Quelles conséquences pour le consommateur?

Vous recevez des e-mails par dizaines provenant d’entreprises qui se mettent à jour. De quoi prendre conscience qu’elles se sont alignées au Règlement général sur la protection des données (RGPD). Celui-ci a de nombreuses conséquences pour les sociétés, y compris les suisses, qui doivent s’y conformer – faute de quoi, elles encourent d’importantes amendes. Il a aussi des effets pour les consommateurs. Twitter annonce d’ailleurs que «vous avez le dernier mot sur la question de savoir si nous traitons vos données personnelles et de quelle manière». Le point.

CONSENTEMENT EXPLICITE | «Nous aimerions vous envoyer des offres exclusives». Cochez oui ou non, point barre! Fini les tournures qui portent à confusion, fini les cases pré-cochées. Désormais, l’accord est explicite (on parle d’opt-in), sans équivoque, que les entreprises souhaitent vous inscrire à une newsletter, faire de la prospection commerciale, vous créer un compte fidélité, etc. Un achat devrait clairement être possible sans traitement de données, soit sans création d’un profil d’utilisateur, si cela n’est pas nécessaire à sa réalisation.

CONSENTEMENT DES MINEURS | Les risques attachés au traitement des données sont souvent complexes pour les adultes. Alors imaginez pour les enfants! Depuis l’entrée en vigueur du RGPD, le mineur de moins de 16 ans doit avoir l’autorisation de ses parents pour utiliser un réseau social, des jeux vidéo en ligne, des sites de streaming… L’application WhatsApp a par exemple récemment demandé à ses utilisateurs suisses de confirmer qu’ils avaient au moins 16 ans pour qu’ils puissent continuer à envoyer des messages. En cas de violation de cette règle, WhatsApp pourra tout simplement bloquer l’utilisation de ses services. Mais comme il reste difficile de prouver son âge d’un simple clic, la portée de cette mesure reste symbolique.

PORTABILITÉ DES DONNÉES | Données nominatives, de géolocalisation, de consommation, historique personnel, e-mails et toute autre information fournie par l’internaute pourront être récupérés chez un prestataire de service que l’on quitte et transférés gratuitement auprès du nouvel élu. Si vous désirez passer de Yahoo à Gmail, vous devriez pouvoir transférer les e-mails, ainsi que le carnet d’adresses qui y est lié. Mais ne vous réjouissez pas trop vite: en Suisse, le projet de loi – en discussion devant les Chambres fédérales – ne prévoit pas ce droit.

«PRIVACY BY DESIGN» ET «PRIVACY BY DEFAULT» | Pourquoi une application GPS voudrait-elle avoir accès à votre agenda, à vos contacts, à la caméra ou à vos sms? Ces informations n’ont aucun intérêt si ce n’est d’espionner vos données. Dorénavant, la «protection de la vie privée dès la conception» doit être intégrée dans les nouvelles applications technologiques et «la protection de la vie privée par défaut» doit permettre d’obtenir rapidement et facilement le plus haut niveau de protection possible. RÉCLAMATION | Une société trahit la confiance des internautes d’une manière ou d’une autre? Ceux-ci pourront mandater des organisations ou associations à but non lucratif pour introduire une réclamation en leurs noms, ce qui constitue une forme d’action collective. La quadrature du net – association européenne de défense des libertés numériques – a déjà mis en place, pour le 28 mai, une série de procédures collectives envers les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) qui «nous font payer leurs services avec nos libertés».

L’avis de l’expert

«Veillez à refuser tout ce qu’il est possible de refuser» David Raedler, avocat, spécialiste de la protection des données et de la sphère privée

Le consommateur sera confronté à diverses pratiques, que les articles ou les services proviennent d’un marché purement indigène ou à visée internationale.

Le consommateur suisse est-il concerné par le RGPD?

Du moment que le responsable du traitement des données est Européen, oui. Il peut y avoir des cas particuliers, notamment dès lors que la commande est faite à un sous-traitant suisse d’un prestataire européen. La difficulté pour le consommateur, évidemment, est de savoir où est basé le responsable du traitement.

Cela signifie-t-il qu’il peut prétendre aux mêmes droits?

Dès le moment où le RGPD s’applique à lui, le consommateur peut prétendre aux droits qui y sont prévus. Alors que certains sont déjà prévus en droit suisse, par exemple le droit à l’effacement des données, d’autres n’existent qu’en droit européen. C’est le cas notamment du droit à la portabilité, soit le fait de faire transférer ses données de l’entreprise qu’on quitte pour celle chez laquelle on va.

Qu’en est-il si l’entreprise est suisse et que les données sont traitées dans notre pays?

Cela ne change rien pour l’instant, mais seule une minorité est concernée. La Suisse attend que la nouvelle mouture de la Loi sur la protection des données soit sous toit. Ainsi, par exemple, un vol de données n’a pas besoin d’être annoncé dans les 72 heures selon le droit suisse actuel (cas Swisscom divulgué cinq mois plus tard).

Le RGPD impose la mise à disposition d’une information claire, intelligible, accessible. Doit-on tout de même faire attention lorsque l’on coche une case?

Il faut surtout faire attention à refuser tout ce qu’il est possible de refuser. Quitte à revenir sur l’une ou l’autre décision par la suite.

Un dernier conseil?

Demandez l’accès à vos données. Cela vous permet de constater tout ce que les entreprises ont sur vous, à quel point cela va loin, et d’adapter votre comportement en conséquence.