Facebook x Cambridge Analytica: Ce que le scandale change dans la protection des données personnelles
Il y a quelques semaines, un scandale a relevé que des millions de données d’utilisateurs de Facebook ont été récupérées par Cambridge Analytica, une entreprise anglaise d’analyse de données, à des fins de campagne politique et sans le consentement des utilisateurs. 2,7 millions d’utilisateurs européens seraient touchés par ces récupérations frauduleuses de données personnelles.
Il s’agit pour beaucoup, en Europe et aux Etats-Unis, d’une « violation inacceptable des droits à la vie privée des citoyens ». Cambridge Analytica a néanmoins clamé respecter les conditions d’utilisation de Facebook tout le long de son processus de récolte des données personnelles. Cela soulève alors la question de la protection des données personnelles sur internet.
Les possibilités d’utilisation des données d’utilisateurs par les entreprises
Les données personnelles que vous acceptez de donner lors de la relation commerciale
À l’occasion des différents contacts qu’ont les utilisateurs avec les entreprises sur internet, ces derniers sont amenés à laisser des données personnelles les concernant, parfois consciemment ou sans même le savoir.
Lors de la création de compte client par exemple, les utilisateurs sont conscients qu’ils donnent noms, prénoms, civilité, date de naissance, adresses, ou encore leur numéro de téléphone… Pour les sites internet e-commerce, ils donnent aussi à cette occasion leurs codes d’accès et les données relatives à leurs moyens de paiement mais de manière cryptée. Une fois la relation commerciale lancée, l’entreprise emmagasine des données relatives aux commandes, les conversations avec le SAV et les achats effectués avec ses partenaires…
Les données récoltées lors d’une simple visite d’un site
L’entreprise derrière le site visité est en mesure de recueillir des données personnelles relatives à la connexion et à la navigation, en majorité par l’intermédiaire des cookies. Ils emmagasinent les données suivantes:
- les identifiants de l’équipement utilisé (adresse IP de votre ordinateur, identifiant Android, identifiant Apple, etc.)
- le type de système exploité (Microsoft Windows, Apple Os…)
- le type et version du logiciel de navigation utilisé (Microsoft Internet Explorer, Apple Safari…)
- les dates et heures de connexion
- l’adresse de la page Internet de provenance
- les données de navigation sur les services, les contenus visionnés
- la géolocalisation de l’appareil peut être collectée
Ces informations sont réutilisables à des fins d’optimisation du site et de l’expérience client personnalisée sur ledit site.
Les scripts (ou tags), des pixels et des redirections peuvent aussi être récupérés, directement via internet. Ils donnent des données personnelles relatives à l’utilisation des sites et applications, sur la lecture ou non des e-mails, sur les clics vers les liens contenus dans ces e-mails… Ces données sont collectées par des fournisseurs de services tiers dans le but de les revendre.
Les données sensibles (l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’adhésion à un syndicat, les données relatives à la santé ou l’orientation sexuelle) peuvent même être collectées dans certains cas.
L’utilisation des données personnelles
Ces données sont utilisées dans un premier temps pour la distribution de produits ou de services puis pour améliorer l’utilisation des sites internet. Ensuite, elles servent aux opérations de marketing du site.
Les données des utilisateurs peuvent également être transmises aux clients de l’entreprise, à ses partenaires ou ses sous-traitants, aux réseaux sociaux et aux autorités. Normalement, chaque entreprise possède une cellule consacrée à la sécurité des systèmes de données, pour protéger ces informations de la perte accidentelle ou illicite, de l’utilisation, de la divulgation ou de l’accès non autorisé.
Les changements à venir
Selon les Eurodéputés, l’Europe nécessite des lois plus strictes pour empêcher l’utilisation frauduleuse des données des utilisateurs de sites, comme ce fut le cas pour les millions de données Facebook utilisées par Cambridge Analytica.
De nouvelles politiques de confidentialité vont être mises en place, pour protéger les utilisateurs d’internet au sujet de l’utilisation de leurs données sensibles et de l’usage illicite de leur données générales. La qualité des données récupérées par les entreprises ne devrait pas être altérée.
De nouvelles lois au niveau européens voient le jour. Le règlement général sur la protection des données(RGPD), voté à la suite du scandale Facebook, en rigueur depuis le 25 mai, vise à renforcer la protection des données personnelles en s’imposant pour toutes les plateformes traitants les données de citoyens européens.
Certaines entreprises suisses sont également concernées, du fait de leur échange avec d’autres interfaces dans l’Union européenne. Dès lors que votre entreprise a des échanges avec des éléments dans l’Union européenne, vous êtes soumis à ce règlement. N’hésitez pas à nous contacter si vous souhaitez connaître la situation de votre entreprise.
En cas de violation, les entreprises s’exposent à des amendes allant jusqu’à 4 % de leur chiffre d’affaires mondial s’il y a captation des données en l’absence de consentement explicite. C’est la première fois qu’un cadre réglementaire uni est mis en place sur ce sujet au niveau européen. Des postes de Data Protection Office (DPO) ou de Consultant à la Protection des Données (CPD) seront créés. Ils seront des acteurs clés dans la protection des données au sein des entreprises. Le G29 recommande fortement aux entreprises cette création de poste, pour vérifier à l’utilisation en règle des données issues d’internet.