Nous examinons en profondeur ce que sont les données personnelles et comment elles sont collectées.
Début 2023, les trois principales institutions de l’Union européenne ont interdit TikTok sur les appareils du personnel.
Les gouvernements des États-Unis au Royaume-Uni – et des pays à travers l’Europe – ont rapidement emboîté le pas. La raison? Préoccupations croissantes concernant la collecte de données.
Rien qu’en Europe, on estime à 150 millions le nombre d’utilisateurs de TikTok. En échange de l’utilisation de la plateforme, ces utilisateurs fournissent de nombreuses données personnelles. Les gouvernements occidentaux s’inquiètent de plus en plus de la possibilité que le gouvernement chinois accède à ces données. Bien que Pékin ait réfuté les accusations, les législateurs restent sceptiques.
Mais ce n’est pas seulement TikTok qui collecte des données – et les problèmes de collecte de données sont arrivés bien avant la montée en puissance de la plate-forme de médias sociaux populaire. Partout sur Internet, d’énormes quantités de données personnelles des consommateurs peuvent être récoltées à partir de notre historique de recherche, des préférences de notre navigateur et des informations que nous saisissons.
Nous examinons ici ce que cela signifie pour vous en tant que consommateur numérique et ce que fait l’Union européenne pour protéger vos données.
Qu’est-ce que les « données personnelles » et comment sont-elles collectées ?
Les données personnelles comprennent des détails tels que le nom, l’âge ou l’adresse e-mail d’une personne, entre autres, et peuvent être utilisées pour identifier une personne.
Ces données peuvent être rendues « pseudonymes » – ce qui signifie que toutes les données personnelles explicites sont supprimées pour rendre plus difficile l’identification d’une personne – ou « anonymes » – lorsque tous les identifiants personnels sont supprimés afin qu’un individu ne puisse plus être identifié.
Il existe de nombreuses façons de collecter des données en ligne, que ce soit par le biais d’adresses IP, de données de navigation, de cookies ou d’informations que nous fournissons lorsque nous remplissons des formulaires.
Nous donnons également beaucoup de données via les médias sociaux, en « aimant » ou en réagissant aux publications. De telles actions peuvent révéler des données sensibles, sans même que nous nous en rendions compte.
Ce type de données, qui peuvent inclure des éléments tels que votre orientation sexuelle, des données sur la santé, des affiliations politiques ou religieuses ou des données qui révèlent votre race ou votre origine ethnique, est considérée comme sensible car la révéler peut entraîner du harcèlement, de la discrimination ou même un vol d’identité.
Ce sont ces données sensibles qui sont souvent au centre des préoccupations concernant la collecte de données et le danger de fuites potentielles.
Les dangers de la collecte de données
La collecte de données n’a rien de nouveau. Cependant, la manière dont les données sont collectées en ligne l’est. Aujourd’hui, une quantité sans précédent de données est collectée et stockée. À l’ère du numérique, nos données constituent une part de plus en plus importante de l’économie numérique ; dans la seule UE, les données représentent près de 3,6 % du PIB du bloc et, selon un rapport de l’UE, devraient atteindre une valeur d’un peu moins de 1 000 milliards d’euros d’ici 2030.
Bien que l’idée de la collecte de données puisse sembler quelque peu inquiétante, tout n’est pas mauvais. L’augmentation de la collecte de données personnelles peut avoir d’énormes avantages pour les consommateurs, les données étant utilisées pour tout, de la banque aux soins de santé. Par exemple, plus les données collectées sur les maladies et les traitements antérieurs des patients sont nombreuses, plus les médecins peuvent comprendre leur état de santé maintenant et être en mesure de trouver des solutions.
Bien que bénéfique à bien des égards, la vitesse à laquelle l’économie numérique s’est développée ces dernières années a rendu son contrôle difficile pour les législateurs.
« Les données, c’est le pouvoir. Ce sont juste les instruments qui donnent (un) accès à beaucoup d’autres droits – l’accès à des personnes cibles, à fournir du contenu, à censurer certains contenus, à ne pas montrer de contenu à certaines personnes, à influencer leur comportement politique », explique Romain Robert, directeur de programme à l’association européenne de droits numériques NOYB.
L’un des exemples les plus tristement célèbres du pouvoir des données a été le scandale Facebook-Cambridge Analytica de 2018, lorsqu’il est apparu que le géant américain des médias sociaux avait facilité la collecte des données personnelles de jusqu’à 87 millions de personnes par la société britannique de conseil politique.
Ces données, qui ont été collectées sans le consentement des utilisateurs, ont été utilisées par l’entreprise pour profiler et cibler les électeurs au nom de l’ancien président américain Donald Trump lors de sa campagne présidentielle américaine réussie en 2016.
Le scandale a servi de signal d’alarme aux décideurs politiques qui ont réalisé les dangers potentiels posés à la démocratie et aux droits de l’homme par la collecte de données non réglementée.
Réglementer la collecte de données dans l’Union européenne
L’UE a introduit le Règlement général sur la protection des données (RGPD) en mai 2018, la première loi majeure sur la confidentialité et la sécurité des données du bloc à l’ère numérique moderne. Considérée comme la loi sur la protection de la vie privée la plus stricte au monde, la GDPR est juridiquement contraignante dans les 27 États européens différents. Cela s’applique également à toute organisation qui collecte des données sur les citoyens de l’UE, même si elle n’est pas basée dans l’Union.
La protection des données est soulignée dans le RGPD comme un droit fondamental. Les données personnelles doivent donc être protégées et utilisées de manière « loyale et légale », c’est-à-dire qu’elles doivent être collectées dans un but précis et avec le consentement de la personne concernée. Un sujet a également le droit d’accéder à ses données et de modifier tout ce qui est enregistré à tort.
Les organisations doivent également s’en tenir à sept principes ou risquer de payer d’énormes amendes. Depuis l’entrée en vigueur des règles il y a cinq ans, Google, Amazon et Meta, entre autres, ont tous été condamnés à des amendes de plusieurs millions pour des infractions. Le plus important à ce jour était les 746 millions d’euros d’Amazon en 2021 pour non-respect du RGPD.
Plus de protection
Bien qu’il s’agisse de la loi sur les données la plus stricte au monde, l’UE a décidé que le RGPD devait aller plus loin. Les décideurs politiques ont maintenant introduit le paquet de la loi sur les services numériques, qui combine deux lois distinctes : la loi sur les services numériques (DSA) et la loi sur le marché numérique (DMA).
Le DSA protégera les utilisateurs en leur donnant plus de contrôle sur ce qu’ils voient en ligne, comme la publicité ciblée, et contribuera à limiter la prolifération de contenus illégaux ou préjudiciables. La DMA se concentre davantage sur la dynamisation de l’économie numérique en aidant les petites entreprises numériques à concurrencer les plus grandes.
En ajoutant le paquet, l’UE espère renforcer le GDPR, qui a maintenant cinq ans.
Problèmes d’application
Cependant, il est difficile d’appliquer des lois aussi strictes. Dans les États de l’UE, il existe 27 autorités nationales de protection des données (APD) pour chaque pays. Les DPA travaillent ensemble au sein du comité européen de la protection des données (EDPB) et sont gérés par le contrôleur européen de la protection des données à Bruxelles.
« C’est super compliqué d’appliquer le RGPD dans un cas international impliquant plus de deux ou trois pays. Même la Commission reconnaît que l’application est un problème », déclare Robert. Pour remédier à ces failles, la Commission européenne introduit de nouvelles règles à l’été 2023.
Pourtant, dans l’ensemble, le RGPD a considérablement amélioré la sécurité des données personnelles dans l’UE. Les entreprises respectant désormais – pour la plupart – les nouvelles règles, les citoyens peuvent être assurés que leurs droits numériques sont mieux protégés que partout ailleurs dans le monde.