L’hystérie du GDPR

Le GDPR fait beaucoup parler de lui et quelques informations essentielles pour ne pas céder à l’hystérie de certains à raconter les pires bêtises sur cette loi.


Le GDPR fait beaucoup parler de lui et quelques informations essentielles pour ne pas céder à l'hystérie de certains à raconter les pires bêtises sur cette loi.

Je suis certain que vous avez reçu des dizaines de mails vous demandant leur consentement selon les normes du GDPR. Cette loi est tellement médiatisée que cela en devient pathétique. J’ai reçu des mails provenant de services que j’avais abandonné depuis des années pour que je donne mon consentement. Ci-dessous, une traduction d’un article sur le GDPR par Jacques Mattheij qui permet d’éclaircir les principaux points du GDPR et que non, la panique n’est pas nécessaire.

Sommaire

Le GDPR va m’exposer à des amendes allant jusqu’à 20 millions d’euros pour la moindre transgression

Non, le GDPR a le potentiel de dégénérer à ces niveaux, mais dans l’esprit des forces de l’ordre des différentes agences de protection des données en Europe, il vous avertira d’abord que vous n’êtes pas en conformité avec la loi. Vous aurez une période de temps pour devenir conforme et ensuite, si vous les ignorez, alors vous aurez une amende. Cette amende sera proportionnelle à la transgression. Vous pouvez bien sûr ignorer l’amende, mais ça risque de devenir plus compliqué par la suite. Si vous payez l’amende et devenez conforme, alors l’affaire sera close. Le schéma typique de l’UE en cas de transgressions répétées sur le même sujet est l’augmentation des amendes. Cela peut revenir très cher et la plupart des entreprises ont tendance à ajuster leurs processus une fois qu’ils ont été condamnés à une première amende. Il n’y a pas de cas connus où une entité a reçu une énorme amende sans avoir d’abord eu l’occasion de se conformer à la loi.

A noter que les 20 millions d’euros ou 4 % du chiffre d’affaires global sont l’amende maximale, le langage spécifique étant une amende allant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’exercice précédent dans le cas d’une entreprise. C’est donc le maximum de l’amende fixée par les 20 millions ou les 4 % et ce moyen est là pour s’assurer que même Facebook et Google n’ignoreront pas la loi. Cette menace ne concerne pas les petits éditeurs.

Le GDPR permettra à quiconque de me poursuivre, même de l’étranger

Le GDPR n’a pas cet effet, mais du moment que vous avez une entreprise ou même en tant qu’entité physique, on peut vous poursuivre pour quelque raison que ce soit. C’est une conséquence directe de faire des affaires et n’a rien à voir avec une loi particulière. Le GDPR permet aux particuliers de contacter leurs régulateurs et de se plaindre si vous décidez d’ignorer leurs demandes. Donc, si John Doe veut que ses données soient supprimés de votre service et que vous lui disiez d’aller se faire foutre, alors John a le droit d’alerter son régulateur sur le fait que vous n’êtes probablement pas en conformité.

Si l’entité de protection des données du pays de John estime que l’affaire mérite son attention, alors elle vous enverra une lettre avec un avertissement. Les autorités de protection des données fonctionneront comme une chambre de compensation. Si vous pensez qu’il s’agit d’une application sélective, alors vous devriez en être heureux pour un changement. En offrant cette fonction de chambre de compensation, le fardeau de la réglementation sera considérablement plus léger et cela assurera que le public ne pourra pas utiliser le GDPR pour harceler les entreprises.

Les amendes seront automatiques et draconiennes

Non, les amendes seront proportionnelles et ne seront perçues qu’après avoir obtenu une chance de se conformer. Cela a été le cas dans toutes les autres lois de l’UE concernant la vie privée à ce jour. Les régulateurs de l’UE voient une garantie de conformité dans leur travail et non une source de revenus.

Le GDPR exigera que je traite les plaintes dans 28 langues différentes

Le texte du GDPR est disponible en anglais, un régulateur typique vous enverra un avis dans une langue que vous pouvez comprendre. Cela vaut pour tout ce qui a trait à la loi dans l’UE, des amendes au code du droit d’auteur et tout le reste. Ainsi, la paperasse que vous recevrez sera dans une langue que vous pouvez lire et si vous ne pouvez pas, alors il y aura une traduction en anglais disponible.

Le GDPR exige d’embaucher des gens pour le respect du droit et mon entité est trop petite pour pouvoir se le permettre

Non, le GDPR vous demandera d’attribuer certains rôles pour s’assurer que quelqu’un est en charge de la vie privée.

Les bureaucrates utiliseront l’application sélective du GDPR pour remplir les coffres de l’UE au détriment des entreprises étrangères

L’UE a tendance à utiliser les amendes comme moyen de forcer une entreprise à se conformer. Les entreprises, qui sont grandes et qui ont de grandes participations européennes ou qui utilisent l’UE pour éviter de payer des impôts, s’inquiètent à juste titre de cet aspect particulier surtout si elles ont construit leur entreprise autour de bases de données massives sur les citoyens européens.

Si vous n’êtes pas dans ce cas, alors vous pouvez probablement ignorer cet aspect de la législation de l’UE. Si vous êtes Mark Zuckerberg, je conseillerais de faire attention, car le GDPR a été spécifiquement conçu pour pénaliser la collecte des données des GAFAMs

L’UE dépasse ses limites de juridiction. En tant qu’étranger, je devrais être libre de me conformer à mes lois locales et ignorer le reste

Dès que vous faites des affaires à l’étranger, vous devrez vous conformer aux lois de ces pays. Ce n’est peut-être pas ce que vous espériez, mais cela a toujours été le cas. Pour les produits physiques, toutes sortes d’entités garantissent le respect des lois d’autres pays incluant les règles de fabrication, de transport, de stockage, d’ingrédients selon le contexte et la nature de votre entreprise. Pour les entreprises en ligne, cela n’a jamais été différent, par exemple, vous devez respecter la loi sur le copyright, les lois sur les jeux en ligne, le DMCA et beaucoup d’autres lois essentiellement locales (bien que les lois sur le copyright aient été harmonisées depuis longtemps).

Et surtout les entreprises et entrepreneurs américains sont bien hypocrites de plaindre que l’UE dépasse ses limites alors que les Etats-Unis n’hésitent pas à utiliser leur législation extra-territoriale quand ça les arrange.

Le traitement de toutes ces demandes des utilisateurs sera un énorme fardeau

Alors automatisez-le. Si vous êtes capable d’automatiser la collecte des données, alors vous pouvez certainement automatiser le reste. C’est risible, les entreprises n’hésitent pas à investir des millions pour automatiser la collecte massive de données. Mais dès que les données doivent être supprimés, alors nous sommes soudainement de retour à l’âge de pierre et comme si on devait recruter des chinois ou des indiens mal payés pour qu’ils suppriment manuellement les données.

De tels arguments ne sont pas de bonne foi, et en général, les personnes, qui les utilisent, se couvrent de ridicule. Alors oui, c’est un fardeau, non, le fardeau n’est pas énorme à moins que vous ne le fassiez expressément, mais c’est votre problème.

Cette loi arrive sur nous sans crier gare et je ne peux pas me préparer en moins d’une semaine

La loi GDPR est en vigueur depuis plus de deux ans et la DPD, la directive européenne sur la protection des données, est en vigueur depuis plus de deux décennies. Donc non, cette loi n’a été imposée à personne même s’il est possible que vous n’en ayez entendu parler qu’au cours des dernières semaines ou mois.

Il est impossible d’être conforme avec le GDPR

En fait, c’est possible, car il suffit de désactiver toute collecte de données à la base. Par exemple, un argument fréquent est qu’aucun serveur Web (ou même aucun service Internet) ne peut être conforme, car tous les serveurs Web enregistrent les adresses IP et les adresses IP sont des informations identifiables. Mais cet argument ne tient pas pour plusieurs raisons.

Les serveurs Web enregistrent uniquement les adresses IP si vous les configurez. Presque tous les serveurs Web ont une option de formatage qui détermine exactement ce qui est enregistré et vous pouvez configurer votre serveur Web pour ne pas enregistrer toute l’adresse, mais seulement la partie réseau. Vous avez également la possibilité d’enregistrer l’adresse et de divulguer que vous le faites dans votre politique de confidentialité, mais alors vous devrez autoriser la suppression de ces données sur demande.

Enfin, vous pouvez avoir une raison légitime d’enregistrer l’adresse IP à condition de la supprimer une fois que vous avez terminé l’utilisation pour laquelle vous l’avez collecté en premier lieu. Il y a assez de place dans le GDPR pour conserver l’adresse pendant 30 jours avec une extension possible de 60 jours, ensuite une réponse automatique peut être envoyé à l’utilisateur pour lui dire que son adresse IP a été supprimé et que vous seriez en conformité. C’est l’une des raisons pour lesquelles je pense que le GDPR est une loi extrêmement performante.

Toutefois, j’ajoute que la conformité du GDPR sera très difficile pour certains, car au fil du temps, l’écosystème du web est devenu une surveillance capitalisme. Ce sont la collecte des données qui font le business de l’entreprise. Donc, cette conformité sera assez douloureuse parce que nous avons eu l’habitude d’automatiser massivement les données des utilisateurs sous prétexte d’améliorer l’expérience d’utilisateur ou leur refiler un produit de merde (et je m’inclus dedans).

Mon entreprise va faire faillite à cause du respect du GDPR

C’est navrant. Mais cette loi a été rédigée dans le but spécifique de contrôler certaines des pires violations de la vie privée des citoyens de l’UE sur leurs activités en ligne. Si le fait de se conformer à la loi GDPR entraînera la faillite de votre entreprise, alors cela équivaudra plus ou moins à admettre que votre entreprise repose sur des violations flagrantes de la vie privée. Donc, si c’est votre modèle économique, alors bon débarras pour vous et votre entreprise.

Ce n’est pas juste, je n’ai aucune représentation dans l’UE, pourquoi mon entreprise devrait-elle se conformer ?

Parce que vous souhaitez faire des affaires dans l’UE. Pour ce que cela vaut, il y a beaucoup de lois qui sont extra-territoriales et l’harmonisation des lois entre les pays signifie que les gens n’en sont pas toujours conscients. Le DMCA est un bel exemple. En outre, la protection de la vie privée est un sujet assez brûlant et les cercles de défense de la vie privée espèrent que d’autres pays suivront l’exemple de l’UE. Le fait que vous ou votre entreprise ne soient pas représentés dans l’UE ne signifie pas que vous pouvez ignorer la loi.

Je ne veux pas être arrêté pour des violations de GDPR quand je viens en vacances en Europe

C’est tellement tiré par les cheveux que c’est comique. L’UE ne fonctionne pas de cette façon, et d’ailleurs, pourquoi voudriez-vous sciemment enfreindre la loi et continuer à le faire après en avoir été informé ? Je n’ai pas encore entendu parler d’une seule personne qui a été arrêtée manu militari par une équipe du GIGN parce qu’elle aurait violé la vie privée de quelqu’un.

Mon entreprise ne peut pas être conforme au GDPR

Dans ce cas, veuillez fermer votre entreprise ou ne pas servir les clients de l’UE. Mais sachez que (1) vous laissez une belle ouverture pour un concurrent et (2) votre entreprise fait probablement quelque chose que vous ne devriez pas faire à la base, dans lequel je dirais que la loi fonctionne comme prévu.

La loi GDPR est si compliquée, il n’y a pas moyen de la comprendre

Au fur et à mesure des lois, j’ai été surpris de voir à quel point il était facile de lire le GDPR. Le document ne fait que quelques pages et il utilise un langage clair et il définit habituellement ses termes. Le seul problème du GDPR est les mesures à prendre selon la taille de son entreprise, car dans sa version actuelle, le petit webmestre avec 200 visites par jour et Google sont logé à la même enseigne.

Je ne peux pas me permettre de respecter le GDPR, donc je ferme mon entreprise ou je bloque les Européens

Au revoir. Mais assurez-vous de bien comprendre ces risques et comprenez bien qu’il ne vous sera peut-être pas possible de bloquer les Européens de manière suffisamment fiable pour ne pas vous exposer à la loi et vous rendre compte qu’il y a beaucoup d’autres lois auxquelles vous êtes exposés. Cette loi n’est vraiment pas différente des autres à cet égard. Le prix de l’utilisation du Web sur la scène mondiale est que vous interagissez efficacement avec les domaines juridiques de tous les pays avec lesquels vous faites affaire.

Je devrais être en mesure de conclure un contrat avec mes utilisateurs qui leur permet de se retirer de cette loi afin que je puisse l’ignorer

Pour une fois, les législateurs ont compris que cette faille pourrait être utilisé et ils l’ont réparé avant que cela ne devienne un problème. Je soupçonne que la débâcle de la loi sur les cookies leur a fait comprendre que les entreprises n’ont absolument aucun scrupule en ce qui concerne ce genre de choses et feront du chantage à leurs utilisateurs pour qu’ils consentent quelque chose contre leur gré.

Les Newsletters et le GDPR

Le cauchemar des mails en cascade s’explique que tout le monde veut que vous restiez dans leurs newsletters. Mais si vous avez une Newletter qui n’inscrit pas automatiquement les utilisateurs, alors vous êtes tranquille dans le GDPR. Par exemple, sur un de mes sites, il y a un champ où les utilisateurs vont fournir leur adresse mail pour recevoir leur newletter et ainsi, ils donnent leur consentement.

Les mails qu’on reçoit à longueur de journée sont à cause de vos inscriptions sur des services, mais que ces derniers vous ont automatiquement inscrit à leurs newsletters sans rien vous demander. Et maintenant, ils ont le bec dans l’eau. Je me rend compte que depuis plusieurs années, je m’en fous progressivement des données des utilisateurs et donc, je n’ai pas à modifier drastiquement mes sites pour qu’ils soient conforme au GDPR.

Adsense et le GDPR

Le plus gros impact sera publicitaire. Le GDPR interdit désormais de proposer des publicités ciblées en exploitant les données personnelles de l’utilisateur. De ce fait, les éditeurs Adsense (dont j’en fais partie) risque de le payer très cher. Car après l’application du GDPR, Google va uniquement afficher les publicités à l’ancienne, c’est à dire des publicités pertinentes par rapport au contenu de la page. Avant l’application du GDPR, Google utilise la pertinence de la page, mais également les données des utilisateurs ce qui permettait un profilage très ciblée. Vous pouvez demander le consentement de l’utilisateur pour les publicités ciblées, mais bonne chance pour y arriver, car il faudra expliquer à l’utilisateur pourquoi c’est bon pour lui que vous lui proposez des publicités ciblées.

Google propose l’outil Funding Choices pour obtenir le consentement des utilisateurs sur ses publicités, mais c’est réservé uniquement à certains comptes. Il est évident qu’une publicité, se basant uniquement sur le contenu de la page, sera moins pertinente. Pour avoir une idée de vos pertes de revenu Adsense après le GDPR, vous pouvez le voir dans Adsense. Allez dans vos Rapports et filtrez vos résultats par Type de ciblage/Ciblage personnalisée. Dans mon cas, la perte d’Adsense pourra être de 40 à 55 % et donc, oui, ça va faire très mal. Mais bon, la loi est la loi.

 

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de vote)
Loading...

Houssen Moshinaly

Rédacteur web depuis 2009 et blogueur dans la vulgarisation scientifique.

Depuis plusieurs années, la science est attaquée de tous les cotés. Les vaccins, les pesticides, les OGM, mais également sur le plan de la politique. Marre d'entendre des âneries sur les médias de masse, j'ai décidé de lancer ce blog pour critiquer tous ces attaques incessantes sur la science. Je parle de l'agriculture comme des lois liberticides ou des pseudosciences.

Je ne prétend pas être un expert dans les domaines et considérez plutôt mes articles comme une opinion éclairée, mais personnelle sur des sujets qui sont souvent assombris par les marchands de peur et la pseudoscience. Mon ton peut être cassant et tranchant, car cette plume canalise une colère souvent justifiée.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *