La Cour de Justice de l’Union européenne a mis un brutal coup d’arrêt aux transferts de données vers les États-Unis. De leur côté, les autorités de protection des données redoublent de vigilance et appliquent des sanctions de plus en plus sévères. Les cyberattaques se multiplient et appellent de nouvelles réponses. La préservation de nos libertés passe par la maîtrise des données personnelles de chaque individu.
Le réveil de l’Europe
L’Europe vient de franchir une nouvelle étape en matière de protection des données. Le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le "Privacy Shield", un mécanisme qui permettait aux entreprises de transférer des données de l’Europe vers les États-Unis. Dans le cadre de l’arrêt SCHREMS II, elle a jugé que la protection offerte par les entreprises américaines à leurs clients européens pour importer leurs données aux États-Unis n’était pas suffisante.
Près de 3000 groupes américains qui utilisaient le "Privacy Shield" pour transférer des données entre l’Europe et les États-Unis ne peuvent théoriquement plus s’en servir. La portée de cet arrêt est énorme dans la mesure où beaucoup d’entreprises européennes sont dépendantes des services fournis par les géants américains, notamment depuis l’essor du Cloud Computing. Or, à quelques exceptions près, les entreprises américaines et européennes n’ont pas intégré cette décision.
Depuis plusieurs années, l’ONG NOYB ("None of your business", c’est-à-dire "Ce ne sont pas vos affaires") multiplie les procédures judiciaires dans le but de faire respecter le droit de la vie privée des Européens sur Internet. Suite à l’arrêt SCHREMS II, NOYB a déposé 101 plaintes contre des entreprises de 30 États de l’Espace Économique Européen qui transmettent encore des données sur chaque visiteur à Google et Facebook.
Le bilan du RGPD deux ans et demi après sa mise en œuvre
La collecte des données personnelles n’a jamais été aussi importante. L’état d’exception décrété à l’occasion de la crise du Covid-19 le 17 mars 2020, marque un recul des libertés individuelles. Sous couvert de protection de la santé, les solutions mises en place pour capter des informations sur les citoyens se sont multipliées. Le télétravail a également permis le contrôle à distance des collaborateurs. Il existe désormais un risque de contrôle permanent pour les citoyens.
Les entreprises savent que la non-conformité au RGPD est un risque à prendre au sérieux. Elles ont une responsabilité concernant la collecte et le traitement des données. Les autorités de protection des données redoublent de vigilance et prononcent des sanctions de plus en plus sévères. Depuis l’entrée en vigueur du RGPD le 25 mai 2018, pas moins de 388 sanctions ont été prononcées en Europe pour un montant de 344 millions d’euros.
L’Europe a donné l’exemple en matière de protection des données avec le RGPD. De nombreux pays ont mis en place des règlementations, dont l’une des vertus est de sensibiliser les opinions publiques à l’utilisation qui peut être faite de leurs données. En effet, les citoyens sont soucieux de leur liberté mais ils utilisent frénétiquement les services proposés par les géants du numérique en raison d’une mauvaise perception des risques.
La réponse aux besoins de cybersécurité
La crise du Covid a fortement accru les attaques informatiques. Les cybercriminels exploitent la vulnérabilité de beaucoup d’organisations pour multiplier les actions de "phishing" et de "rancomware". Les tentatives d’hameçonnage ont augmenté de 600 % depuis le début du confinement, au printemps 2020, et l’on décompte une cyberattaque toutes les 39 secondes dans le monde.
En France, depuis mars 2020, de nombreuses organisations ont subi des cyber-attaques, notamment les Hôpitaux de Paris, des compagnies d’assurance comme MMA, Maaf, GMF… Ces attaques sont devenues plus sophistiquées et constituent une menace majeure. Leur succès repose sur des défauts de sécurité ou le manque de sensibilisation des utilisateurs. Les budgets de cybersécurité des entreprises sont généralement conséquents. Mais l’essentiel des investissements concerne les technologies et 1 % des budgets cybersécurité concerne l’Humain, selon une étude du Gartner.
Les projets RGPD, comme les projets sécurité, doivent s’accompagner d’une culture du changement. L’entrainement des utilisateurs en fait partie, en particulier en cybersécurité.
La sauvegarde de nos libertés
Le régulateur ne doit pas être le seul acteur à faire pression sur les GAFAM et sur les organisations qui traitent des données personnelles à notre insu ou contre nos intérêts. Le RGPD est un formidable outil aux mains des juges, des autorités de protection des données, des associations de défense des individus, des employés, des activistes… qui "trackent" les mauvais élèves et n’hésitent pas à les dénoncer.
Le plus important pour les GAFAM, ce sont nos données. Nous devons raisonner en termes de lutte si nous voulons sauver nos libertés. Ce combat passera par la maîtrise de nos propres données.
Par Florence BONNET, Directrice associée, TNP