Le RGPD protège bien les citoyens européens

L’actualité de ces dernières semaines nous apporte plusieurs témoignages de l’effet bénéfique du RGPD pour les Internautes européens, notamment face aux usages de sociétés d’Amérique du Nord.

Le RGPD (Règlement Général de Protection des Données) est un règlement européen entré en application le 25 mai 2018. Il renforce et uniformise au niveau européen la loi « Informatique et Libertés » en vigueur jusqu’à cette date, en imposant notamment de pouvoir justifier d’un traitement des données personnelles conforme à ce règlement.

Et c’est sur ce point qu’un producteur canadien de film a été débouté, par le TGI de Paris le 2 aout 2019, de sa demande de divulgation des coordonnées des titulaires des abonnements Internet associés aux adresses IP qu’il avait capturé.

En effet, l’adresse IP étant assimilée à une donnée personnelle par la CNIL, son traitement aurait dû être encadré conformément au RGPD : le responsable de traitement, Mile High Distribution, qui est établi en dehors de l’UE, aurait dû désigner un représentant européen. Il aurait également dû tenir un registre des traitements dans lequel cette liste d’adresses IP aurait dû apparaître. Il n’a pas davantage désigné un délégué à la protection des données (DPO) du fait qu’il collecte à grande échelle des données d’infraction. Par ailleurs, le tribunal constate qu’en raison du transfert des données vers un pays extérieur à l’UE, il aurait dû prévoir un encadrement juridique spécifique.

Un autre aspect du RGPD est la menace de sanctions financières très importantes en cas de manquement avéré : jusqu’à 20 millions d’euros (ou 4% du Chiffre d’Affaires mondial si ce montant est plus élevé).

C’est probablement ce qui a permis à une journaliste de Numérama de faire la lumière sur l’origine des publicités ciblées via ses propres données personnelles sur Facebook… en provenance d’entreprises avec laquelle elle n’entretenait pourtant aucune relation.

A l’issue d’une longue enquête de février à aout 2019, cette journaliste a réussi à comprendre le chemin pris par ses données personnelles, sans toutefois réussir à exercer ses droits d’accès auprès de 15 entreprises concernées. Son enquête a quand même permis de mettre sur le devant de la scène l’entreprise américaine LIVERAMP, qui a été contrainte d’accéder à la demande de la journaliste.

Werner KLINGER
Ingénieur Conseil Web & NTIC.