Le RGPD entré en vigueur le 25 mai 2018 part d’une excellente intention : donner au public plus de contrôle sur ses données. Mais il risque d’avoir un effet contre-productif, voici pourquoi.
L’objectif du règlement général pour la protection des données est de protéger les utilisateurs et leurs données.
Il se compose d’un ensemble de mesures destinées à garantir, entre autres, trois libertés fondamentales :
- Le consentement de l’internaute à la collecte de ses données.
- La portabilité des données.
- Le droit à l’effacement.
L’activité de certaines sociétés, notamment dans le domaine du big data et de l’intelligence artificielle peut être impactée par ces mesures qui peuvent être vues comme un frein à la collecte de données, mais nous ne les remettons pas en question. Ces sociétés peuvent s’adapter en mettant en valeur l’importance de l’éthique de l’IA, et nous pensons de toute façon que les droits individuels doivent primer sur la recherche de profits.
Alors pourquoi le RGPD va-t-il se retourner en un piège sournois tendu au grand public ?
A cause de la bannière de demande de consentement que tout site collectant des cookies a été contraint de mettre en place.
Nous avons vu fleurir ces bannières sur la majorité des sites et avons pris le réflexe de cliquer mécaniquement sur le bouton “J’accepte” sans prendre la peine de lire le contenu des conditions générales dans leur totalité.
La majorité des sites utilisent les données des internautes dans le plus grand respect de ces derniers : Collecte de statistiques anonymes, personnalisation du contenu afin d’améliorer l’expérience utilisateur. Ces sites se retrouvent pollués d’une bannière ennuyante.
Mais le plus grave est que les sites qui souhaitent utiliser les données des utilisateurs de manière moins conventionnelle peuvent utiliser cette même bannière pour légitimer leurs activités. Quel utilisateur prend la peine de lire les conditions générales en détail avant même de parcourir un site ? Cette bannière quasi-systématique banalise l’acte d’acceptation. Or ces sociétés pourront désormais l’utiliser comme fourre-tout et se cacher derrière le fait que vous avez explicitement autorisé le traitement de leurs données.
Rien n’oblige l’internaute à accepter ? C’est vrai..mais l’application de cette bannière semble floue, pour les spécialistes de la protection des données eux mêmes.
Lorsque la question de l’installation d’une bannière sur ActuIA s’est posée, nous avons consulté le site de la CNIL que nous souhaitions alors prendre comme modèle, et dont voici une capture d’écran :
La bannière mise en place par la CNIL ne semble pas mettre en avant la possibilité de l’internaute de refuser la collecte de ses données.
Nous pouvons pourtant lire sur ce même site :
“Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut.
Le consentement est “préalable” à la collecte des données. “
La bannière présente est elle parfaitement compatible avec cette consigne ? Bien que n’étant pas juristes, nous pouvons en douter. Elle permet bien de choisir “d’accepter” ou “personnaliser” (via un bouton au texte blanc sur fond gris) la gestion des cookies. Mais on ne peut pas dire que l’invitation au refus soit particulièrement explicite.
Il ne s’agit pas là d’une critique envers la CNIL pour laquelle nous avons le plus grand respect, mais de la critique d’un flou qui persiste quant à l’application du RGPD. Là où la bannière est sensée proposer un choix libre et éclairé, l’utilisateur est pour le moins influencé.
Au final, l’internaute se retrouve avec un ensemble de sites pollués sur lesquels il est presque forcé d’accepter tout et n’importe quoi, sans savoir clairement à quoi il s’engage. Cette belle initiative de vouloir protéger les internautes se retourne contre eux.
Et si la solution était une acceptation côté navigateur et non pas côté site Internet ? L’utilisateur pourrait définir le type de données qu’il accepte de transmettre pour l’ensemble des sites, tout en définissant des exceptions. Bien sûr, cela nécessiterait une importante mise à jour des navigateurs, mais cela me semble être la seule solution viable sur le long terme.