« Les actions de groupe sont une chance car elles réduisent l’atomisation de l’individu et donnent une dimension sociale à la protection des données »
Le RGPD introduit la notion du consentement libre et éclairé. Mais, dans les faits, beaucoup de sites forcent ce consentement en imposant à l’internaute d’accepter les traitements de données sous peine de ne plus pouvoir accéder au service. Allez-vous sévir!? La sanction contre Google illustre la volonté de la Cnil d’exiger un consentement réellement éclairé. Dans ce cas, nous avons sanctionné le manque de clarté : les informations étaient trop disséminées, il y avait des cases pré-cochées... Il est clair que la manière dont certains sites obtiennent le consentement de l’utilisateur pose problème. On a tous été confrontés à la « fatigue du consentement », le moment où on appuie sur le bouton « J’accepte » par lassitude. Mais on doit pouvoir accéder au service tout en refusant l’exploitation des données à des fins publicitaires. Il faut veiller à ce qu’à terme ces pratiques ne favorisent pas un Internet à deux vitesses : d’un côté un Internet gratuit, où les utilisateurs sont tracés et où le consentement est forcé, et de l’autre un Internet payant, sûr en matière de protection des données. Par ailleurs, il faut privilégier autant que possible le privacy by design, qui amène les acteurs à prendre en compte les enjeux autour des données dès la conception des services numériques. Pourquoi ne pas rendre publiques toutes les mises en demeure et les sanctions que vous prononcez!? Le but n’est pas de faire du name and shame. Si le manquement cesse, s’il concerne une petite entreprise, avec un impact limité, pourquoi le médiatiser#? Mais, si le manquement concerne des centaines de milliers de personnes, si l’organisme n’a pas fait preuve de beaucoup de bonne foi ou de volonté d’y remédier, et si la publicité peut avoir un impact sur toute une profession, alors il est important de médiatiser. La publication des sanctions doit avoir un but pédagogique.