Discussion :

[Ryu2000]

Autant ne rien publier.

Si vous voulez réellement ne rien publier, il faut totalement arrêter internet, il faut se débarrasser de son smartphone, arrêter de payer son abonnement freebox, et là vos nouvelles données personnelles seront mieux protégées.
Il y a des balises Google, Facebook, Twitter, etc, partout, ces sites vous connaissent même si vous n'êtes pas inscrit.

Moi personnellement je ne vais pas arrêter Facebook, car il y a fort longtemps cet outil m'a aidé pour trouver des partenaires sexuelle, donc je le garde en souvenir du bon vieux temps.
Et il y a moyen de faire des blagues et de se maintenir à jour sur des gens qu'on connait.

Internet n'est pas Facebook Google, on peut utiliser d'autres services.

Bonne chance pour vous passer de Google, parce que c'est Chrome, YouTube, Android, Waze, Gmail, Google Search, Google Maps, Google Docs, Google Hangouts, etc.
Facebook c'est WhatsApp et Instagram.

Quand on utilise des services gratuit, c'est nous le produit.

Le plupart des gens veulent regarder YouTube et avoir un smartphone Android, ils s'en foutent que Google récupèrent leur données.

Les publicitaires ont exagéré, du coup il y a eu les bloqueurs de publicité.

C'était abusé du temps des popups après il y a eu Firefox et c'était bon. Il y avait quelque bannière 468*60 pas de quoi fouetter un chat.
Maintenant il y a du contenu sponsorisé en secret, comme ça adblock ne peut rien faire.

Bon maintenant sur les site comme Le Monde il y a ça :

Et il y a aussi les 2 pubs YouTube à la suite qui sont pénible. Mais bon il faut soutenir les créateurs, il y a des gens qui créer des sites ou des vidéos et ils ont besoin des pubs pour survivre.
Les pubs permettent à des créateurs d'être payé. Ceux qui ont été webmaster savent que c'est cool quand la pub permet de payer l'hébergement et le nom de domaine.
Quelque part Adblock tue internet

Ces mêmes personnes viendront se plaindre de l'utilisation de leurs données.

Les gens s'en foutent, les données que les entreprises aspirent servent à faire de la publicité ciblé. C'est un peu chiant, mais ce n'est pas la fin du monde.

[Stéphane le calme]

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes pour violation de données,
la France championne avec 50 millions d'euros

Les régulateurs européens ont infligé 114 millions d'euros d'amendes pour violation de données depuis l'entrée en vigueur de règles de confidentialité plus strictes à la mi-2018, les approches variant considérablement d'un pays à l'autre. Selon un rapport du cabinet d'avocats DLA Piper, la France a infligé la plus grosse amende (50 millions d'euros à Google). À la suite de deux violations de données de grande envergure, l'ICO (Information Commissioner's Office) britannique a publié deux avis d'intention d'imposer des amendes en juillet 2019 totalisant 282 millions de livres sterling (environ 329 millions d'euros), bien qu'aucune de celles-ci n'ait été finalisée à la date du présent rapport. Du côté du nombre de notifications de violations de données, les Pays-Bas, la Grande-Bretagne et l'Allemagne sont en tête en termes de nombre de notifications de violation de données.

Le règlement général sur la protection des données a été introduit dans le but de protéger les informations personnelles sensibles et prévoit des sanctions sévères si les entreprises perdent le contrôle des données ou les traitent sans le consentement approprié. Il est mis en œuvre par une mosaïque de bureaux nationaux de protection des données dans les 28 États membres de l'Union européenne, la responsabilité incombant de manière disproportionnée à l'Irlande, principal régulateur des grandes enseignes de la Silicon Valley qui y ont basé leurs opérations européennes comme Facebook.

Les amendes à ce jour font pâle figure face aux sanctions de plusieurs milliards d'euros imposées dans les affaires antitrust de l'UE, mais elles devraient augmenter avec le temps, car les appels et les litiges soumettent les sanctions à un examen minutieux et créent des précédents juridiques.

Commentant le rapport 2020, Ross McKean, un partenaire de DLA Piper spécialisé dans la protection des données, a déclaré : « le RGPD a propulsé la question de la violation des données au grand jour. Le taux de notification des violations a augmenté de plus de 12 % par rapport au rapport de l'année dernière et les régulateurs sont en train de tester leurs nouveaux pouvoirs pour sanctionner et infliger des amendes aux organisations ». En principe, les régulateurs peuvent infliger des amendes de 2 % ou, dans certains cas, de 4 %, du chiffre d'affaires global. Dans la pratique, ils devront juger si une sanction aussi lourde résiste au tribunal, a estimé McKean.

« Cela va prendre du temps - les régulateurs vont hésiter à passer à la sanction de 4 %, car les entreprises vont faire appel », a déclaré McKean. « Et vous perdez votre crédibilité en tant qu'organisme de réglementation si vous vous faites exploser en appel ».

La plus grande sanction unique menacée jusqu'à présent a été en Grande-Bretagne, où le régulateur a proposé une amende de 183 millions de livres (239 millions de dollars) contre le propriétaire de British Airways IAG pour le vol de données d'un demi-million de clients.

En vertu du RGPD, les violations de données à caractère personnel susceptibles d'entraîner « un risque » pour les droits et libertés des personnes physiques doivent être notifiées par l'organisme « responsable du traitement » à l'autorité de contrôle de la protection des données appropriée sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance. Lorsqu'une violation de données à caractère personnel est susceptible d'entraîner un « risque élevé » pour les droits et libertés des personnes physiques, ces personnes doivent également être informées sans retard injustifié. Les organisations encourent de lourdes sanctions pour avoir omis de notifier les violations de données à caractère personnel dans les délais impartis, y compris des amendes pouvant aller jusqu'à 10 millions d'euros, ou jusqu'à 2 % du chiffre d'affaires mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

De nombreuses organisations et, en fait, de nombreuses autorités de contrôle ont du mal à déterminer quand une violation est ou n'est pas à notifier, décision qui va dépendre du jugement du déclencheur juridique de la notification - là où il existe un « risque » pour les droits et libertés des personnes physiques. Aucun de ces termes n'est défini dans le RGPD. Certaines orientations sont disponibles, y compris, au niveau de l'UE, les lignes directrices sur la notification de violation de données à caractère personnel qui ont été initialement publiées par le groupe de travail Article 29 et adoptées par la suite par le Comité européen de la protection des données. Cependant, les orientations sont de haut niveau et ouvertes à une large interprétation. De plus amples informations seraient appréciées tant par les organisations signalant des infractions que par les autorités de contrôle évaluant les infractions afin de favoriser la cohérence et les meilleures pratiques en matière d'évaluation des risques. Une approche cohérente aiderait également les autorités de contrôle de l'UE à trier et à identifier plus rapidement les violations de données personnelles les plus graves.

Les retombées positives du RGPD

Mis à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE à mesure que les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification, et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Et les droits donnés aux consommateurs de l’UE ont des conséquences sur beaucoup de consommateurs ne faisant pas partie de l’UE qui bénéficient de pratiques améliorées à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée.

À l'occasion du premier anniversaire du RGPD le 25 mai 2019, Andrus Ansip, vice-président pour le marché unique numérique, et Věra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, ont fait la déclaration suivante :

« La sensibilisation des citoyens progresse, ce qui est un signe très encourageant. Selon des chiffres récents, près de six personnes sur dix savent qu'il existe, dans leur pays, une autorité chargée de la protection des données. Cela représente une augmentation significative par rapport au chiffre de quatre personnes sur dix enregistré en 2015. Les autorités chargées de la protection des données ont un rôle essentiel à jouer pour que le règlement général sur la protection des données produise des résultats sur le terrain.

« La nouvelle législation est devenue le plancher réglementaire de l'Europe, qui détermine notre réponse dans bien d'autres domaines. L'intelligence artificielle, le développement des réseaux 5G et l'intégrité de nos élections sont autant de domaines où l'existence de règles strictes en matière de protection des données contribue à ce que l'élaboration de nos politiques et de nos technologies repose sur la confiance des citoyens.

« Le rayonnement des principes du RGPD dépasse les frontières de l'Europe. Du Chili au Japon en passant par le Brésil, la Corée du Sud, l'Argentine et le Kenya, nous assistons à l'émergence de nouvelles législations sur la protection de la vie privée, fondées sur des garanties solides, des droits individuels opposables et des autorités de contrôle indépendantes. Cette convergence vers le haut offre de nouvelles possibilités de promouvoir les flux de données reposant sur la confiance et la sécurité.

« Le RGPD a modifié le paysage en Europe et au-delà. Néanmoins, la conformité aux règles est le résultat d'un processus dynamique et ne peut se réaliser du jour au lendemain. Notre priorité principale pour les mois à venir est de parvenir à une mise en œuvre correcte et uniforme des règles dans les États membres. Nous invitons instamment les États membres à respecter la lettre et l'esprit du RGPD afin de créer un environnement prévisible et d'éviter de faire peser une charge excessive sur les parties prenantes, en particulier les PME. Nous poursuivrons également notre coopération étroite avec le comité européen de la protection des données et les autorités nationales chargées de la protection des données, ainsi qu'avec les entreprises et la société civile, afin de répondre aux questions les plus pressantes et de faciliter la mise en œuvre des nouvelles règles ».

Source : rapport

Et vous ?

Pensez-vous que le RGPD a contribué à améliorer votre expérience en ligne ? Dans quelle mesure ?
Quelle lecture pouvez-vous faire de ces statistiques ?

Voir aussi :

RGPD : une enquête montre comment des applications populaires comme Tinder ou Grindr envoient des données hautement personnelles à des milliers de partenaires publicitaires
La California Consumer Privacy Act entre en vigueur. Sous cette version US du RGPD, les entreprises proposent aux utilisateurs de supprimer leurs données s'ils ne veulent pas qu'elles les vendent
L'ICO annonce son intention d'infliger une amende de 110 MM € à Marriott pour infraction au RGPD, suite à un cyber incident signalé en novembre 2018
En application du RGPD, British Airlines risque une amende de 183 millions de livres suite au piratage de son site web de réservations

[petitours]

Et les retombées négatives ?

J'en vois une perso : donner plus de force aux GAFA face aux "petits" qui ne disposent pas d'une armée de juriste pour maitriser les risques du RGPD (ou le contourner dans le cas des gafas)

[Christophe]

Oui , c'est vrai.

Maintenant, en cas de contrôle, je pense que les amendes ou avertissement tiennent compte du cas de figure.

[Stéphane le calme]

L'Union européenne s'apprête à réviser sa législation sur les cookies et admet que les bannières de cookies sont gênantes.
La Commission espère que les grandes plateformes accepteront un « engagement volontaire en matière de cookies »

L’Union européenne envisage de modifier la réglementation sur les cookies, qui oblige les sites web à obtenir le consentement des visiteurs pour utiliser des cookies. Cette mesure vise à donner aux utilisateurs plus de contrôle sur leurs données personnelles et à réduire les nuisances causées par les bannières de cookies, qui apparaissent sur la plupart des sites web. Le commissaire européen à la Justice, Didier Reynders, a déclaré à ce sujet : « Selon la loi, l'utilisation de cookies pour traiter des données personnelles ne peut pas se faire sans le consentement explicite des utilisateurs. Mais cela ne signifie pas que la navigation sur le web doit finalement devenir une affaire pénible ».

L'obligation pour les sites web d'obtenir le consentement des visiteurs pour l'utilisation de cookies a permis aux utilisateurs de mieux contrôler leurs données lorsqu'ils naviguent. Toutefois, elle a conduit à l'apparition d'interminables et ennuyeuses bannières d'autorisation de cookies sur la plupart des sites web. Conscientes de ce problème, les autorités de l'UE envisagent de réviser ces exigences, bien que le résultat puisse dépendre de la conformité des grandes plateformes.

Le commissaire européen à la Justice, Didier Reynders, a récemment déclaré au journal allemand "Welt am Sonntag" que la Commission européenne était consciente de l'ennuyeuse bannière de consentement aux cookies et qu'elle discutait d'une solution. Il a ajouté que même si les sites Web ne peuvent plus activer les cookies sans en informer les utilisateurs, cette disposition ne devrait pas transformer la navigation sur le Web en une affaire fatigante.

Ces dernières années, la plupart des visiteurs du site Web ont rencontré des bannières ou des fenêtres contextuelles demandant l'autorisation pour divers types de cookies, y compris ceux essentiels aux fonctionnalités de base du site, les cookies publicitaires et autres. Heureusement, de nombreux sites proposent un choix simple entre accepter tous les cookies ou bloquer tous les cookies non essentiels. Cependant, de nombreux sites nécessitent plusieurs clics pour refuser les cookies, ce qui incite souvent les visiteurs à opter pour le bouton « tout autoriser » pour plus de commodité.

Ces bannières sont affichées pour respecter les règles de confidentialité du RGPD, mises en œuvre par l'UE en 2018. Reynders a indiqué que la Commission visait à atténuer la « lassitude des cookies » tout en veillant à ce que les utilisateurs comprennent les mécanismes de la publicité en ligne et prennent des décisions éclairées au sujet de leurs données.

L'une des solutions proposées consiste à exiger des sites web qu'ils mémorisent les préférences des visiteurs, ce qui permettrait de ne présenter le formulaire de consentement qu'une fois par an : « Nous allons lutter contre la 'fatigue des cookies' croissante parmi les utilisateurs en ligne, tout en aidant les consommateurs à mieux comprendre les modèles publicitaires et à opter pour des publicités moins intrusives. Par exemple, on ne devrait demander à nouveau au consommateur s'il est prêt à accepter des cookies qu'un an après sa dernière demande ».

En mars déjà, lors du Sommet européen de la consommation, Didier Reynders avait demandé que des mesures soient prises. Au printemps 2024, après l'accord du Comité européen de la protection des données (CEPD), les entreprises seront concrètement tenues de s'engager volontairement dans de nouvelles règles en matière de cookies. Cet engagement consisterait à fournir des informations transparentes sur l'utilisation des cookies et à éviter d'importuner les utilisateurs. Il est à espérer que les sites web plus petits s'inspireront de cette approche.

Mieux protéger les données personnelles

Selon les constatations de l'autorité de la Commission, le fait de demander constamment aux consommateurs s'ils souhaitent des cookies conduit également à ce que les utilisateurs donnent automatiquement leur accord, sans savoir quelles sont les conséquences individuelles pour la protection des données personnelles et quels sont les profils exacts qui peuvent être créés par la suite.

L'objectif de la Commission européenne est une « initiative d'engagement sur les cookies » ('cookies pledge'), dans le cadre de laquelle les grandes plateformes Internet s'engagent volontairement à mieux informer leurs utilisateurs sur les petits fichiers texte et à les protéger contre les déclarations de consentement intrusives. L'espoir à Bruxelles est qu'après un engagement volontaire des géants de l'Internet, les petits fournisseurs suivront.

Reynders a déclaré : « Je suis persuadé que cette initiative volontaire peut ouvrir la porte à de nouvelles pratiques en ligne, qui seront ensuite plus respectueuses des droits des consommateurs ».

L'engagement volontaire prévoit également que les utilisateurs d'un site web soient informés à l'avance et de manière détaillée, à un endroit bien visible, sur le modèle commercial de l'entreprise - notamment sur l'utilisation des données personnelles à des fins publicitaires et sur le financement du site web en question. En outre, le consommateur doit également pouvoir choisir entre des modèles publicitaires basés sur le tracking ou des modèles « plus respectueux de la vie privée ».

Google va amorcer la suppression des cookies tiers pour 30 millions d'utilisateurs Chrome.

Depuis les derniers mois de 2023, les utilisateurs ont la possibilité d'accepter la suppression des cookies tiers, et cette fonctionnalité commence désormais à être déployée par défaut auprès d'internautes sélectionnés.

Les cookies tiers se sont avérés nocifs pour la vie privée, c'est pourquoi Google, motivé par ses concurrents qui bloquent déjà les cookies tiers par défaut et par les régulateurs, a préparé une série d’API (interfaces de programmation d’applications) qui font partie de son initiative Privacy Sandbox. Ces API sont conçues pour offrir aux annonceurs des moyens alternatifs de cibler les utilisateurs, sans collecter ni partager leurs données personnelles.

Au lieu de travailler avec des outils et des protections limités, les API permettent au navigateur d’un utilisateur d’agir en son nom (localement, sur son appareil) pour protéger ses informations personnelles lorsqu’il navigue sur le web. Il s’agit d’un changement d’orientation pour les navigateurs. La vision du futur de la Privacy Sandbox consiste à ce que les navigateurs fournissent des outils spécifiques pour satisfaire des cas d’usage spécifiques, tout en préservant la vie privée des utilisateurs.

L'une d'elle est particulièrement mise en avant : l'API Protected Audience.

Voici une version simplifiée de la façon dont l'API pourrait fonctionner. Lorsqu'un utilisateur navigue sur un site Web qui a mis en œuvre des scripts d'audience protégée, ces scripts peuvent s'exécuter et placer le navigateur de l'utilisateur dans divers groupes d'intérêt (qui appartiennent à un vendeur de publicité spécifique ou à une plateforme côté demande). Ces groupes peuvent être informés par l'API Topics associée, mais ils existent séparément.

Ainsi, une visite sur un site Web sur le vélo peut amener le navigateur de l'utilisateur à être ajouté au groupe d'intérêt sur le vélo. Cette désignation existe localement chez le client, et non sur le serveur, à titre de protection de la vie privée.

Sur un autre site Web, le « remarketing » a lieu. Les scripts d'audience protégée peuvent lancer une enchère publicitaire dans le navigateur qui intègre les informations d'intérêt stockées localement (cet utilisateur aime les vélos) et les annonceurs qui souhaitent toucher les personnes intéressées par les vélos peuvent enchérir pour présenter une annonce associée à l'utilisateur.

L'annonce du gagnant de l'enchère serait ensuite présentée dans un <fencedframe> - une variante de l'élément iframe HTML conçu pour empêcher l'éditeur du site de tirer des conclusions sur les intérêts des visiteurs sur la base d'enchères publicitaires lancées via des scripts de site.

Selon l'évaluation du chercheur en confidentialité Dr Lukasz Olejnik, « il est possible d'utiliser ce système d'une manière conforme à la législation européenne sur la protection des données ». Il peut même être mis en œuvre, suggère Olejnik, d'une manière qui ne traite pas du tout les données personnelles – évitant ainsi la nécessité de présenter une demande de consentement en vertu du Règlement général sur la protection des données (RGPD) européen.

Cela ne signifie pas que la technologie est parfaite ou qu'elle n'est pas soumise à d'autres obligations légales, comme la directive européenne relative à la vie privée et aux communications électroniques. Mais l'évaluation d'Olejnik sera probablement bien accueillie par Google et par d'autres organisations cherchant à adopter la technologie publicitaire prétendument respectueuse de la vie privée de l'éditeur de Chrome.

Conclusion

L'équilibre entre la confidentialité des données et les besoins publicitaires n'est pas l'apanage des régulateurs. Google travaille à la transition de Chrome vers l'abandon des cookies. Des innovations telles que les "Trust Tokens" et les "Privacy Sandbox" sont conçues pour offrir aux annonceurs des informations limitées sur les clients tout en protégeant les données personnelles. Toutefois, certains craignent que Google n'exploite ces systèmes pour limiter les fonctionnalités du navigateur, telles que les extensions. Google prévoit de supprimer progressivement les cookies tiers ce mois-ci.

Le défi de Google est de trouver cet équilibre, car la publicité est vitale pour son modèle économique. En revanche, des entreprises comme Mozilla et Apple, qui ne dépendent pas fortement des recettes publicitaires, ont pris des mesures plus décisives contre les cookies publicitaires.

Source : Welt am Sonntag

Et vous ?

Que pensez-vous de la réglementation actuelle sur les cookies ? Est-elle efficace pour protéger vos données personnelles ?
Préférez-vous accepter tous les cookies ou bloquer ceux qui ne sont pas indispensables ? Pourquoi ?
Quels sont les avantages et les inconvénients des alternatives aux cookies proposées par Google et d’autres entreprises ?
Faites-vous confiance aux grandes plateformes comme Meta, X et d’autres pour respecter un « engagement sur les cookies » volontaire ? Pourquoi ou pourquoi pas ?
Comment voyez-vous l’avenir de la publicité en ligne et de la protection des données ? Quels sont les défis et les opportunités ?

[petitours]

Et vous ?

Que pensez-vous de la réglementation actuelle sur les cookies ? Est-elle efficace pour protéger vos données personnelles ?
Préférez-vous accepter tous les cookies ou bloquer ceux qui ne sont pas indispensables ? Pourquoi ?

Le RGPD est une épée de damoclès destructrice pour toutes les petites boites et une blagounette joyeusement contournée par les grosses boites dont les juristes trouvent sans peine la faille. C'est donc une mauvaise chose.
Le fenetre qui s'ouvre systématiquement avec la demande de consentement est une plaie d'ergonomie et 99% des utilisateurs, qui se moquent ou ne comprennent pas les enjeux, répondent en cliquant au plus vite sus oui. Perso je clique systématiquement sur oui parce que je suis persuadé que les malveillants font ce qu'ils ont à faire quand même et parce que la pub qui finance les sites est un modèle qui me va bien, surtout avec un bloqueur de pub pour ne pas la voir.

Faites-vous confiance aux grandes plateformes comme Meta, X et d’autres pour respecter un « engagement sur les cookies » volontaire ? Pourquoi ou pourquoi pas ?

Évidement que toutes les plateformes gratuites, qui font donc leurs milliards avec les données des utilisateurs ne respecte pas et ne respecteront jamais d'engagements.

Comment voyez-vous l’avenir de la publicité en ligne et de la protection des données ? Quels sont les défis et les opportunités ?

Je pense que le RGPD c'est du blabla ; ça ne sert à rien de demander approbation à l'utilisateur qui n'a pas la capacité matérielle ou technique de juger de quoi que ce soit.
La réglementation devrait définir les usages des données qui sont illégaux et condamner fermement ceux qui exploitent les données dans ce but illicite. La préoccupation de ce qui est acceptable ou pas par l'utilisateur est à déterminer en amont par le politique dont c'est le rôle.

[Xavdeb]

Pour se souvenir du choix pendant 1 an, il faudra soit laisser un cookie, soit enregistrer l'IP de la personne en BDD, et donc par là même enfreindre les règles de confidentialités imposées

C'est le serpent qui se mord la queue
Le mec qui a inventé ce système d'autorisation de cookie s'est bien fait plaisir mais a détruit l'ergonomie du web, et pour un résultat quasi nul à l'arrivée, sinon des complication à tous les niveaux (pour les créateur qui veulent suivre le trafi de leur site : c'est impossible, pour ceux qui veulent vérifier les mots clefs qui attirent le public, c'est impossible, pour ceux qui veulent offrir une expérience croisée entre plusieurs sites, c'est impossible

bref, aucun bénéfice visible, et un paquet de problèmes bien réels !

[seedbarrett]

Pour se souvenir du choix pendant 1 an, il faudra soit laisser un cookie, soit enregistrer l'IP de la personne en BDD, et donc par là même enfreindre les règles de confidentialités imposées

Ou alors on peut être originaux, par exemple laisser un token dans le navigateur qui gère directement les cookies. Après tout il existe déjà des plug in pour automatiquement refuser (ou accepter) les cookies par défaut.

[petitours]

(pour les créateur qui veulent suivre le trafi de leur site : c'est impossible, pour ceux qui veulent vérifier les mots clefs qui attirent le public, c'est impossible, pour ceux qui veulent offrir une expérience croisée entre plusieurs sites, c'est impossible

Sauf pour tous ceux qui le font joyeusement en ayant surement trouvé une belle règle juridique pour le faire sans inquiétude. Je pense à Facebook et tous les autres qui gagnent des milliards sur la base de l’échange de données utilisateur qui ont semble t-il ni stoppé ni ralenti leurs lucratives activités.
Non, ce n'est pas qu'une gène le RGPD, ce n'est pas qu'un danger ed mort pour les petites boites, c'est aussi et surtout un truc totalement inutile contre le mal visé.

[Jade Emy]

RGPD : est-ce que ça vaut la peine ? Comment le coût et les efforts nécessaires à la mise en œuvre du RGPD sont perçus par des travailleurs qui ont expérimenté la réglementation en tant que citoyens.

Des chercheurs ont étudié comment le coût et les efforts nécessaires à la mise en œuvre du RGPD sont perçus par les travailleurs qui ont également connu les avantages de la réglementation en tant que citoyens. Est-ce que cela en vaut la peine ?

Le règlement général sur la protection des données (RGPD) reste la référence en matière de réglementation sur la protection de la vie privée et la sécurité. Dans une étude en plusieurs étapes, ils ont sondé 273 puis 102 individus qui sont restés travailler dans les mêmes entreprises avant, pendant et après la mise en œuvre du RGPD. L'enquête révèle que les participants reconnaissent leurs droits lorsqu'ils y sont invités, mais qu'ils en savent peu sur leur régulateur. Ils ont observé des changements concrets dans les pratiques relatives aux données sur leur lieu de travail et apprécient les compromis. Ils sont rassurés par le fait que leurs données personnelles sont traitées avec autant de soin que les données des clients de leur employeur.

De leurs côté, les employeurs qui se conforment au RGPD et l'exécutent considèrent qu'il est positif pour leur entreprise, positif pour la vie privée et qu'il ne s'agit pas d'une réglementation inutile et bureaucratique. C'est rare, car cela contredit le discours négatif habituel sur la réglementation. Les décideurs politiques pourraient souhaiter s'appuyer sur ce soutien public tant qu'il dure et prendre en compte les premiers retours d'un double groupe professionnel-consommateur similaire au fur et à mesure de l'évolution du RGPD.

RGPD : Perceptions des travailleurs qui ont vécu sa mise en œuvre

Les personnes qui étaient employées avant mai 2018 et qui sont toujours employées par la même organisation auront expérimenté l'impact du RGPD sur leur lieu de travail de première main. Elles le mettent en œuvre en tant qu'employés et en bénéficient en tant que consommateurs. La Commission européenne (CE) et des cabinets de services professionnels ont enquêté sur la connaissance qu'ont les consommateurs de leurs droits et les entreprises de leurs obligations. Dans le monde universitaire, des études sur la réactance et des études comparatives sur la sensibilisation à travers l'Europe ont été réalisées.

Les chercheurs déclarent sur l'étude :

L'objectif de cette étude est de comprendre la double perspective unique de ce groupe (employés-consommateurs). Le RGPD a été étudié à partir de multiples points de vue. Cela va des défis de mise en œuvre auxquels les entreprises sont confrontées aux problèmes d'application auxquels les autorités de protection des données (APD) sont confrontées, en passant par les réalités opérationnelles auxquelles les consommateurs sont confrontés.

Contrairement aux études de perception précédentes qui se concentraient uniquement sur les consommateurs ou les professionnels des données, il s'agit de la première recherche empirique sur la manière dont ces personnes informées perçoivent le rapport coût-bénéfice de leurs droits en tant que consommateurs par rapport aux pressions qu'elles considèrent comme imposées à leur employeur pour soutenir ces droits. D'où notre question de recherche - RGPD : est-ce que ça vaut la peine ?

Pour exercer leurs droits, les consommateurs doivent connaître, dans une certaine mesure, l'identité, le rôle et les pouvoirs de l'autorité de régulation. La Commission européenne et certaines autorités de protection des données ont mené des enquêtes sur la sensibilisation et la confiance des consommateurs, mais les chercheurs n'ont trouvé que peu d'éléments attestant de campagnes publicitaires systématiques.

L'étude a vérifié si les citoyens informés savent qui est leur régulateur et ce qu'ils attendent de lui. La majeure partie de la couverture médiatique du RGPD, axée sur les entreprises, se concentre sur les violations de données et les amendes des régulateurs. Elle met l'accent sur les effets dissuasifs des sanctions prévues par le RGPD au détriment de toute incitation au changement ou à la hausse pour les entreprises.

Les chercheurs commentent :

Si l'objectif de la réglementation en matière de protection de la vie privée est le changement de comportement, il est difficile de le mesurer. Les données disponibles, telles que le nombre d'amendes, donnent une image très imparfaite et incomplète de la conformité au sein des entreprises. Au lieu de cela, nous testons quels changements induits par le RGPD ont été observés par nos répondants au sein de leur organisation et s'ils estiment que ces changements ont été nets-positifs.

À la fin de l'enquête, après avoir amené nos répondants à considérer le RGPD sous de multiples angles, nous leur demandons s'ils estiment que le RGPD en a valu la peine. Leur réponse est importante car elle touche au cœur de la protection de la vie privée à l'ère numérique. Sans protection des données, les citoyens seront sans doute exposés à davantage de profilage, de surveillance et d'influence de masse de la part des annonceurs numériques et/ou de l'État.

Nous constatons que le citoyen-consommateur informé adhère au RGPD, avec tous ses aspects positifs et négatifs. Cette constatation a d'importantes implications pour les décideurs politiques et les régulateurs, qui pourraient souhaiter apprendre à imiter ce soutien public et à s'en inspirer pour les futurs déploiements de la réglementation.

Cette recherche a examiné la perception du RGPD par les personnes informées. Cet aspect est important, car il permet d'évaluer l'adhésion du public et d'apprendre ce qui fonctionne lorsqu'on envisage de nouvelles réglementations en matière de protection de la vie privée. Les résultats permettent de dégager plusieurs conclusions.

Sensibilisation et connaissance élevées des consommateurs à l'égard du RGPD

Les résultats révèlent une forte sensibilisation au RGPD parmi les participants, 93 % d'entre eux l'ayant reconnu dans l'enquête de la phase #2, ce qui représente une nette amélioration par rapport aux précédentes enquêtes de l'UE. Ces résultats correspondent à la littérature selon laquelle les gens apprennent le RGPD par les nouvelles, la formation de l'employeur et les avis de consentement aux cookies. Les départements tels que les RH, l'informatique, le marketing et le service juridique sont plus sensibilisés que les autres, peut-être en raison de l'impact plus important sur leur travail.

Bien que les participants ne soient pas spontanément confiants quant à leurs droits en matière de RGPD, ils reconnaissent les droits des consommateurs lorsqu'on leur demande. Ils comprennent notamment le droit d'être informé et le droit de demander des copies des données. Ils sont moins confiants lorsqu'il s'agit de reconnaître des droits inventés de toutes pièces - enregistrant des scores d'incertitude élevés - mais il s'agit probablement de la bonne réaction. De même, bien que les participants ne soient pas spontanément confiants quant aux obligations de conformité au RGPD de leur employeur, ils ont obtenu des scores élevés dans l'ensemble, à l'exception de l'exemption relative à la sécurité nationale, qui n'est guère connue de tous.

Les répondants n'avaient pas d'opinion arrêtée

L'enchaînement des questions a été conçu pour éviter tout biais avant de poser la question centrale de la recherche : "Le RGPD en vaut-il la peine ?" Au départ, les répondants étaient dans le flou en ce qui concerne le RGPD et son impact sur leur travail. Cependant, une fois qu'ils ont été invités à répondre à des questions spécifiques sur le RGPD, le régulateur et les répercussions observées au travail, ils ont terminé l'enquête avec une évaluation positive du RGPD.

On peut supposer que les participants peuvent s'en tenir à des sentiments instinctifs imprécis s'ils ne sont pas invités à examiner les avantages et les inconvénients spécifiques du RGPD. Les futures enquêtes sur la protection des données pourraient améliorer la qualité des réponses en donnant aux participants l'espace nécessaire pour développer une opinion.

Le RGPD a entraîné des changements

Les résultats de l'enquête montrent que les gens ont constaté des changements au travail. Cela montre que le RGPD fonctionne. On peut être sûrs que les réponses sont "solides" car elles sont très similaires à celles qu'ils ont données aux mêmes questions deux mois auparavant lors de la phase 2 du projet pilote. En particulier, ils ont observé que les données à caractère personnel sont traitées avec plus de soin et ils ont reçu des formations régulières sur le risque d'amendes en cas d'utilisation abusive ou de violation des données. De manière plus générale, ils sont plus d'accord que de désaccord avec tous les changements observés. Le changement qui a reçu le score d'incertitude le plus élevé est "Mon entreprise collecte moins de données personnelles qu'auparavant", mais même dans ce cas, les personnes sont plus nombreuses à être d'accord qu'à être en désaccord.

Les gens reconnaissent les avantages (amélioration de la sécurité des données) et les inconvénients (bureaucratie, temps, coût) de ces changements induits par le RGPD pour leurs employeurs et pour eux personnellement. Ce dernier point concernant la cybersécurité correspond à des recherches antérieures. Toutefois, ces résultats apportent une contribution originale à la manière dont les participants évaluent cette question. Pour leur employeur, les participants pensent qu'une meilleure sécurité de l'information signifie moins de risques d'amendes. On peut supposer qu'ils interprètent cela comme une meilleure sécurité de l'emploi pour eux-mêmes. Pour l'employé, une meilleure sécurité de l'information lui donne l'impression que ses propres données sont traitées avec plus de soin par son propre employeur. Les chercheurs pensent qu'on peut projeter cette attente sur d'autres entreprises.

Amélioration de la perception de la protection de la vie privée

Les résultats montrent que les gens estiment que leur vie privée est meilleure depuis l'introduction du RGPD en 2018. Il s'agit d'un résultat important et positif, car les enquêtes empiriques comparatives sont rares. Les enquêtes de l'ICO portent sur les changements annuels des scores de confiance et de confiance plutôt que sur la vie privée en tant que telle. D'autres recherches sur la perception portent sur le contrôle, le choix et les perceptions du risque.

Le profil de l'autorité de régulation n'a pas forcément d'importance

Les résultats montrent que les gens ne connaissent pas très bien l'ICO en tant que consommateurs ou en tant qu'employés. Son nom n'est pas très connu. Cela dit, la notoriété de l'ICO s'est améliorée depuis l'enquête Eurobaromètre de l'UE en 2019. À l'époque, seuls 21 % des Britanniques connaissaient l'identité de l'ICO, alors qu'ils étaient 38 % à la reconnaître lors de la phase 2. Les gens pensent que son rôle est double - contrôler la conformité, y compris la sécurité des données et l'utilisation abusive des données, et infliger des amendes. Cela correspond à certains énoncés de mission de l'ICO.

Les gens considèrent que l'ICO est davantage tourné vers l'entreprise et moins vers le consommateur. Cela n'a peut-être pas d'importance puisque l'ICO atteint ses objectifs en effectuant des contrôles par l'intermédiaire des entreprises. Si les personnes qui comptent, c'est-à-dire les DPD et les cadres supérieurs, plutôt que les employés ordinaires, sont au courant de l'existence de l'ICO, cela n'entravera peut-être pas son efficacité.

Régulateur = exécutant

Les attentes des citoyens en matière d'application de la loi sont complexes. Contrairement au spectre de l'exécutant et du conseiller décrit dans l'analyse documentaire, la population générale attend fermement de son régulateur qu'il soit un défenseur agressif de ses droits, axé sur la conformité, plutôt qu'un conseiller, axé sur le conseil, pour elle et son employeur. Ils considèrent que le régulateur est là pour punir et infliger des amendes aux entreprises qui ne respectent pas les règles. Cependant, la moitié d'entre eux ne se souviennent pas d'une entreprise ayant été condamnée à une amende. La moitié d'entre eux ne se souvient pas des noms des coupables.

Quelle est donc l'importance réelle des amendes dans leur perception de l'autorité de régulation et de la réglementation ? L'analyse de régression suggère que les gens sont plus susceptibles de croire que les entreprises ont peur des amendes du RGPD s'ils estiment que la protection de la vie privée s'est améliorée parce qu'ils ont observé des changements chez leur propre employeur et qu'ils sont conscients des obligations de conformité des entreprises.

Le RGPD en vaut la peine si...

L'analyse de régression suggère que les modèles mentaux suivants sont en jeu : Les gens pensent que le RGPD en vaut la peine parce qu'ils estiment que leur vie privée est meilleure depuis l'introduction du RGPD. Les gens sont plus susceptibles de dire cela s'ils sont sûrs de connaître leurs droits en tant que consommateurs, s'ils connaissent les pouvoirs de l'autorité de régulation et s'ils ont observé directement le mélange de changements positifs et négatifs au travail.

Les gens sont plus susceptibles de penser que le RGPD est bon pour leur entreprise et pas trop de tracas s'ils ont vu plus de changements positifs et moins de changements négatifs à l'œuvre et, curieusement, ne sont pas trop au courant du rôle du régulateur et des obligations de conformité. Il s'agit en quelque sorte d'une situation "boucles d'or" : ils voient plus de changements positifs que négatifs et ne considèrent pas le régulateur comme trop puissant ou trop exigeant.

Implications de l'étude

Les chercheurs examinent les implications de ces conclusions aux niveaux théorique, managérial et des décideurs politiques/régulateurs :

Sur le plan théorique, nous nous interrogeons sur la durabilité des changements inspirés par le RGPD observés dans cette étude. Y aura-t-il un déclin de la conformité au fil du temps, compte tenu de la concurrence des nouvelles réglementations pour attirer l'attention des entreprises ? Le RGPD a bénéficié d'une publicité massive lors de son lancement, mais c'était il y a cinq ans. Il y a des raisons d'espérer. Des expériences récentes suggèrent que la réglementation européenne sur les données renforce souvent la conformité dans d'autres domaines, ce qui pourrait atténuer le déclin. En outre, de nouvelles réglementations sur la protection des données à l'étranger, inspirées par le RGPD, pourraient revigorer sa pertinence.

Au niveau managérial, notre recherche suggère qu'une sensibilisation constante et une formation aux connaissances du RGPD peuvent avoir des effets imprévus. Les attentes accrues des employés à l'égard de pratiques élevées en matière d'hygiène des données de la part de leurs employeurs peuvent pousser les entreprises à promouvoir leurs références au RGPD afin de rassurer le personnel et les clients et de favoriser la confiance dans leur marque.

Notre étude nous incite également à réfléchir au positionnement optimal d'une autorité de régulation. Si l'ICO se concentre principalement sur la conformité des entreprises plutôt que sur la protection des consommateurs, cela a des implications pour les décideurs politiques. Par exemple, le gouvernement britannique devrait-il demander à l'ICO d'infliger davantage d'amendes pour renforcer leur effet dissuasif sur les entreprises ?

La perception positive du RGPD parmi ceux qui s'y conforment et le mettent en œuvre suggère des enseignements précieux pour l'élaboration des politiques futures. L'intégration d'un retour d'information précoce et l'adhésion d'un double échantillon de professionnels et de consommateurs pourraient améliorer l'élaboration de nouvelles réglementations dans ce domaine.

Limites et travaux futurs

Bien que le RGPD du Royaume-Uni soit pratiquement identique à celui de l'UE, les conclusions tirées d'un échantillon uniquement britannique peuvent ne pas être applicables à d'autres pays de l'UE, en particulier en ce qui concerne les résultats spécifiques aux régulateurs en raison des différences de compétences et de ressources des régulateurs nationaux. De plus, il est possible que des entreprises aient répondu plusieurs fois à l'enquête.

En élargissant la taille de l'échantillon, les travaux futurs pourraient étudier si les opinions des participants sont influencées ou différentes en fonction de leur secteur d'activité ou de l'autorité de régulation de leur pays. Juste avant la soumission, l'ICO a publié une enquête avec un échantillon plus important que le nôtre, ce qui corrobore nos résultats en ce qui concerne des questions comparables. Une autre piste de recherche consisterait à étudier comment les nouvelles réglementations complémentaires relatives aux données se renforcent mutuellement et influencent les perceptions des consommateurs.

Conclusion

Au Royaume-Uni, la sensibilisation au RGPD est élevée et les consommateurs comprennent leurs droits. Ils perçoivent une amélioration de la protection des données et du contrôle des données personnelles depuis l'introduction du RGPD. Bien que l'identité du régulateur soit moins connue, les participants à l'étude reconnaissent son rôle dans le respect des droits et l'imposition d'amendes. Cela pourrait devenir un point d'insatisfaction à long terme, car les participants ont eu du mal à se souvenir des entreprises qui avaient effectivement été condamnées à des amendes.

Il est intéressant de noter que les employés considèrent le RGPD comme une bonne chose pour leur entreprise, car il protège les données des clients et leurs données personnelles. Bien qu'ils reconnaissent les frais généraux (personnes, processus et techniques), ils estiment que le RGPD clarifie les exigences de conformité imposées à leur employeur et ce qu'il doit faire pour éviter de se voir infliger une amende. Ils sont conscients que leur employeur (et, par extension, les autres entreprises) doit être plus consciencieux dans le traitement et la sécurisation des données à caractère personnel.

En résumé, bien que le RGPD puisse être considéré comme une imposition, les participants pensent toujours qu'il en vaut la peine. Ces observations ont des implications importantes pour les décideurs politiques et les régulateurs qui pourraient souhaiter s'inspirer de ce soutien public pour les futurs déploiements de réglementations.

Source : "GDPR: Is it worth it? Perceptions of workers who have experienced its implementation"

Pour plus d'information sur les grandes lignes du RGPD, voici un guide pratique. Il vous présentera les aspects concernant le développement : RGPD : Un guide pratique pour les développeurs

Et vous ?

Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

74% des experts affirment que les autorités chargées de la protection des données trouveraient des "violations du RGPD" dans les entreprises si elles les examinaient, selon Noyb

L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été, selon une page récemment publiée sur son site Web

5 ans après, 15 experts du stockage des données se prononcent sur le RGPD : le RGPD a-t-il été un succès, un échec ou quelque chose entre les deux ? Le RGPD a-t-il atteint les objectifs fixés ?

Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

[matmoul]

Et pour les bouchons des bouteilles en plastiques, il faudra combien de temps

Pour en revenir aux Cookies, cela ne servait à rien, car dans bien des cas, les gens cliquent sur le bouton accepter sans se poser de question.
Pour les plus avertis, ils effacent leurs Cookies à la fermeture du navigateur.

Et c'était sans compter sur le fingerprinting ou le localstorage qui ne sont pas pris en compte et bien plus redoutables.

[JackIsJack]

Il faut juste arrêter la paranoia à 2 balles... Si vous avez des vraies raisons de cacher vos activités, investissez 3 euros dans un vpn ou naviguez en mode privé. Traitez votre paranoia avec au moins des moyens un peu crédibles. Qu'est ce qui vous dit que le site (auquel vous ne faites pas confiance) va réellement respecter votre choix ? C'est absurde.

L'UE sait imposer des millions d'amendes sur les meilleurs cerveaux du marché, et quand il s'agit d'utiliser le sien, ça donne des bandeaux inutiles sur absolument tous les sites internet.

[petitours]

Combien d'utilisateur a idée de ce qui peut se faire avec les cookies ?
Combien comprend un mot de ce qui est expliqué dans "je choisis ce que j'accepte" ?
Combien d'éditeurs respectent les choix de l'utilisateur ?

Il me semblerait bien plus judicieux que l'UE définisse ce qui relève d'une utilisation abusive des cookies, l'interdise clairement et mettent en place des contrôles et tape très fort sur ceux qui pratiqueraient ces abus, le tout sans demande de consentement aux utilisateurs.

Ainsi le législateur ferait son boulot de protection et l'utilisateur averti ou non serait protégé sans perdre son temps à répondre à des questions inutiles.

[Artaeus]

Ils parlent de "vie privée" alors qu'ils veulent voter le ChatControl et toutes leurs autres lois idiotes de flicage (aka "vérification d'âge").

Au moins, le cookie, on peut choisir de le refuser !

[Aspartame]

j'ai le droit d'être parano, de refuser de me soigner.
en revanche, entretenir ma paraanoia, me pousser à la paranoia est un délit (atteinte morale à la personne).

il y a une commande des navigateurs pour effacer les cookies pour exercer mon droit.
pour entretenir ma paranoia, il y a les boîtes de cookies.

[Gluups]

Le plus simple serait encore un navigateur qui n'enregistre les cookies que le jour où l'utilisateur a coché la case "enregistrer les cookies", non pas sur la page web, mais sur une barre d'outils du navigateur, qu'on fait apparaître au moment où on en a besoin.
Tant qu'il n'a pas coché, il n'y a pas de question à poser, la notion de cookie n'existe pas.

Parce qu'en définitive, le site web publie une invitation à enregistrer des cookies, c'est le navigateur qui accepte ou non cette invitation. Sur invitation non pas du lecteur du site web, mais de l'utilisateur du navigateur.

Depuis longtemps il y a des sites web qu'on ne peut plus lire sous Firefox, à cause de la profusion de questions sur les cookies.

Sinon, j'ai vu une expression de bon sens, tout-à-l'heure.
C'est vrai, pour qu'on puisse reconnaître comme légitime l'autorité de l'UE, ce qui importe est qu'elle définisse clairement ce qui est abusif, plutôt que d'inviter les gens à se laisser abuser, de préférence en noyant le plus possible le poisson.

[Gluups]

Parce qu'en définitive, le site web publie une invitation à enregistrer des cookies, c'est le navigateur qui accepte ou non cette invitation. Sur invitation non pas du lecteur du site web, mais de l'utilisateur du navigateur.

C'est vrai que j'aurais dû prendre mon temps, parce qu'une invitation (de l'utilisateur) à accepter une invitation (du site web), il vaut mieux boire son café avant, pour suivre.

[pierre.E]

tous ces clics en plus ca abime le doigt
les cookies par defauts devraient etre je refuse tout.

[Matthieu Vergne]

Si les gens acceptent c'est parce que refuser ne se fait pas aussi facilement qu'accepter. La CNIL s'est positionnée de manière très claire sur ce sujet : refuser doit être aussi simple que d'accepter, point final. Sauf que ça, c'est un détail d'implémentation français, pas européen. Il faut qu'ils le généralisent pour forcer tous les sites européens à le faire. Puis que ça prenne aux US pour généraliser davantage.

Une fois cela mis en place, c'est la répétition d'un site à l'autre qui devient ennuyante. Et si tu vas un poil plus loin qu'un simple tout ou rien, là c'est létal. Factoriser l'info au niveau du navigateur, ça me semble être une bonne idée sur le papier, jusqu'au jour où tu souhaites différencier (ce qui doit être particulièrement rare, cela dit).

Déjà, qu'ils généralisent l'obligation de simplicité équivalente. Ensuite, une fois que le oui et le non se battront à armes égales, on pourra voir ce que ça donne en terme de comportements d'un point de vue statistique : si tout le monde les refuse, c'est que ces modèles économiques eux-même sont à interdire. Si on a du oui et du non, et que ça reste très binaire, alors simplifier en supprimant les détails et juste indiquer oui/non avec un texte générique. Sinon garder les détails. Et après ça on pourra parler factorisation des infos dans le navigateur ou autre.

[Artemus24]

La question que je me pose est : à quoi sert un cookie ? Certainement pas à l'utilisateur qui entre dans un site, ou à du paramétrage qui se sert pas à grand chose. Je considère qu'un site web est avant tout une vitrine, où dans la plupart des cas, je n'ai pas besoin de faire quoi que ce soit d'autre que de lire, et non une application où je dois sans cesse intervenir pour je ne sais quelle raison définie par le webmaster. Cela devient contraignant de cliquer continuellement, de voire des pop-ups surgir comme un diable de sa boite, de s'authentifier sans raison apparente. En fait, tout cela est fait pour nous contraindre à être repérable sur la toile, à connaitre nos habitude, pour alimenter les IA et autres publicités ciblées.

Tout est fait d'un point de vue mercantiles et non pour faciliter l'accès à l'information. Ils sont en train de tuer l'internet avec toutes ces conneries.