RGPD

Ce 25 mai, le Règlement Général sur la Protection des Données, ou RGPD, fête ses 5 ans. L'occasion de réaliser un bilan de son impact et de rappeler ce que ce règlement a modifié dans notre façon d'utiliser Internet.

Un point sur lequel le RGPD a fait bouger les choses, c'est sur la conscience qu'ont désormais les utilisateurs de l'utilisation de leurs données personnelles. Et depuis, au-delà des obligations que doivent suivre les entreprises et sites web, de nouveaux outils se sont développés pour permettre aux internautes de mieux contrôler les informations qu'ils acceptent d'offrir lors de leur navigation et les prévenir en cas de violation de données.

Le RGPD : droits et obligations

Promulgué le 27 avril 2016 pour une entrée en application le 25 mai 2018, en 5 ans, le RGPD a eu un certain impact, aussi bien pour les internautes que pour les entreprises. Son but principal ? Harmoniser la protection des données personnelles, définies ici comme toute information pouvant permettre d'identifier directement ou indirectement une personne physique, au niveau européen. Ainsi, tous les pays européens se sont mis d'accord sur un ensemble de principes et de règles qui doivent être respectés pour donner aux citoyens des États membres plus de contrôle sur leurs données.

données personnelles privacy

Le texte renforce et crée de nouveaux droits pour les utilisateurs. Les internautes européens doivent être informés sur l'utilisation qui sera faite de leurs données et peuvent donc s'opposer, dans certaines limites, à l'utilisation de celles-ci. Il leur est également possible de demander d'accéder aux informations récoltées, de les rectifier ou encore de les effacer. Le RGPD inclut également un droit au déréférencement, permettant de demander aux moteurs de recherche la suppression de certains résultats associés à son nom et prénom.

À ceci s'ajoutent un droit à la portabilité des données, afin de pouvoir récupérer les données fournies à une plateforme pour les transférer gratuitement à une autre, un droit à la notification lorsque des données personnelles ont été piratées et si ce piratage pose un risque élevé, ainsi que la possibilité de demander réparation si un manque au RGPD a conduit à des dommages matériels ou moraux. Enfin, les usagers ont la possibilité de demander à des associations ou des organismes de les représenter au sein d'une action de groupe en cas de violation des données.

Toute entité qui traite des données à caractère personnel de citoyens européens est concernée par le RGPD. Il est désormais nécessaire pour elles de demander le consentement "libre, spécifique, éclairé et univoque" des utilisateurs avant de traiter leurs informations, par exemple à l'aide de cookies ou dans le cadre d'une démarche commerciale comme une newsletter.

De nombreuses obligations sont imposées, mais il faut retenir que le RGPD oblige à ne collecter des informations que dans un but défini, à protéger ces données et à les conserver qu'aussi longtemps que nécessaire. Dans le cas de manquements au RGPD, les autorités de protection, comme la CNIL en France, ont la possibilité de prononcer des amendes importantes, pouvant aller jusqu'à 4% du chiffre d'affaires annuel mondial pour les entreprises.

Le RGPD : le bilan de la CNIL

Début 2023, la CNIL a réalisé un bilan de son action répressive. L'organisme annonce avoir prononcé 21 sanctions en 2022, basées sur des manquements comme le défaut d'information des personnes, le non-respect de leurs droits, un manque de coopération avec la CNIL, des manquements au niveau de la sécurité ou encore lors de la gestion des cookies ou de la prospection commerciale.

La CNIL a également annoncé un nombre record de mises en demeure en 2022, qui s'élèvent à 147, là où 135 mises en demeure avaient été prononcées en 2021. En majorité, celles-ci concernent la sécurité des données, mais aussi la transmission des informations à des partenaires commerciaux ou encore le transfert des données vers les États-Unis.

Il reste donc encore du travail à faire sur le RGPD. Mais les pouvoirs conférés à la CNIL aident : lors d'une enquête réalisée en 2022 auprès de professionnels, une majorité des entreprises déclaraient qu'une peur des sanctions les poussait à se concentrer sur l'application du RGPD.

Les outils pour aller plus loin dans la protection des données personnelles

Si le RGPD pose un cadre pour protéger efficacement les informations des citoyens européens, sa mise en application reste encore imparfaite. Et désormais, les internautes sont parfaitement conscients de l'importance de protéger leurs données personnelles, notamment dans un contexte où les attaques informatiques se multiplient, avec parfois des conséquences désastreuses pour les utilisateurs. Des outils supplémentaires ont vu le jour pour permettre à tous, européens ou non, d'avoir un peu plus de contrôle sur ses données en ligne.

Les solutions de protection d'identité

Bitdefender Digital Identity Protection : une solution de surveillance des données en ligne

Bitdefender Digital Identity Protection
  • Web
  • Cybersécurité
7 / 10

Dans l'ensemble, Bitdefender Digital Identity Protection est un service compétent mais qui a ses limites. L'interface est simple à prendre en main, mais un travail reste à faire sur la manière dont les données sont délivrées à l'utilisateur. On regrette tout de même l'absence de certaines fonctionnalités supplémentaires, qui pourraient lui permettre d'être un logiciel de protection de l'identité plus complet.

Les plus
  • Tarif abordable
  • Interface claire
  • Demande peu d'informations personnelles pour bien fonctionner
Les moins
  • Certains onglets sont surchargés en informations
  • Pas d'application mobile

Service distinct des autres applications de l'éditeur, Bitdefender Digital Identity Protection se concentre sur la protection contre le vol d'identité. Entièrement en ligne, le service se contente de demander quelques informations personnelles pour commencer à rechercher les données disponibles et les présenter sur son interface. Ainsi, vous pouvez voir facilement quelles informations sont publiques, à la suite de brèches par exemple, ou si des données sensibles ont été trouvées sur le dark web. Le service vous alerte également en cas de violation des données future, avec un système d'alerte par mail. À noter que Bitdefender Digital Identity Protection n'offre pas d'assistance supplémentaire en cas de vol d'identité.

Pour en profiter, deux possibilités : l'abonnement mensuel au prix de 6,99 € par mois ou un paiement annuel de 34,99 € la première année et 69,99 € pour les suivantes.

Norton Identity Advisor Plus : une solution de protection d'identité complète

Norton Identity Advisor Plus
  • Web
  • Protection de la vie privée
8 / 10

Norton Identity Advisor Plus s'avère efficace dans son utilisation principale : nous prévenir lorsque nos données personnelles, notamment notre adresse email, se sont retrouvées en vente sur le dark web à la suite d'une fuite de données. On apprécie la présence de l'application mobile dédiée, pour pouvoir être prévenus à tout instant, ainsi que la présence d'un support téléphonique en cas d'usurpation d'identité. On note particulièrement l'interface claire qui permet de voir toutes les informations importantes très rapidement.

Les plus
  • Interface claire
  • Application mobile
  • Support client en cas d'usurpation d'identité
Les moins
  • La limite de 5 adresses mail, un peu basse

Autre éditeur d'antivirus reconnu, Norton s'est également lancé dans l'aventure des solutions de protection d'identité. Avec Norton Identity Advisor Plus, l'entreprise propose un service complet de surveillance de ses données sur le web. Là aussi, tout se fait en ligne via un portail dédié où nous sommes invités à rentrer les données que l'on souhaite faire surveiller, que ce soit des adresses mail, des numéros de téléphones, des cartes de crédit, mais aussi des gamer tags pour nos comptes de jeu. Norton s'occupe de scanner le web avec ces informations pour déterminer si elles ont déjà été dévoilées lors de fuites de données et nous fournit un rapport complet si c'est le cas, précisant si d'autres informations ont pu être compromises.

Norton propose également de surveiller nos comptes de réseaux sociaux et nous alerte en cas de changements de paramètres ou de publications suspectes. De plus, en cas de vol d'identité, l'entreprise met à disposition de ses utilisateurs des spécialistes de la restauration d'identité, qui s'occupent de les guider dans leurs démarches administratives. Si certaines des fonctionnalités de Norton Identity Advisor Plus sont présentes dans les offres Norton 360, il est également possible de payer uniquement un abonnement au service, au prix de 34,99 € pour la première année et 54,99 € par la suite.

Incogni : un service pour supprimer ses données sur le web

Incogni
  • Web
  • Protection de la vie privée
6 / 10

Si l'idée de départ d'Incogni est louable, l'outil semble encore trop timide en informations pour nous convaincre de l'utiliser sur le long terme. Le fait est que la démarche reste aussi très aléatoire : l'entreprise semble à chaque fois contacter les mêmes courtiers en données. Il est difficile donc de faire matcher les courtiers en données contactés par Incogni avec ceux qui détiennent réellement des informations qui vous appartiennent. À l'issue de notre mois de test, nous clairement restons sur notre faim.

Les plus
  • Tarif convenable
  • Inscription facile
  • Interface simplifiée à l'extrême
Les moins
  • Un manque de suivi des requêtes envoyées, suivies et traitées
  • L'absence de bouton ou de page pour se désinscrire
  • Pas d'application mobile
  • Pas de version française

Incogni est un service un peu différent des deux autres. Ici, on ne surveille pas nos données, mais on nous permet de demander leur suppression auprès des différents courtiers en données. En entrant quelques informations et après avoir autorisé Incogni à agir en notre nom, le service s'occupe d'envoyer des demandes de suppression d'informations personnelles, dont l'on peut suivre l'évolution dans le tableau de bord.

Pour profiter de ce service, il est nécessaire de payer un abonnement. Incogni peut être payé au mois, au prix de 12,99 €, ou à l'année pour 77,88 €, ce qui revient à 6,49 € par mois.

Les navigateurs et leurs extensions

Depuis l'application du RGPD, les bandeaux pour accepter ou refuser les cookies s'affichent sur chaque site web. Si certains permettent de les refuser facilement, d'autres usent d'astuces pour piéger les utilisateurs ou les obliger à les accepter, de façon plus ou moins légale. Pour se faciliter la vie, il existe des extensions qui s'occupent de refuser automatiquement les cookies, comme Ghostery. Le bloqueur de publicités et de trackers a ajouté une fonctionnalité "Never-Consent", qui refuse automatiquement les cookies pour l'utilisateur.

Pour encore plus de protection, une extension comme Privacy Badger bloque automatiquement les cookies tiers et tout traceur qui souhaiterait suivre l'activité de l'utilisateur sur plusieurs sites. Au vu des manquements réguliers au RGPD et aux sanctions prononcées contre les sites qui déposent tout de même des cookies, même lorsque l'utilisateur les a refusés, ce genre d'extension est indispensable pour ceux qui souhaiteraient échapper au pistage de leur activité sur le web.

Enfin, les navigateurs eux-mêmes commencent à agir dans ce sens. Firefox a introduit de nombreuses fonctionnalités contre le pistage, dont la protection totale contre les cookies qui maintient une "boite" à cookies séparée pour chaque site. Ainsi, les cookies sont limités au site actuellement visité et ne peuvent pas être utilisés pour suivre l'activité de l'utilisateur sur d'autres sites. Brave a récemment décidé d'aller plus loin, en annonçant une future mise à jour qui introduira la fonctionnalité "Forgetful Browsing". Ici, le navigateur s'attaque aux cookies internes, qui ne servent pas à pister l'utilisateur sur plusieurs sites, mais uniquement sur le site visité. Avec cette fonctionnalité, il sera plus difficile pour les sites web de pouvoir identifier les utilisateurs à chaque nouvelle visite et de construire un profil précis en se basant sur leurs différentes utilisations du site.

Des services respectueux de la vie privée

L'un des meilleurs moyens de protéger ses données personnelles est de modifier ses habitudes sur le web, notamment au niveau des services que l'on utilise. Désormais, l'offre d'alternatives à Google et aux autres géants du web est très importante, et il est tout à fait possible de se passer de la majorité d'entre eux au quotidien pour opter pour des services spécialisés dans la protection de la vie privée et la sécurité. Parmi les changements que l'on peut faire sans sacrifier la facilité d'utilisation et les fonctionnalités, nous pouvons citer le fait d'opter pour une messagerie mail sécurisée, comme Proton Mail, de modifier son moteur de recherche et utiliser Brave Search, ou encore de choisir un stockage cloud sécurisé. De quoi éviter au maximum la collecte et le traitement de nos informations par les plus grandes entreprises américaines.

Proton Mail
  • storage1 Go de stockage
  • securityChiffrement natif par défaut
  • alternate_emailPas de domaine personnalisé
  • smartphoneApplications iOS, Android
  • push_pinJurisdiction Suisse
9.1 / 10

Proton Mail est une sérieuse alternative à Gmail. Elle redéfinit le cryptage en le plaçant à la portée de tout le monde. Certes, il faudra probablement adopter le plan payant pour en profiter au maximum, mais c'est un excellent premier choix pour quiconque souhaite commencer à s'affranchir des services des GAFAM en étant assuré que les communications restent privées.

Les plus
  • Infrastructure robuste et sécurisée
  • Simplification extrême du cryptage
  • Localisé en Suisse
Les moins
  • Formule gratuite limitée en stockage
  • La sécurité accrue rend le développement lent
  • Blocage natif des publicités et des trackers.
  • Navigation rapide et performante.
  • Système de récompense original avec les BAT.
7 / 10