L’entrée en vigueur dans un peu moins d’un mois du GDPR (Règlement général de protection des données) de l’Union européenne ne passe pas inaperçue en dehors de l’Union, et c’est bien la moindre des choses. Les entreprises américaines, qui continuent de se tailler la part du lion des réseaux sociaux et autres grandes plateformes du Net, ne peuvent se permettre de purement et simplement l’ignorer si elles veulent continuer de servir des utilisateurs en Europe. Les sanctions en cas d’infraction sont très conséquentes : jusqu’à vingt millions d’euros ou quatre pour cent du chiffre d’affaires global.
On voit donc arriver ces jours-ci dans sa boîte mail ou dans ses applications des notifications sur les changements que ces grands réseaux sociaux, et plus généralement toutes les applications qui collectent des données personnelles, se préparent à opérer pour éviter de se retrouver en porte-à-faux avec cette nouvelle législation. Cela vaut pour Facebook, Whatsapp, Instagram, Twitter notamment.
Les positionnements respectifs de ces différentes plateformes sont révélateurs de leur stratégie. En effet, le GDPR porte, pour pratiquement toutes ces entreprises, sur le cœur de leur modèle d’affaires, à savoir comment commercialiser (« monétiser ») les informations que leurs utilisateurs leur confient. Transposer le GDPR dans leurs conditions d’utilisation est donc pour elles un exercice périlleux : il faut d’un côté se mettre à l’abri de poursuites sur le territoire de l’UE, tout en évitant si possible d’étendre à l’ensemble de ses utilisateurs dans le monde ces provisions protectrices inventées par les Européens.
WhatsApp et Instagram, propriétés de Facebook mais jouissant d’une certaine autonomie, ont ainsi annoncé des modifications significatives ces derniers jours. Pour le premier, l’âge minimum passe de treize à seize ans. On sait d’ores et déjà que les utilisateurs seront invités à confirmer qu’ils ont plus de seize ans au moment d’accepter les futures nouvelles règles. On ignore pour l’instant comment fera l’entreprise pour vérifier que ses utilisateurs ont bien l’âge qu’ils prétendent avoir. Une entité basée en Irlande sera mise en place pour les opérations de WhatsApp au sein de l’UE. Pour Instagram, la mise en conformité avec le GDPR signifie que ses utilisateurs auront à l’avenir la possibilité de télécharger l’ensemble des données qu’ils y ont publiées, une des garanties accordées aux citoyens par le GDPR.
Dans une circulaire envoyée à ses utilisateurs, Twitter a choisi de jouer plutôt la transparence et la générosité. Le service garantit qu’il leur donnera à l’avenir davantage de contrôle et sera plus clair sur « comment nous partageons vos données pour éviter de causer du tort, respecter la loi, servir l’intérêt public et faire en sorte que Twitter reste sûr et accueillant pour tous ». Twitter garantit solennellement à ses utilisateurs qu’ils ont « le dernier mot » quant au traitement de leurs données personnelles.
Facebook prévoit que les mineurs concernés par le nouvel âge minimum, quinze ans au lieu de treize, devront nommer un parent ou un tuteur qui donnera son feu vert pour le partage d’information sur la plateforme. Sans cette autorisation, ils n’auront pas accès à l’ensemble des fonctionnalités. Pour le reste, la mère de toutes les plateformes réagit à l’entrée en vigueur du GDPR sur un mode plus défensif que ses concurrents et filiales. Facebook a annoncé le 19 avril que seuls ses utilisateurs dans l’Union européenne seront soumis aux conditions d’utilisation spécifiques convenues avec son siège européen situé en Irlande, tandis que celles-ci -ci ne s’appliqueront pas aux quelque 1,5 milliard d’utilisateurs hors-UE aujourd’hui rattachés à son siège international irlandais : leurs données seront à l’avenir traitées à son siège aux États-Unis, régis par des règles bien moins strictes en matière de protection des données. Une réaction qui ressemble à un défi lancé aux régulateurs européens et qui suggère qu’un nouveau bras-de-fer pourrait bien s’engager entre Mark Zuckerberg et Bruxelles.