Les Suisses sont tous concernés par l’entrée en vigueur, le 25 mai, du Règlement général sur la protection des données. Ils seront mieux protégés sur internet et pourront faire valoir davantage de droits auprès de centaines de milliers de fournisseurs de services, tant américains, européens que suisses.
Quel est le point commun entre le FC Barcelone, l’aéroport de London City et l’éditeur de photos en ligne américain Pixlr? Les trois ont écrit, ces derniers jours, à des internautes suisses pour leur demander s’ils veulent rester dans leur base de données. Si les internautes ne le confirment pas d’un clic, toutes leurs informations seront effacées. C’est un exemple concret de l’application directe, ce 25 mai, du Règlement général sur la protection des données (RGPD). Cette loi a été élaborée par l’Union européenne mais concerne de très près tous les internautes suisses.
Les Suisses sont d’autant plus visés par le RGPD que des entreprises helvétiques comme Logitech, le service de mesures sportives Datasport ou encore l’IMD de Lausanne ont envoyé des courriels similaires à leurs contacts. Une preuve supplémentaire que ce règlement touche tous les Suisses. En parallèle, Google, Facebook ou WhatsApp ont modifié leurs conditions générales, qui s’appliquent de la même façon pour les Européens et, encore, les Suisses.
Le Temps a sélectionné les points les plus importants de ce règlement pour les internautes et les a analysés avec l’expertise de Jean-Philippe Walter, suppléant du préposé fédéral à la protection des données et à la transparence, et Michel Jaccard et Lê-Binh Hoang, de l’étude spécialisée Id Est avocats à Lausanne, qui accompagnent des dizaines d’entreprises dans des programmes de mise en conformité avec la nouvelle réglementation.
Une récolte minimale de données
Dès le 25 mai, les entreprises ne doivent récolter qu’un minimum de données utiles sur leurs clients. Une société qui vend par exemple des parfums via internet n’a besoin de connaître ni le numéro de téléphone de ses clients, ni leur nombre d’enfants. L’expéditeur d’une newsletter n’a pas non plus, a priori, à savoir votre âge ou votre sexe. Mais voilà, le RGPD ne précise pas quelles sont ces données minimales à récolter. «Le responsable de traitement doit déterminer si et quelles données personnelles sont nécessaires pour atteindre le but qu’il poursuit et il doit être en mesure de démontrer que ces données sont vraiment nécessaires», explique Jean-Philippe Walter.
Selon le spécialiste, le prestataire «doit effacer les données qui ne sont plus nécessaires», et il est possible qu’à l’avenir les fournisseurs de services demandent moins d’informations. L’internaute doit donc faire confiance au prestataire du service. Mais il peut aussi le questionner. «Il ne pourra être sûr de rien sans être un minimum proactif, notamment en faisant valoir son droit à une information transparente aux finalités des traitements, et son droit d’accès et de rectification de ses données personnelles», explique Michel Jaccard. Le RGPD prévoit en effet clairement le droit de demander des comptes à son prestataire, et de télécharger facilement l’ensemble des données qu’il possède sur lui.
Facebook, Twitter ou encore Instagram permettent ainsi de télécharger plus facilement un fichier regroupant l’ensemble des données envoyées sur leurs serveurs. Toutes ces sociétés modifient actuellement leurs conditions générales, mais, d’après Jean-Philippe Walter, «selon une première analyse, elles ne sont pas suffisamment claires. Nos collègues européens vont examiner ces clauses dans le détail.»
Un droit à l’oubli… tout relatif
Le RGPD stipule noir sur blanc qu’un prestataire de services doit, si un client le demande, effacer toutes les données qu’il possède sur lui. Là encore, peut-on lui faire confiance? «Il devra le faire s’il n’a pas de motif légitime prépondérant justifiant la conservation des données», estime Jean-Philippe Walter, qui précise que «la loi sur la protection suisse actuelle permet déjà à un internaute de demander à un responsable de traitement d’effacer les données le concernant».
Mais attention, avertit Lê-Binh Hoang, «l’application de ce droit est moins évidente qu’il n’y paraît et dépend beaucoup des circonstances et de la volonté des plateformes majeures de le respecter et de leur collaboration active… ce qui est loin d’être acquis pour l’instant». L’avocat espère qu’«avec le bruit médiatique fait autour du RGPD, les gens en seront plus conscients et proactifs pour faire valoir leurs droits et ainsi contraindre les entreprises suisses à le respecter».
Quant au déréférencement des moteurs de recherche, «il n’est pas prévu dans notre loi, mais Google a déclaré à la suite de l’arrêt de la Cour de justice de l’Union européenne qu’il appliquerait la même procédure à des demandes d’internautes suisses», précise Jean-Philippe Walter.
Un consentement mieux demandé
En théorie, le RGPD impose aux entreprises de demander clairement à l’internaute le droit d’utiliser son adresse e-mail, comme le font actuellement le FC Barcelone ou Logitech. «Selon une lecture stricte du règlement, l’approche opt-out, en matière de consentement, devrait disparaître», estime Michel Jaccard. Ainsi, il n’y aura plus de consentement passif (opt-out) de l’internaute, mais celui-ci devra lui-même, volontairement (opt-in) s’inscrire à un service ou donner son adresse email.
Une portabilité des données à tester
Avec le nouveau règlement, il sera possible de prendre toutes ses données personnelles chez un prestataire pour les utiliser chez un autre. «Par exemple, un consommateur qui veut changer d’opérateur téléphonique pourra recevoir les données qu’il a transmises lors de la conclusion de son abonnement pour les transmettre aux nouveaux opérateurs», indique Jean-Philippe Walter. Attention, au vu du projet de nouvelle loi suisse sur les données, la portabilité ne sera pas imposée aux entreprises helvétiques.
Du coup, peut-on imaginer pouvoir passer facilement de Google Drive à Dropbox ou d’Apple Music à Spotify, en transférant d’un clic toutes ses données? «Selon l’avis des autorités européennes de protection des données, les titres des livres achetés par une personne sur une librairie en ligne ou les chansons écoutées via un service de diffusion en flux de musique sont des exemples de données à caractère personnel, poursuit Jean-Philippe Walter. Ces données relèvent généralement du champ d’application de la portabilité des données, parce qu’elles sont traitées sur la base de l’exécution d’un contrat auquel la personne concernée est partie.»
Sur ce point, Lê-Binh Hoang est plus nuancé: «Il y a de nombreuses exceptions. Par exemple pour les fichiers musicaux, pris de manière isolée, il ne s’agit pas au sens strict de données personnelles, qui identifient ou rendent identifiable une personne. Leur portabilité ne semblerait pas assurée.»
Des âges minimums symboliques
Récemment, WhatsApp justifiait l’instauration d’un âge minimum de 16 ans pour être utilisé – tant en Europe qu’en Suisse – par le RGPD. «Son article 8 ne fixe pas véritablement de majorité numérique, mais fixe l’âge présumé à partir duquel le mineur est capable de comprendre la portée de ses actes et s’engager», explique Michel Jaccard. Pour Jean-Philippe Walter, «cette mesure paraît difficile à contrôler et risque bien d’avoir un caractère plutôt symbolique. Il serait préférable de travailler sur l’éducation à l’utilisation de ces outils.»
Michel Jaccard précise que les limites minimales pour utiliser des services sont toutes relatives, chaque pays pouvant fixer, service par service, un âge minimum de 13 ans. «En outre, les entreprises n’ont qu’une obligation d’efforts raisonnables de vérification de la qualité du consentement donné», poursuit l’avocat.
Des actions collectives pour la Suisse
Autre nouveauté: la possibilité d’intenter, en justice, des actions de groupe (class actions) contre une société qui aurait trahi la confiance d’internautes. Et ce sera aussi possible pour les internautes suisses. «La loi suisse ne prévoit pas de class actions, une action collective d’internautes suisses ne pourrait s’effectuer qu’à l’égard d’entreprises européennes», précise Jean-Philippe Walter.
Lê-Binh Hoang précise que l’article 80 du RGPD prévoit qu’une action collective pourrait être ouverte à un citoyen suisse, aux conditions que l’organisation ou l’association qui l’intente ait été formée selon le droit d’un pays membre de l’Union européenne et ait, selon ses statuts, un but d’intérêt public, et qu’elle soit active dans le cadre de la protection des données personnelles. «Mais les Etats membres pourraient par exemple décider d’ouvrir ce droit à une association suisse et par conséquent à des citoyens suisses concernés», poursuit l’avocat.
Des entreprises suisses concernées
Si une société suisse ne compte que des clients en Suisse, elle n’a pas besoin de se conformer au RGPD. Mais cela ne concernerait que 20% des entreprises suisses. «Les sociétés se sentent d’abord un peu déboussolées face à ce règlement, mais elles prennent en général au sérieux la conformité avec le RGPD et la future loi suisse sur les données personnelles», affirme Michel Jaccard. La loi helvétique actuelle, qui date de 1992, est en cours de révision: elle devrait fortement s’inspirer du RGPD mais n’entrera pas en vigueur avant un ou deux ans.
De son côté, Jean-Philippe Walter affirme que «certaines entreprises suisses prennent aujourd’hui leurs dispositions pour être conformes au RGPD.» Il espère que ces sociétés assureront «la même protection et les mêmes droits à toutes les personnes dont elles traitent des données, qu’elles résident en Suisse ou dans un pays de l’Union européenne». Mais ce n’est pas une obligation.
Qu’en est-il, par exemple, de Swisscom? L’opérateur affirme qu’il ne va pas changer ses conditions générales, mais que son objectif, d’ici au 25 mai, «est de s’aligner le plus possible sur les exigences du RGPD et de pouvoir en apporter la preuve sur demande». Au client, en cas de souci ou de question, de faire valoir ses droits auprès de l’opérateur.
Source : LeTemps.ch