Depuis l'entrée en vigueur du GDPR (General Data Protection Regulation) en 2018, les citoyens de l'Union européenne bénéficient d'une protection plus forte de leur vie privée et de leurs données. Cependant, la loi est loin d'être parfaite - et les grandes entreprises technologiques, les avocats de l'industrie et les lobbyistes se sont assurés d'utiliser tous les outils de leur arsenal pour soit contourner les dispositions du GDPR (par une interprétation erronée), soit influencer l'opinion publique sur la loi afin que les consommateurs ne les blâment pas pour les violations, mais le GDPR lui-même. Au cours des dernières années, cela a donné lieu à un certain nombre d'idées fausses sur la protection des données et le GDPR en particulier. C'est pourquoi, en l'honneur de la Journée de la protection des données de cette année, noyb clarifie 5 des idées fausses les plus courantes.
1. Le GDPR oblige les entreprises à utiliser des bannières de cookies
Cette affirmation est erronée. Le GDPR n'oblige pas les sites web à utiliser des bannières de cookies. En revanche, les entreprises sont tenues d'obtenir votre consentement explicite si elles souhaitent suivre vos déplacements en ligne. En général, cela se fait pour vous montrer des publicités personnalisées basées sur vos centres d'intérêt. Les entreprises ont choisi de demander votre consentement avec les bannières de cookies et en imputent souvent la responsabilité au GDPR.
Mais ce n'est pas tout : Pour maximiser les taux de consentement - et donc les profits - de nombreux sites web utilisent des bannières de cookies intentionnellement trompeuses et mensongères qui rendent (presque) impossible le refus ou le retrait du consentement.
Ainsi, la prochaine fois que vous verrez une bannière de cookies, rappelez-vous qu'elles n'existent pas à cause du GDPR, mais parce qu'une entreprise veut tirer profit de vos données personnelles.
2. Les entreprises doivent craindre les sanctions des autorités de protection des données
Malheureusement, les autorités de protection des données (APD) ne recourent à des mesures d'application strictes que dans des cas exceptionnels. Une analyse noyb de l'activité des DPA entre 2018 et 2023 a montré que seulement 1,3 % des cas aboutissent à une amende. La DPC irlandaise, qui est responsable de la plupart des grandes entreprises technologiques (Meta, Google, Apple, OpenAI, Microsoft et bien d'autres), n'émet même des amendes que dans 0,26 % des cas qu'elle traite. Et même si la DPC irlandaise inflige une amende, elle ne perçoit pratiquement jamais l'argent, comme le rapportent les médias.
Nous savons, grâce à nos quelque 900 dossiers, que les procédures s'étalent souvent sur plusieurs années et que l'entreprise n'obtient qu'un simple avertissement. Dans certains cas, une autorité de protection des données a même changé de rôle pour consulter l'entreprise qui a violé la loi sur la protection des données. C'est le cas par exemple : En 2024, noyb a attaqué en justice l'autorité de protection des données de Hambourg en raison de divergences dans une affaire Pay or Okay contre le magazine d'information allemand SPIEGEL. Au cours de la procédure devant l'autorité, la DPA de Hambourg était en contact étroit avec SPIEGEL. Au lieu d'enquêter et de décider en toute impartialité, elle a rencontré des représentants de la société à plusieurs reprises, les a invités dans ses locaux et leur a fourni un retour d'information sur les changements proposés dans la mise en œuvre du système "Pay or Okay". Pour les frais administratifs de la procédure, l'autorité de Hambourg a facturé 6 140 euros à SPIEGEL. C'est moins cher que n'importe quel avocat.
En résumé, il est malheureusement faux de croire que les entreprises doivent craindre de graves conséquences de la part des autorités chargées de la protection des données en cas de violation du droit fondamental à la protection des données.
3. La publicité doit être personnalisée, sinon personne ne l'achèterait et l'industrie de la publicité ferait faillite !
L'affirmation de l'industrie publicitaire selon laquelle elle a BESOIN de vous suivre à la trace sur l'internet et de vous bombarder de bannières de cookies trompeuses pour rester en activité est plus que controversée. En fait, il existe de nombreux autres moyens de monétiser un site web, tels que la publicité contextuelle, le placement de produits, le contenu payant ou les modèles "freemium", dans lesquels certains contenus ne sont disponibles que moyennant paiement.
Même des études scientifiques mettent en doute la rentabilité - et donc la nécessité - du tracking publicitaire tel qu'il est revendiqué par l'industrie de la publicité. Une étude américaine de 2019 montre, par exemple, que l'utilisation de données personnelles n'augmente les revenus d'un site web que d'environ 4 %. "Cela correspond à une augmentation moyenne de 0,00008 $ par publicité", conclut l'étude.
Mais il existe des exemples encore plus extrêmes : Le radiodiffuseur public néerlandais NPO a même fait état d' une augmentation de ses revenus après avoir abandonné la publicité ciblée.
Il est donc clair qu'il existe des solutions alternatives aux entreprises qui vous traquent sur l'internet.
4. Le GDPR interfère avec la liberté d'entreprise
Non, ce n'est pas le cas. La liberté d'entreprise, telle qu'elle est définie dans la Charte des droits fondamentaux de l'Union européenne, stipule clairement que vous avez la "liberté d'entreprendre conformément au droit de l'Union et aux législations et pratiques nationales".
Cela signifie que les entreprises doivent respecter la loi, qu'il s'agisse de fiscalité, de protection de l'environnement ou de protection des données et de la vie privée. Il n'existe pas de droit fondamental à la liberté d'entreprise qui l'emporte sur l'obligation légale d'une entreprise, même si de nombreuses sociétés le souhaiteraient.
En outre, la liberté d'entreprendre signifie en fait que vous êtes autorisé à exercer une activité économique. Vous êtes libre de devenir pharmacien, par exemple, et il n'est pas nécessaire que l'un de vos parents ait été pharmacien. Bien entendu, un pharmacien doit également respecter la loi. Il en va de mêmepour les grandes entreprises technologiques et autres.
5. Les citoyens abusent de leur droit d'accès et inondent les entreprises de demandes d'accès
Bien que le droit d'accès prévu à l'article 15 du GDPR soit essentiel pour garder au moins un peu de contrôle sur ses données personnelles à l'ère numérique, certaines entreprises s'y opposent, affirmant que cela demanderait un "effort disproportionné". Ces affirmations ont même été reprises dans un document de synthèse allemand, où les demandes d'accès sont décrites comme étant de plus en plus souvent "utilisées à mauvais escient".
Cependant, la réalité ne corrobore même pas cette affirmation. La loi contient déjà des garanties pour éviter les abus : Conformément à l 'article 12, paragraphe 5, du GDPR, les entreprises peuvent facturer une redevance raisonnable ou même rejeter les demandes si elles sont "manifestement infondées ou excessives, notamment en raison de leur caractère répétitif".
En outre, la grande majorité des entreprises opérant dans l'UE ne travaillent pas avec une telle quantité de données qu'elles reçoivent un grand nombre de demandes d'accès. Dans le cadre d'une enquête noyb (à paraître), 73,3 % des délégués à la protection des données (DPD) ont déclaré que le droit d'accès n'entraînait que peu ou pas de travail. Au contraire, les grandes entreprises se contentent souvent d'ignorer les demandes d'accès des consommateurs ou de ne pas divulguer certaines informations auxquelles les personnes ont droit en vertu de la loi. Le courtier en publicité Xandr (une filiale de Microsoft), par exemple, a fait état d'un étonnant taux de réponse de 0 % aux demandes d'accès et d'effacement en 2022.
En outre, la plupart des grandes entreprises technologiques ont désormais mis en place une sorte d'outil d'automatisation qui leur permet de répondre aux demandes d'accès au GDPR à grande échelle, généralement par le biais d'un outil de "téléchargement de vos informations" - mais elles ne vous fournissent toujours pas l'ensemble de vos données.
En d'autres termes, les entreprises ont les moyens de traiter les demandes d'accès sans charge de travail importante. Elles ne veulent simplement pas vous donner accès aux informations traitées.
6. Une idée fausse en prime : des milliards d'euros d'amendes sont imposés, noyb doit être riche !
Bien entendu, noyb ne reçoit aucune des amendes imposées par les autorités chargées de la protection des données. Lorsqu'une autorité de protection des données perçoit des amendes, l'argent est versé au budget de l'État du pays dans lequel l'autorité est basée (ou, en Espagne, à l'autorité de protection des données directement).
le travail de noyb en faveur d'un avenir plus respectueux de la vie privée n'est possible que grâce à nos 5 400 membres bienfaiteurs. Si vous souhaitez également contribuer à notre cause, vous pouvez en savoir plus sur nos adhésions ici. Vous pouvez également nous contacter à l'adresse suivante info@noyb.eu si vous avez des questions.
