Nous examinons en profondeur ce que sont les données à caractère personnel et comment elles sont collectées.
PUBLICITÉAu début de l'année 2023, les trois principales institutions de l'Union européenne ont interdit TikTok sur les appareils de leur personnel.
Les gouvernements des États-Unis et du Royaume-Uni, ainsi que les pays d'Europe, ont rapidement suivi le mouvement. La raison ? Les inquiétudes croissantes concernant la collecte de données.
Rien qu'en Europe, on estime à 150 millions le nombre d'utilisateurs de TikTok. En échange de l'utilisation de la plateforme, ces utilisateurs fournissent de nombreuses données personnelles. Les gouvernements occidentaux s'inquiètent de plus en plus de la possibilité pour le gouvernement chinois d'accéder à ces données. Bien que Pékin ait réfuté ces accusations, les législateurs restent sceptiques.
Mais TikTok n'est pas le seul à collecter des données, et les problèmes liés à la collecte de données sont apparus bien avant l'essor de la populaire plateforme de médias sociaux. Sur l'ensemble de l'internet, d'énormes quantités de données personnelles peuvent être collectées à partir de l'historique des recherches, des préférences des navigateurs et des informations que nous saisissons.
Nous examinons ici ce que cela signifie pour vous en tant que consommateur numérique et ce que fait l'Union européenne pour protéger vos données.
Qu'est-ce qu'une "donnée personnelle" et comment est-elle collectée ?
Les données à caractère personnel comprennent des détails tels que le nom, l'âge ou l'adresse électronique d'une personne, entre autres, et peuvent être utilisées pour identifier un individu.
Ces données peuvent être rendues "pseudonymes" - ce qui signifie que toutes les données personnelles explicites sont supprimées afin de rendre plus difficile l'identification d'une personne - ou "anonymes" - ce qui signifie que tous les identifiants personnels sont supprimés afin qu'une personne ne puisse plus être identifiée.
Il existe de nombreuses façons de collecter des données en ligne, que ce soit par le biais des adresses IP, des données de navigation, des cookies ou des informations que nous fournissons, lorsque nous remplissons des formulaires.
Nous divulguons également de nombreuses données par le biais des médias sociaux, en "aimant" ou en réagissant à des messages. De telles actions peuvent révéler des données sensibles, sans même que nous nous en rendions compte.
Ce type de données, qui peuvent inclure des éléments tels que l'orientation sexuelle, les données relatives à la santé, les affiliations politiques ou religieuses ou les données révélant la race ou l'appartenance ethnique, est considéré comme sensible parce que leur divulgation peut entraîner du harcèlement, de la discrimination ou même une usurpation d'identité.
Ce sont ces données sensibles qui sont souvent au centre des préoccupations concernant la collecte de données et le danger de fuites potentielles.
Les dangers de la collecte de données
La collecte de données n'est pas un phénomène nouveau. En revanche, la manière dont les données sont collectées en ligne l'est. Aujourd'hui, une quantité sans précédent de données est collectée et stockée. À l'ère du numérique, nos données constituent une part de plus en plus importante de l'économie numérique ; rien que dans l'UE, les données représentent près de 3,6 % du PIB de l'Union et, selon un rapport de l'UE, elles devraient atteindre une valeur d'un peu moins de 1 000 milliards d'euros d'ici à 2030.
Si l'idée de la collecte de données peut sembler quelque peu inquiétante, elle n'a pas que des inconvénients. L'augmentation de la collecte de données personnelles peut avoir d'énormes avantages pour les consommateurs, les données étant utilisées dans tous les domaines, de la banque aux soins de santé. Par exemple, plus les données collectées sur les maladies et les traitements passés des patients sont nombreuses, plus les médecins peuvent comprendre leur état de santé actuel et être en mesure de trouver des solutions.
Bien que bénéfique à bien des égards, la vitesse à laquelle l'économie numérique s'est développée ces dernières années a rendu son contrôle difficile pour les législateurs.
"Les données, c'est le pouvoir. Ce sont simplement les instruments qui donnent accès à beaucoup d'autres droits - l'accès au ciblage des personnes, à la fourniture de contenu, à la censure de certains contenus, à la non-diffusion de certains contenus à certaines personnes, à l'influence sur leur comportement politique", affirme Romain Robert, directeur de programme à l'association européenne NOYB, qui s'occupe des droits numériques.
L'un des exemples les plus tristement célèbres du pouvoir des données a été le scandale Facebook-Cambridge Analytica en 2018, lorsqu'il est apparu que le géant américain des médias sociaux avait facilité la collecte des données personnelles de 87 millions de personnes par le cabinet de conseil politique britannique.
Ces données, collectées sans le consentement des utilisateurs, ont été utilisées par le cabinet pour profiler et cibler les électeurs pour le compte de l'ancien président américain Donald Trump lors de sa campagne présidentielle américaine victorieuse en 2016.
Ce scandale a servi de signal d'alarme pour les décideurs politiques, qui ont pris conscience des dangers potentiels que représente la collecte non réglementée de données, pour la démocratie et les droits de l'homme.
PUBLICITÉRéglementation de la collecte de données dans l'Union européenne
L'UE a introduit le règlement général sur la protection des données (RGPD) en mai 2018, la première grande loi du bloc sur la confidentialité et la sécurité des données pour l'ère numérique moderne. Considéré comme la loi sur la protection de la vie privée la plus stricte au monde, le RGPD est juridiquement contraignant dans les 27 différents États européens. Il s'applique également à toute organisation qui collecte des données sur les citoyens de l'UE, même si elle n'est pas basée dans l'Union.
La protection des données est soulignée dans le RGPD comme un droit fondamental. Les données personnelles doivent donc être protégées et utilisées de manière "loyale et légale", ce qui signifie qu'elles doivent être collectées dans un but précis et avec le consentement de la personne concernée. Une personne a également le droit d'accéder à ses données et de modifier tout ce qui a été enregistré de manière erronée.
Les organisations doivent également respecter sept principes, sous peine de se voir infliger de lourdes amendes. Depuis l'entrée en vigueur de ces règles il y a cinq ans, Google, Amazon et Meta, entre autres, ont tous été condamnés à des millions d'euros d'amende pour infraction. L'amende la plus élevée à ce jour est celle de 746 millions d'euros infligée à Amazon en 2021 pour non-respect du RGPD.
Plus de protection
Bien qu'il s'agisse de la loi sur les données la plus stricte au monde, l'UE a décidé que le RGPD devait aller plus loin. Les décideurs politiques ont donc introduit le paquet de la loi sur les services numériques, qui combine deux lois distinctes : la loi sur les services numériques (DSA) et la loi sur le marché numérique (DMA).
La loi sur les services numériques protégera les utilisateurs en leur donnant plus de contrôle sur ce qu'ils voient en ligne, comme la publicité ciblée, et contribuera à limiter la prolifération de contenus illégaux ou préjudiciables. Le DMA vise davantage à stimuler l'économie numérique en aidant les petites entreprises numériques à rivaliser avec les plus grandes.
PUBLICITÉEn ajoutant ce paquet, l'UE espère renforcer le RGPD, vieux de cinq ans.
Problèmes d'application
Il est toutefois difficile de faire appliquer des lois aussi strictes. Dans les États membres de l'UE, il existe 27 autorités nationales de protection des données (APD) pour chaque pays. Ces autorités travaillent ensemble au sein du Comité européen de la protection des données (CEPD) et sont dirigées par le Contrôleur européen de la protection des données à Bruxelles.
"Il est extrêmement compliqué de faire appliquer le RGPD dans une affaire transnationale impliquant plus de deux ou trois pays. Même la Commission reconnaît que l'application est un problème", explique Romain Robert. Pour remédier à ces lacunes, la Commission européenne prévoit d'introduire de nouvelles règles à l'été 2023.
Cependant, dans l'ensemble, le RGPD a apporté une amélioration considérable à la sécurité des données personnelles dans l'UE. Les entreprises respectant désormais, pour la plupart, les nouvelles règles, les citoyens peuvent être assurés que leurs droits numériques sont mieux protégés que partout ailleurs dans le monde.