L’Union européenne vers un affaiblissement de la protection des données personnelles ?

Obtenir moins de données personnelles de ses utilisateurs et avoir un modèle économique un peu moins performant ou enfreindre délibérément la loi ? Certaines entreprises se confrontent parfois à ce dilemme. Angelynn Meya en sait quelque chose. L’avocate au barreau de Paris et aux Etats-Unis, associée d’Operandi.Law, a livré au public du colloque « Droits des affaires et droits humains », organisé par l’école de commerce ESLSCA Paris le 5 décembre dernier, l’exemple récent et emblématique de l’un de ses clients.

L’entreprise française en question avait levé plusieurs dizaines de millions d’euros pour mettre en place de nouvelles fonctionnalités d’intelligence artificielle sur sa plateforme numérique. Elle souhaitait en suivre plus finement l’usage. Elle a donc installé des traceurs permettant de suivre les moindres mouvements des internautes, jusqu’au déplacement du curseur à l’écran, reliés directement à son logiciel de gestion de la relation client. « C’était très efficace. Le but était plutôt positif : améliorer le produit et réduire le churn, c’est-à-dire le nombre de personnes qui cessent d’utiliser le produit », reconnait l’avocate.

À lire aussi : Encadrement de l’industrie du Net : comment l’action européenne et française tente de réguler les plateformes ?

L’entreprise a consulté le cabinet d’Angelynn Meya une fois ces mécanismes déployés, en assurant qu’ils lui étaient fondamentaux. Or, « la directive e-privacy oblige, en cas de cookies (NDLR : traceurs qui servent aux mesures d’audience et aux statistiques d’utilisation) sur un site web qui copient des données sur un fichier, à demander le consentement ». Et le règlement européen sur la protection des données (RGPD) « dit que le consentement doit être lucide, clair, compréhensible. Ce traitement de données là, c’était de la surveillance qui nécessitait le consentement ».

Une « violation totale du RGPD »

Le cabinet d’avocats a donc rappelé les fondamentaux : le droit à la vie privée des internautes et le droit à la protection de leurs données personnelles. A évoqué les récentes amendes infligées par la Cnil, la Commission nationale de l’informatique et des libertés, pour dépôt des cookies sans consentement, parfois malgré le refus ou en assurant à tort que certains cookies étaient obligatoires : 750 000 euros à Condé Nast (l’éditeur de Vanity Fair), 1,5 million à American Express, 150 millions à Shein.

La meilleure solution était de lister tous les cookies utilisés et de faire apparaître un bandeau sur le site, permettant à l’internaute de les accepter ou les refuser en bloc ou un par un, explique l’avocate. « Mais la société était inquiète. Elle nous a dit qu’elle avait fait des statistiques, et que si elle mettait les cookies correctement en place, elle allait perdre au moins 50 % des utilisateurs ». Pour Angelynn Meya, cela illustre « en pratique cette tension » entre efficacité économique et respect des droits des internautes.

« Pour le PDG, c’était un vrai problème. Les équipes commerciales et de développement produit voulaient absolument garder les données. Le responsable juridique ne voulait pas prendre de risques ». Finalement, l’entreprise choisira de continuer à recueillir et exploiter les données de ses utilisateurs, en signalant les traceurs comme des cookies essentiels. Une « violation totale du RGPD ». Mais la décision pourrait être revue, notamment face aux risques réputationnels, et de désengagement des investisseurs.

L’UE longtemps cheffe de file de la protection des données

Pour l’avocate, cette tension entre respect des données personnelles et business se retrouve au niveau des institutions européennes. Pendant longtemps, l’UE a été cheffe de file de la protection des données, souhaitant en précurseure dès 2015 « un traitement responsable des données à caractère personnel » et « un esprit critique sur les technologies et les modèles commerciaux fondés sur les données », selon le contrôleur de la protection des données de l’époque. Le RGPD, voté en 2016 et qui a commencé à s’appliquer en 2018, a été un modèle pour d’autres pays.

À lire aussi : Au Grenelle du droit, l’IA dépeinte comme le futur de la filière juridique

Mais « beaucoup de personnes très actives en protection des données ont des problèmes avec la simplification » prévue dans le projet Omnibus numérique, assure Angelynn Meya. Cette réforme, dont la Commission européenne à présenter les contours en novembre dernier, prévoit de simplifier, au nom de la compétitivité, des textes qui encadrent les activités numériques (intelligence artificielle, cybersécurité, données…).

Parmi les propositions, la mesure qui vise à ne plus redemander pendant six mois le consentement d’un internaute qui aurait refusé les cookies, ainsi que la possibilité d’indiquer directement dans le navigateur le refus de tous les cookies est à saluer, estime l’avocate. « Mais certaines choses sont plus discutables. Par exemple, pour les cookies « low risk » (NDLR : à faible risque), il n’y aurait pas besoin de demander le consentement explicite. Mais, que veut dire « low risk » ? Je ne sais pas ». Selon elle, « il y a aujourd’hui un changement de philosophie, une tendance à vouloir devenir compétitifs, à permettre aux sociétés innovantes, notamment celles qui utilisent l’IA, de ne pas respecter toutes ces réglementations ».