Bruxelles veut soumettre les services numériques qui collectent les données utilisateurs aux mêmes règles que les services payants.
Les dernières révélations sur le rapt massif de données via Facebook par le cabinet de conseil britannique Cambridge Analytica a mis au premier plan des inquiétudes sur un nouveau risque de cybercriminalité. Ce scandale d’une ampleur inédite a souligné qu’au-delà des cas de piratage « classiques » que sont le « Hammeçonnage » (phishing) ou le « Rançongiciel » (ransomware), il existe désormais un nouveau risque venant de l’exploitation des données personnelles sur les des réseaux sociaux, afin de les revendre.
L’avenir dira si Facebook s’est fait abuser, s’il a consenti plus largement à l’affaire ou bien s’il est une victime collatérale, conséquence de pratiques laxistes en matière de protection des données. Pour autant, Bruxelles a décidé de prendre des mesures dans la réforme des règles européennes de protection des consommateurs, appelée de ses souhaits par le président de la Commission, Jean-Claude Juncker et prévue pour le mois prochain afin qu’une situation similaire ne puisse pas se reproduire.
D’après les premières pistes évoquées, l’UE devrait étendre les lois existantes aux services qui collectent les données de leurs utilisateurs au lieu de leur prélever de l’argent. « Étant donné la valeur économique croissante des données à caractère personnel, il ne peut être considéré que ces services sont ‘gratuits’ », explique la Commission. Celle-ci estime en effet qu’il existe à présent des « similarités et une interchangeabilité entre les services numériques payants et les services numériques fournis en échange de données personnelles ».
Un tel élargissement permettrait aux autorités européennes d’imposer des amendes représentant au moins 4% du chiffre d’affaires des groupes concernés au lieu des montants dérisoires actuellement pratiqués. Les consommateurs pourraient aussi bénéficier d’un délai de rétractation allant jusqu’à 14 jours après la conclusion des contrats avec ces sites. Věra Jourová, la commissaire à la justice, a ainsi soutenu ce durcissement en cas d’« infractions d’ampleur ».
En outre, l’actuelle agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), basée en Grèce, devrait également voir ses compétences renforcées. Bien que son mandat arrive à expiration en 2020, la Commission européenne a décidé d’avancer l’évaluation et le réexamen de son mandat, étant donné les changements « significatifs intervenus en matière de cybersécurité depuis l’adoption [de son] règlement »