CAIPS a investi beaucoup d’énergie pour soutenir les affiliés dans leur mise en conformité au Règlement Général de Protection des Données (RGPD) avec le projet « Porttic »

Éléments contextuels et réflexions de fond autour d’un premier bilan en demi-teinte dans la mise en œuvre générale de cette réglementation complexe mais essentielle…

Après quatre années de longues et difficiles négociations, le Parlement européen adoptait enfin le Règlement Général de Protection des Données (RGPD) 27 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des États membres de l’Union européenne à compter du 25 mai 2018. Avec le RGPD, l’Europe donnait une priorité à la protection de la vie privée et cherchait à encadrer le business model des géants du net qui avaient transformé les données personnelles en or noir de la nouvelle économie. On se rappellera le récent scandale Facebook-Cambridge Analytica (CA), autour de la récupération et de l’analyse des données de 87 millions d’utilisateurs de Facebook à des fins électorales, ces informations ont servi à influencer les intentions de votes en faveur d’hommes politiques qui ont retenu les services de la société.

La nouvelle règle affirme et défend un principe éthique essentiel : les citoyens ont la pleine propriété de leurs informations privées, elles ne peuvent être exploitées sans leur consentement. A charge pour les entreprises, les administrations, les institutions, les associations, les commerces de mettre en place les dispositifs de contrôle et de protection des données de leurs utilisateurs, clients, membres, patients… Des autorités de contrôle nationales ont été mises en place pour veiller au grain. Deux ans plus tard, il faut bien constater que la plupart des entreprises ne sont toujours pas prêtes, que les autorités de contrôle manquent de moyens, que l’étau se resserre à peine sur les Gafa, avec un tiers à peine des sites web conformes…

Mieux, ou plutôt pis encore, la crise du Covid-19 aurait contribué à estomper la norme. Selon Tanium, une société américaine privée géante dans la cyber-sécurité des systèmes informatiques, en dépit de dizaines de millions investis ces douze derniers mois dans leur sécurité informatique, 91 % des 750 entreprises consultées présenteraient des faiblesses informatiques importantes les rendant vulnérables et potentiellement non conformes. Les cyberattaques se sont multipliées en cette période de confinement. Selon Vade Secure qui protège 600 millions de boîtes mail dans 76 pays, les attaques informatiques (fishing, malwares…) auraient augmenté de 30.000 % depuis janvier 2020. Le télétravail deviendrait un vrai casse-tête en matière de RGPD et une vraie aubaine pour les fraudeurs face aux failles informatiques qu’il contribue à créer.

En deux ans, le RGPD n’a pas provoqué la vague attendue de plaintes dans les 27 pays dont à peine 351 en 2019 en Belgique. En tout, à peine 144 millions d’euros d’amendes ont été infligés en vertu du RGPD dans les pays européens. La plus médiatisée fut celle infligée à Google suite à une plainte de plusieurs associations de défense des consommateurs en France : 50 millions d’euros. En Belgique, Proximus détient le record avec une amende d’à peine 50.000 euros. La palme européenne revient au Royaume-Uni avant Brexit, qui a collé une amende de 204 millions d’euros à British Airways, coupable d’avoir détourné les données personnelles de 500.000 de ses clients.

Les géants de la Silicon Valley s’en sortent ainsi quasiment indemnes, si ce n’est l’amende précitée de l’autorité française à Google. On peut même se demander si leur rôle n’est pas renforcé avec la crise sanitaire. Ainsi, le 10 avril 2020, Google et Apple ont annoncé qu’ils collaboreraient pour élaborer une boîte à outils commune à disposition des gouvernements souhaitant développer une application de traçage. Depuis quelques jours, leur « interface de programmation » (API) serait disponible permettant le déploiement d’une fonctionnalité de « notification d’exposition au Covid ». Des centaines de millions de smartphones dans le monde sont concernés moyennant téléchargement et configuration de l’application. A ce jour, 22 pays comme l’Allemagne, la Suisse, l’Irlande, les Pays-Bas, l’Italie utiliseraient ce système… En Belgique, aucune décision n’aurait encore été prise selon Le Soir du 5 juin.

Mais les choses évoluent lentement… Dans la récente actualité politique, l’Autorité de protection des données (APD) s’est signalée par une vigilance et une fermeté à protéger la vie privée des citoyens face à des dérives des décideurs politiques ou de l’administration publique. Pour le tracing des personnes atteintes du covid-19, l’APD a su se faire entendre et faire plier les politiques. Un texte de loi devait être voté prévoyant que les données de santé de patients suspects ou présentant un diagnostic positif devaient être récoltées et traitées dans une banque de données gérée par Sciensano ; les données des personnes ayant été en contact avec ces patients étaient aussi concernées. La proposition de loi initiée par le cabinet de Philippe De Backer (Open Vld) et défendue par Sciensano posait question à de nombreux démocrates : sécurité, anonymisation, non-respect du secret médical, infraction au RGPD, centralisation non justifiée, les réserves ne manquaient pas. L’Autorité de protection des données (APD) a donné de la voix dénonçant la centralisation des données dans une énorme base de données : « la création d’une base de données centralisée, en particulier lorsque celle-ci reprend des données sensibles, provenant de sources diverses et qu’elle poursuit plusieurs finalités distinctes, constitue une ingérence importante dans le droit à la protection des données à caractère personnel ». Son intervention a permis le retrait du texte en l’état.

Quelques jours plus tard, la même Autorité de protection des données annonçait le jeudi 4 juin qu’elle avait « ordonné au SPF de suspendre l’accès à son application Fisconetplus au travers d’un compte Microsoft ». Sa motivation reposait sur le fait que le fisc cédait à la firme américaine des données de connexion telles adresses de messagerie, mots de passe, historiques des sites visités, soit un vrai détournement des données privées. Par communiqué, le président de l’ADP annonçait ne pas en rester là : « L’APD est prête à montrer ses dents. Cette première mesure provisoire est un signal que nous ne transigerons pas sur la protection des données personnelles des citoyens. Les autorités publiques et la protection de la vie privée en ligne sont deux de nos priorités 2020-2025. On attend d’une autorité publique qu’elle joue un rôle exemplaire en matière de protection des données des citoyens ». Chiche ?

On le voit, le bilan de deux années de mise en œuvre est à tout le moins en demi-teinte, c’est sans doute dû en partie à la complexité de la matière… On en sait quelque chose à CAIPS avec notre action « Porttic ». Protéger les données n’est pas simple et comporte des contraintes lourdes, mais l’enjeu est essentiel et profondément démocratique. Nous nous devons de contribuer à relever et gagner ce défi. Comme le rappelle judicieusement la Commission, « La protection des données à caractère personnel est un droit fondamental dans l’Union européenne ».

Faire de l’éducation au numérique et de la protection des données reste plus que jamais un impératif démocratique et citoyen auquel votre fédération s’emploie à répondre… Découvrir notre nouveau site « Porttic » est un premier pas à faire dans la mise en conformité de votre service et la protection des données de vos stagiaires, travailleurs, partenaires ou clients.