« Si c'est gratuit, alors c'est vous qui êtes le produit ». En contrepartie de services gratuits, un certain nombre de géants de l'Internet utilisent et vendent les informations personnelles que vous leur donnez sans même vous en rendre compte.

Le 25 mai entrera en vigueur dans toute l'Union européenne le Règlement général [1] sur la protection des données qui définit le cadre normalisé dans lequel les sociétés pourront exploiter les données personnelles en leur possession, que ce soit celles de leurs clients, de leurs fournisseurs ou de leur personnel. Ce règlement s'appliquera également aux sociétés non européennes traitant les données des Européens. Le principe général est simple : chacun doit savoir ce que l'on fait de ses informations personnelles et doit pouvoir s'opposer à leur collecte. Mais l'application par les entreprises sera très complexe et commence à donner des maux de tête aux patrons de petites entreprises qui ne savent pas par quel bout prendre le problème. Par contre, les grandes entreprises trouveront les ressources nécessaires et certaines ont déjà un « délégué à la protection des données » rendu obligatoire pour les sociétés traitant massivement des informations personnelles.

Dans chaque entreprise, il faudra recenser tous les traitements effectués sur les données personnelles, mesurer leur caractère sensible, renseigner un registre reprenant ces traitements, avertir les intéressés des informations les concernant et leur donner les moyens de les récupérer ou de les supprimer. Ce sera une manne pour tous les prestataires qui commencent à offrir leurs services aux chefs d'entreprise désemparés!

Pour les particuliers français, le changement sera moindre car la loi française avait déjà transposé dans un sens très protecteur une directive européenne de 1995.

Les entreprises sont censées informer les particuliers « sous une forme compréhensible et aisément accessible et formulée dans des termes simples » sur la manière dont elles utilisent leurs données personnelles.

Certaines seront considérées comme sensibles et soumises à un cadre plus restrictif comme « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale » mais également « les données génériques [….], biométriques », concernant « la santé ou la vie sexuelle, l'orientation sexuelle ».

Les internautes auront le droit de demander l'effacement (moins radical que le droit à l'oubli) des informations les concernant.

Désormais, la majorité numérique est fixée à 16 ans, âge à partir duquel l'utilisation des réseaux sociaux n'aura plus besoin de l'accord des parents.

D'autre part, les internautes pourront demander le transfert de leurs données (par exemple la liste de ses contacts) d'un fournisseur de services à l'autre.

En cas de vol des informations personnelles, les entreprises devront avertir les internautes en cas de « risque élevé pour les droits et libertés ».

Les personnes qui estimeront que leurs données personnelles ont été utilisées en infraction avec la loi pourront saisir les autorités nationales de protection (telle que la C.N.I.L.- Commission nationale informatique et liberté en France). Les amendes pourront atteindre jusqu'à 4% du chiffre d'affaires annuel mondial, avec un plafond de 20 millions d'euros.

Tout cela n'empêchera pas les géants du Net de collecter, traiter et vendre nos données mais au moins nous en serons informés et pourrons nous y opposer.

[1]Contrairement à une directive qui doit être transposée en droit national par le Parlement, un règlement est directement applicable.