le 25 mai, dans moins d’un mois, le règlement général sur la protection des données, le RGPD en jargon européen, entre en vigueur dans les 28 États de l’Union européenne. Un changement important pour cinq cents millions d’Européens, dont la vie privée devrait être mieux protégée face à des sociétés du net de plus en plus intrusives. Sur papier, du moins.

Tout le monde sera-t-il prêt, à l’échéance, pour le nouveau règlement général sur la protection des données ? Non, à en croire la commissaire Jourova. Le scandale Cambridge Analytica a réveillé les consciences sur la manipulation de nos données, mais un peu tard.

Gros plan sur un des chantiers les plus importants d’Europe.

Les États européens seront-ils prêts pour l’entrée en vigueur du RGPD, le 25 mai?

Nous sommes dans une phase intense. Les États membres sont occupés à adopter des législations nationales, mais selon mes services, seule la moitié des États européens sont prêts. Nous constatons des difficultés chez certains, comme l’Italie et la Slovénie.

Qu’en est-il de la Belgique?

La législation belge n’est pas prête. Suite à un avis du Conseil d’État, le gouvernement belge prépare un nouveau projet de loi pour le 25 mai, en espérant qu’il passe au Parlement avant le 21 juillet.

Quels sont les pays les plus avancés?

L’Allemagne, l’Autriche, la Slovaquie.

Que va-t-il se passer dans les États qui ne sont pas prêts?

Dans ces pays, le RGPD s’appliquera dès le 25 mai car c’est une législation directement applicable.

Que va faire la Commission?

Nous allons prendre le temps de vérifier la situation de chaque État pendant toute l’année. Ensuite, nous verrons.

C’est aussi une période intense pour les entreprises…

Ici aussi, nous constatons des différences dans le respect du nouveau règlement.

Qu’est-ce que le RGPD va changer pour les entreprises et leurs utilisateurs?

Nous voulons que les gens reprennent le contrôle de leurs données personnelles. Désormais, les entreprises du net devront informer leurs utilisateurs des objectifs pour lesquels elles prennent leurs données. Elles devront le faire d’une manière que les gens normaux puissent comprendre, et j’entends par là des gens autres que des avocats. Nous attendons que cette information soit en place pour la mi-mai.

En cas de violation des droits rapportée par des utilisateurs, les entreprises auront 72 heures pour rapporter les faits à l’autorité nationale. Par ailleurs, si une entreprise transfert les données d’une personne à une autre entreprise, cet utilisateur doit donner son consentement.

Enfin, le RGPD impose le droit à l’oubli. Si,à l’avenir, je demande à Facebook ou à Google de retirer des informations me concernant parce que je me sens exposée, elles devront être détruites.

Google et Facebook, les plus fréquentés du net, sont-elles prêtes à s’y mettre?

Les géants du net doivent s’attendre à ce que les autorités de protection des données les surveillent de très près. Ceci dit, nous ne voulons pas que ces autorités soient juste des machines à sanctionner, mais qu’elles donnent des avis et aident les entreprises de bonne foi à avancer. Les entreprises à qui je parle me disent qu’elles sont prêtes, mais nous savons que certaines ont besoin de plus de temps.

Les 28 autorités nationales sont-elles prêtes?

Tout le monde ne s’intéresse pas de la même manière à la protection des données. La force d’une autorité nationale dépend de la priorité donnée dans un pays à la protection des données personnelles. Dans les États où les gens ne font pas pression, ne demandent rien, le politique ne suivra pas et n’octroiera pas de budget. Dans certains pays, je dois mettre la pression pour que plus de budget soit dégagé en faveur de l’autorité de protection des données.

À vous entendre, tout le monde n’est pas prêt et la protection des données ne sera pas appliquée de manière harmonisée en Europe…

En tout cas, les règles devront s’appliquer. En tant qu’utilisateur, si vous ne voulez pas que vos données soient en ligne, vous pourrez demander à Google de les détruire. S’il ne s’exécute pas vous pourrez le dénoncer à l’autorité de protection de données.

Que risquent les entreprises?

Des sanctions drastiques. Elles risquent une amende de maximum 4% de leur chiffre d’affaires mondial annuel. Pour les géants mondiaux, ça fera mal.

Ne pensez-vous pas que les géants du net présentent les choses de manière subjective? Sur Facebook, il faut faire beaucoup de clic pour modifier le traitement de nos données…

Les géants du net doivent faire les choses de manière efficace. Les choses doivent être faciles à manipuler. Suite au cas de Cambridge Analytica, les patrons de Facebook Mark Zuckerberg et de Sheryl Sandberg m’ont assuré que les règles européennes sont une excellente solution et qu’ils les appliqueraient partout dans le monde. C’est une bonne chose mais nous voulons d’abord qu’il les applique en Europe.

Croyez-vous que Facebook s’exécutera?

Oui, les utilisateurs européens sont importants pour eux, ils ont un niveau de vie élevé. Ils ont besoin d’eux car leur business model est basé sur la publicité.

Vu la difficulté d’appliquer le RGPD, y aura-t-il une période de "tolérance"?

Sur le plan légal, non. Mais j’en discute beaucoup avec les autorités, et la première année elles devraient être ouvertes pour donner des avis et des orientations car c’est une nouvelle réglementation.

Quelle sera l’étape suivante?

Nous ferons un examen complet de la législation en 2020. Mais déjà dans un an, nous ferons une première analyse de sa mise en œuvre. Les critiques disent que le RGPD ira contre le progrès. J’invite les grandes et les petites entreprises au printemps prochain à une rencontre pour échanger leur expérience sur le RGPD. Je suis certain que cela va démontrer à quel point cette réglementation leur a permis d’évoluer.

Le RGPD offrira-t-il une meilleure protection contre une affaire comme celle de Cambridge Analytica, où des données sont détournées à des fins politiques?

Certainement. L’approche sera désormais la même dans tous les États européens.

La numéro deux de Facebook, Sheryl Sandberg, vous a avoué que le cas de Cambridge Analytica n’est pas isolé. Vous en savez plus?

Ce n’est pas une information qui m’a réjoui. Elle m’a expliqué qu’ils analysaient d’autres applications qui auraient pu abuser des données des utilisateurs et que cela prendrait encore un certain temps. J’ai trouvé sa réponse honnête.

Vos services se penchent-il sur ces applications problématiques?

Nous sommes en lien avec les enquêteurs britanniques, irlandais et américains qui enquêtent sur Facebook et Cambridge Analytica. Nous attendons des autorités nationales des autres États européens qu’elles s’y mettent aussi. Sur les 2,7 millions d’Européens touchés par l’affaire, 1,2 million sont Britanniques. Le reste des victimes se trouve dans les autres États, donc il y a du travail.

Les élections européennes de 2019 seront-elles protégées de toute ingérence?

Le cas de Cambridge Analytica est un coup de semonce. Nous en saurons plus d’ici fin mai. S’il y a eu manipulation des données privées à des fins politiques, nous réagirons.

Je viens d’avoir à l’instant une réunion de la commission des élections. Il en ressort que les médias traditionnels sont surveillés et régulé très étroitement. Par contre, les médias sociaux, c’est une boîte noire. Ils sont hors de notre contrôle. Or la plupart des publicités politiques glissent vers eux. C’est inquiétant car si le cas Cambridge Analytica révèle que l’on peut cibler les individus sur base de leurs données personnelles et les influencer politiquement, alors on a un problème. Et l’on doit penser sérieusement à arrêter ça.

Comment faire?

L’Europe ne peut légiférer dans cette matière. Nous allons pousser les États membres à le faire chacun car c’est un problème qui concerne tous les Européens.

Vous craignez qu’il y ait d’autres Cambridge Analytica?

Ce n’est que la pointe de l’iceberg. Des sociétés utilisent des données privées pour le marketing, mais si la méthode est utilisée en politique c’est plus grave.

Quand nous en direz-vous plus?

Nous publierons une note d’intention dans les mois à venir.

Le RGPD offre-t-il aussi une protection contre l’État?

Les législations de protection des données ne concernent pas uniquement les comportements des entreprises, mais aussi celles des États autoritaires. Dans certains régimes hors de l’UE, le développement du numérique aide des régimes à s’introduire dans la vie privée des gens. C’est aussi ce que nous ne voulons pas en Europe, et le RGPD contribuera à nous en protéger.

Pensez-vous que des États européens se comportent de la sorte?