Difficile de louper ce petit événement tant les internautes européens y auront été exposés : le 25 mai dernier, le Règlement général sur la protection des données (RGPD) est entré en vigueur, et ce qui devait être une simple formalité légale s’est soudainement muté en véritable tsunami dans les boîtes e-mail.
En effet, dès le 25 mai au matin, des dizaines de millions d’e-mails ont été envoyés aux gentils internautes pour les prévenir d’un changement dans les politiques de gestion de données personnelles de milliers de sites web que, pour la plupart, les gentils internautes en question avaient complètement oubliés.
Et ainsi, sans même savoir exactement ce que ce RGPD s’était fixé comme but, le premier résultat tangible fut un spamming assez historique de millions de boîtes e-mail partout dans le monde.
Ironie du sort : un des buts du RGPD était justement de trouver une parade contre le pourrissement de ces boîtes e-mail par le déversement régulier de ces pourriels (ou « spam ») par d’innombrables sociétés plus ou moins légitimes qui tentent de vous intéresser à leur sort avec une obstination presque comparable à ceux des services fiscaux lorsqu’il s’agit de recouvrement.
Mais avant d’aller plus loin, diable diable, de quoi parle-t-on exactement avec ce RGPD de malheur ?
En substance, il s’agit d’un règlement européen (et non d’une directive, donc sans transposition et directement applicable à la date d’entrée en force) adopté par le Parlement et le Conseil européens le 27 avril 2016, qui définit un nouveau cadre européen pour le traitement et la circulation des données à caractère personnel. Son objectif est de mieux protéger les informations concernant les personnes physiques, d’éviter l’exploitation au détriment des internautes et d’harmoniser le droit européen en la matière. Concrètement, un internaute doit désormais savoir par qui et pourquoi ses données personnelles seront utilisées, combien de temps elles seront conservées et si elles quitteront l’Union européenne. À ceci s’ajoute la possibilité pour l’utilisateur de demander une copie de ces données, voire d’en demander l’effacement si le besoin s’en fait sentir (en vertu du « droit à l’oubli »).
On le comprend, ce règlement n’est pas réellement une simple formalité réglée en affichant un petit message générique en bannière d’un site : compte tenu des amendes possibles (jusqu’à 4% du chiffre d’affaire mondial du contrevenant), certaines entreprises vont devoir engager des frais notables pour la mise en conformité de leur site.
Tout ceci est bel et bon, mais alors que les premiers jours d’applications de ce règlement sont passés, quelques effets délétères se font déjà voir.
Le plus important est, sans nul doute, la réduction de plus de 70% des dépenses de Google auprès de ses annonceurs qui ne seraient pas directement ses clients et dont il ne peut donc garantir qu’ils sont parfaitement en règle face au RGPD. Comme le relate Alexis Vintray dans un récent article sur Contrepoints, Google refuse en effet désormais d’acheter toute impression publicitaire qui fait appel à des outils tiers de contrôle des pages vues, faisant immédiatement chuter le revenu des acteurs européens qui passaient auparavant par le géant américain, au point de mettre certains en difficulté.
Parallèlement, certains sites américains, comprenant n’être pas à jour vis-à-vis de ce règlement, ont choisi de ne plus livrer leurs pages aux Européens pour s’éviter une sanction ruineuse. Des sites comme le Los Angeles Time, le Baltimore Sun ou le Chicago Tribune sont maintenant inaccessibles. Notons aussi le cas Instapaper, le service de sauvegarde d’articles et de contenus en ligne, qui rouvrira peut-être un jour, une fois les adaptations terminées (si jamais elles sont effectivement tentées).
D’autres, encore plus déterminés à ne surtout pas enfreindre la nouvelle loi ni à s’encombrer des surcoûts qu’une telle mise à niveau entraine, se sont décidés à fermer purement et simplement leurs portes. On pourra se reporter à la liste disponible ici, qui pourrait grossir dans les mois qui viennent à mesure que les premières sanctions tomberont.
Bref, on le comprend, tout ceci ne prend pas forcément la tournure que le législateur avait prévu d’autant qu’au final, loin de décourager les grosses entreprises des technologies de l’information de collecter des données sensibles, ces dernières ont plutôt tendance à faire peser tout l’impact de ces lois sur ces utilisateurs et sur le marché européen, plutôt que s’adapter gentiment.
Eh oui : quand un marché (européen en l’occurrence) est plutôt captif d’un autre (américain), un bras de fer entre les deux ne tourne logiquement pas à l’avantage du premier. Ce qui n’empêche pas certains de croire à l’inversion du phénomène avec une foi presque touchante de naïveté :
Si on choisissait de refuser les conditions d’utilisation, un lien nous envoyait directement vers la page de désactivation du compte. C’est clairement un consentement sous la menace d’une conséquence négative, la menace de perdre son compte Twitter. L’utilisateur est forcé et contraint. C’est illégal !
Ainsi, il semble donc à certains que disposer d’un compte Twitter est maintenant un droit inaliénable et que l’entreprise, américaine, va devoir s’adapter aux petits prurits légaux des Européens. Oui oui.
Selon toute vraisemblance cependant, il est plus que probable que les Facebook, Twitter, Google et autre Apple trouvent un compromis praticable entre leurs contraintes, les désiderata du législateur et les besoins des utilisateurs-consommateurs qui, ne l’oublions pas trop vite, sont aussi électeurs.
Sauf à imaginer un réveil subit et en pleine intelligence de Julien Intertube et Emma Viesociale qui leur ferait prendre conscience que leurs données sont sauvagement exploitées par le grand Capital, Facebook, Google et les Reptiliens au point d’attaquer en justice ce beau monde, il est bien plus probable que les enquiquinements, fenêtres surgissantes et rappels réguliers des conditions générales d’utilisation finissent par les lasser au point de demander une révision de la loi : parier, maintenant, sur l’implication des Européens face à leurs données alors qu’ils vont se voir privés de leurs joujoux sociaux, c’est prendre un risque élevé.
Pour s’en convaincre, il suffira d’ailleurs de voir avec quelle décontraction tous ces mêmes Européens ont déjà largement lâché toute velléité d’influer sur le cours de leur propre vie : depuis leur volontaire abandon de certaines libertés fondamentales jusqu’à l’indifférence complète face à la collecte de données la plus complète, fouillée et précise de l’Histoire au travers de tous les organes gouvernementaux, depuis les radars routiers jusqu’aux caméras de surveillance urbaines en passant par la lutte contre la cryptographie à portée de tous ou les recoupements de tous les fichiers étatiques possibles et imaginables, tout a été fait pour que les péchés des GAFA soient, en regard, particulièrement véniels.
Au passage, on s’étonnera très moyennement que les organisations étatiques, parfaitement tentaculaires et à chaque détour de notre vie, qui empilent consciencieusement nos données personnelles les plus intimes (de nos avoirs financiers jusqu’à nos bilans sanguins, nos penchants politiques ou religieux, ou nos participations à tel ou tel mouvement), n’ont pas encore envoyé une salve d’e-mails pour nos demander notre volonté expresse de rester affiliés.
En pratique, le fait que ce RGPD s’applique à tous sauf à l’État en dit beaucoup plus long sur la volonté du législateur à mettre les entreprises privées au pas plutôt que faire rentrer l’État dans un cadre où il soit effectivement au service du citoyen, et non son maître.
L’enfer est pavé de bonnes intentions et ce nouveau règlement en est encore une illustration parfaite : plutôt qu’aider le citoyen, tout montre que cet encombrement légal pénible va très probablement se retourner contre lui. Quant aux entreprises, les plus petites, à commencer par les européennes, en pâtiront directement, laissant le champ libre aux plus grandes, américaine ou chinoises, qui récupèreront facilement les marchés abandonnés.
Bien joué.
> H16 anime le blog Hashtable.