Données personnelles : un mois après son lancement, comment les médias américains se débrouillent-ils avec le RGPD ?

TECH
DATA - Un mois après l'entrée en vigueur du règlement pour protéger les données personnelles (RGPD), les sites -surtout à l'étranger- ont chacun leur idée de la conformité. Certains ont même préféré fermer leurs portes à l'Europe plutôt que de risquer une amende.

"Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant (...)". Ces quelques mots sont le cœur du réacteur du Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. Depuis lors, un site internet doit vous informer des données qu'il rassemble à votre sujet et à quel usage elles sont destinées.  Et surtout, il doit vous donner la possibilité de valider ses usages ou de vous y opposer. 

Avec un premier brouillon publié en 2012, l'essentiel des grands sites ont eu le temps de se conformer aux nouvelles règles, même si, avec un mois de recul, on observe un peu de cafouillage, surtout pour des sites étrangers qui ont longtemps dû penser que le dispositif ne les concernait pas.

D'abord, il y a ceux qui ont clairement anticipé. Chez nos confrères du magazine économique Forbes, chaque nouveau visiteur verra apparaître une fenêtre qui lui demandera de valider la nouvelle politique de gestion des données personnelles. À défaut, l'internaute pourra rentrer dans les détails, et gérer les cookies qui permettent la personnalisation du contenu et des publicités. 


Comme beaucoup d'autres, Forbes les classe par niveau d'importance : ceux qui sont essentiels au fonctionnement du site, et les autres, que le formulaire ne permet pas vraiment de gérer un par un. Surtout, dans ceux qui lui sont essentiels, on trouve les cookies de Google et d'autres, qui servent à offrir une publicité ciblée. Dernier raffinement, un peu filou : si l'on désactive tous les cookies, valider ses choix prendra quelques minutes d'attente à regarder une roue tourner. Un processus un peu artificiel, qui peut s'arrêter si l'on revient sur ses choix : curieusement, accepter tous les cookies ne prend qu'une seconde. 

Autre cas de figure, pour certains grands sites : l'absence de choix, ou presque. C'est le cas pour nombre de sites média, comme nos confrères de The Verge, de Slate ou le grand site médical WebMD. Ici, on peut au choix valider l'usage de ses données dès la page d'accueil, ou aller lire dans le détail les quelques dizaines de pages du règlement intérieur sur le sujet. Rien sur le site ne permet de gérer les cookies que l'on accepte ou non, le règlement se borne à expliquer comment l'internaute peut demander à son navigateur de ne plus accepter de cookies, du tout, de quelque site que ce soit. On est bien loin des préconisations du RGPD, et pourtant, c'est ça, ou la porte : à défaut de cliquer sur le bouton "J'accepte" sur la page d'accueil, le site reste inaccessible. Mais il y a plus fou encore...

À côté de ceux qui ont choisi de donner à l'internaute plus ou moins d'outils, plus ou moins de latitude pour gérer l'utilisation de ses données, il y a aussi ceux à qui le RGPD fait peur, très peur, assez en tout cas pour préférer se fermer aux visites des internautes européens. Il faut dire que côté sanctions, le règlement tape fort, avec des amendes qui peuvent atteindre 4% du chiffre d'affaires global d'un site incriminé, de quoi pousser certains vers un excès de prudence, et pas que de petits sites : on trouve dans le lot de grands quotidiens régionaux, comme le Los Angeles Times, le New-York Daily News, ou le Chicago Tribune


Si vous vous connectez à partir d'un pays européen, tous afficheront une page d'accueil regrettant de ne pas pouvoir vous laisser accéder au site. Une solution radicale, qui tape quelque peu à côté de la plaque : ce que le RGPD protège, ce ne sont pas les internautes qui sont en Europe, mais les Européens, tous les Européens, où qu'ils se trouvent dans le monde. Un Belge, un Français, un Grec visitant les États-Unis et tombant sur un site qui ne respecte pas le RGPD suffirait sur le papier à qualifier une infraction au règlement.

Autre exemple, à l'opposé, mais tout aussi radical : USA Today, qui, depuis le mois dernier, affiche à ses visiteurs européens une version spécifique, sans besoin de valider quoi que ce soit. Et pour cause, vu d'Europe, le site n'envoie pas de cookie, et n'affiche pas l'ombre d'une publicité. De quoi continuer à exister en attendant de développer une solution RGPD-compatible, probablement, et un exemple de plus de mauvaise solution à de nouvelles règles que les éditeurs auraient pourtant dû voir venir. 

En vidéo

La minute pour comprendre : données personnelles, le trésor le plus convoité du 21ème siècle

Collectivement, les cafouillages des sites face au RGPD expriment bien une chose : si la loi est assez claire sur l'essentiel, elle ne dicte pas les détails de sa mise en œuvre dans toutes les situations, ni sur tout ce qui peut constituer une donnée personnelle ou un consentement éclairé. La preuve : certains se demandent même aujourd'hui si donner sa carte de visite à un contact veut forcément dire que l'on consent à voir les données qu'elle contient ajoutées à sa base de contacts. Clairement, on n'est pas sorti d'affaire.

Tout savoir sur

Tout savoir sur

Le RGPD, le plan de l’Europe pour protéger vos données personnelles

Sur le même sujet

Plus d'articles

Lire et commenter