Voilà près d’un an que le RGPD est venu encadrer la collecte de nos données personnelles sur internet en Europe. Vous vous attendiez peut-être à une révolution ? Douze mois plus tard, derrière notre clavier et notre écran, on a du mal à voir ce qui a changé. À l’exception des mails reçus en masse et des bannières de “modification de la politique relative à la vie privée” qui s’affichent sur tous les sites, comment le RGPD protège-t-il nos données personnelles ? Pour faire ce bilan, nous avons posé quatre questions à Yves Benchimol, fondateur de l’application WeWard, qui récompense ses utilisateurs grâce à leurs données personnelles.

Qu’était supposé apporter le RGPD ?

Yves Benchimol : Pour moi, le RGPD en soi, n’a pas changé la réglementation. Il n’y a pas de choses qu’on avait le droit de faire avant et qui nous sont désormais interdites. Par contre, cela nous a donné un cadre légal européen, avec notamment des conséquences beaucoup plus importantes en cas de non-respect. Avant RGPD, les sanctions étaient mineures et les entreprises ne les craignaient pas vraiment. Aujourd’hui, elles sont devenues proportionnelles au chiffre d’affaires. Les différents acteurs ont peur de se faire condamner et sanctionner. Ça, c’est le premier point.

Le deuxième, c’est qu’il est venu clarifier la manière avec laquelle les différentes entreprises doivent obtenir le consentement de leurs utilisateurs pour récolter et utiliser leurs informations personnelles. Elles sont forcées d’expliquer la finalité, de préciser qui est responsable du traitement, tout ça de manière claire, explicite et transparente. Mais c’était déjà un peu le cas avant. Ce qui change vraiment la donne, ce sont les sanctions qui forcent l’application des règles.

Et pour les utilisateurs, qu’est-ce qui a changé ?

YB : Les droits des utilisateurs dont les données sont récoltées sont les mêmes qu’avant. La différence, c’est qu’ils sont beaucoup mieux informés sur la question. L’effet médiatique généré par l’arrivée du RGPD a fait prendre conscience à certaines personnes de ce qu’il fallait faire et ne pas faire. Les gens ne veulent plus qu’on fasse n’importe quoi avec leurs données personnelles, ils veulent être au courant.

Les utilisateurs ont pris conscience de leurs droits et de l’impact éventuel de la collecte des données personnelles par un acteur. Il y a donc eu une augmentation du nombre de plaintes sur l’utilisation et la collecte des données personnelles sans information et consentement préalable. Aucune entreprise n’avait envie de subir une sanction financière ou une mauvaise publicité à cause d’une plainte. Donc elles se sont mises en conformité. RGPD a permis d’opérer cette mise en conformité.

Aujourd’hui, si vous demandez de supprimer vos données personnelles ou de vous les remettre, les entreprises sont obligées de le faire. Et vous verrez qu’elles le feront sans poser de question, vous pouvez essayer.

Les utilisateurs peuvent-ils tirer parti de l’exploitation leurs données personnelles ?

YB : Depuis le départ, les utilisateurs tirent parti de leurs données personnelles. Ils en tirent déjà beaucoup de bénéfices. Sans en avoir vraiment conscience. Par exemple, utiliser un service comme Instagram. Ils peuvent poster leurs photos, elles sont stockées sur un cloud, ils les partagent et discutent avec leurs amis, le tout, de manière gratuite. C’est un premier bénéfice. En échange de quoi ? D’un ciblage publicitaire. Si on simplifie les choses, oui, d’une manière ou d’une autre, ils en tirent parti.

Maintenant, est-ce qu’ils peuvent en tirer un avantage monétaire ? C’est plus compliqué. Ça existe déjà, mais pas comme vous l’imaginez. Par exemple, répondre à une étude, être un client mystère dans un magasin, contre rémunération, concrètement, cela revient à retirer de l’argent de l’exploitation de ses données personnelles. Ils divulguent des informations à leur propos contre une somme. Est-ce que ça doit aller plus loin ? C’est en question. On est par exemple en train de se demander si Facebook ne devrait pas rétribuer à ses utilisateurs les bénéfices qu’ils tirent de l’exploitation de leurs données personnelles.

La collecte de nos données personnelles peut-elle représenter un risque ?

YB : Je ne pense pas que ce soit une mauvaise chose que Facebook m’affiche des articles ou des publications qui sont au cœur de mes centres d’intérêt. Si je m’intéresse à la politique en Chine, je serai très content de voir des articles sur ce sujet. Si je cherche à acheter un smartphone, je ne vais pas me plaindre si on me présente des bons plans ciblés.

Bien évidemment, cela peut engendrer des risques. Et c’est justement pour cela que le RGPD est là pour les limiter. Si les termes de l’utilisation de nos données personnelles ne sont pas clairs, explicites et transparents, ça peut mener à des dérives. On n’a pas envie que nos données atteignent des personnes malintentionnées, qui savent quand on n’est pas chez nous pour venir nous cambrioler. On n’a pas envie que tout le monde ait accès, de manière publique, à nos données personnelles. Et le RGPD s’assure justement que vous sachiez comment sont utilisées ces données personnelles, tout en vous offrant la possibilité d’en révoquer l’accès à quiconque sur simple demande.