Comment l’Europe protégera vos données personnelles

À moins de se passer d’Internet, impossible d’y avoir échappé. Ces dernières semaines, nos boîtes aux lettres électroniques débordent de messages d’apparence identique : « Mise à jour de nos conditions d’utilisation », « Information sur la protection de vos données », « Amélioration de nos conditions de confidentialité ». L’intitulé peut varier, le même sigle revient en permanence : RGPD.

Longuement négocié de 2012 à 2016, le règlement général sur la protection des données (RGPD, donc) vient d’entrer cette nuit en application. Et pas seulement dans l’Union européenne, où il remplace une mosaïque de législations nationales, et fait passer la vieille directive de 1995 à la trappe. Proclamant ouvertement dès son article 3 son caractère extraterritorial, ce texte a vocation à s’appliquer au monde entier. Peu importe qu’elle soit belge, américaine ou chinoise : toute entreprise ou organisation qui veut s’adresser aux résidents de l’Union européenne devra désormais respecter les principes du RGPD.

Des sanctions dissuasives

Ces derniers gravent dans le marbre toute une série de « bonnes pratiques » à respecter en matière de collecte et de traitement des données. Pas question, par exemple, de recueillir des informations qui ne seraient pas justifiées par l’usage qu’on souhaite en faire.
Pour cela, le RGPD impose à tous les organismes amenés à traiter des données personnelles (ne serait-ce que la liste de leurs salariés) des obligations plus ou moins contraignantes. Surtout, le texte donne au citoyen les moyens de faire respecter ses nouveaux droits. Terminées, les amendes symboliques : elles peuvent désormais grimper jusqu’à 4 % du chiffre d’affaires mondial. Autant dire quelques milliards d’euros, à l’échelle d’une multinationale comme Google.

Du reste, les grands groupes américains n’ont guère hésité avant de se mettre en conformité. C’était ça, ou se couper d’un marché de plus de 500 millions d’Européens, disposant de revenus parmi les plus élevés au monde. Dans la Silicon Valley, le calcul a été instantané. Google, Facebook, Amazon, WhatsApp, Apple : tous viennent de mettre à jour leurs conditions d’utilisation, afin de rentrer dans les clous de l’UE.

Microsoft donne l’exemple

Le RGPD va-t-il s’imposer comme un standard mondial ? C’était l’ambition de ses promoteurs, et cela semble bien parti : lundi, Microsoft a annoncé étendre au monde entier le bénéfice des dispositions du RGPD.
D’autres entreprises pourraient venir l’imiter. Depuis les révélations d’Edward Snowden et le scandale Cambridge Analytica (*), la protection de leurs données est devenue une préoccupation majeure pour des millions d’internautes, de New York à New Delhi – et donc un argument commercial. Pour une entreprise mondialisée, il est compliqué d’expliquer à ses clients japonais ou américains qu’ils n’ont pas les mêmes droits sur leurs données qu’un résident français ou italien…