La protection des données personnelles garantie par le RGPD

Le RGPD est un acronyme de « Règlement Général de Protection des Données ». Il s’agit d’un texte réglementaire européen, autrement dit un document législatif émanant du Parlement Européen, qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne. Ce texte est entré en vigueur le 25 mai 2018. En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité chargée de veiller au respect du RGPD par les entreprises et les administrations. Elle est le « gendarme français » du RGPD

Le RGPD vise à protéger les données personnelles des citoyens de l’Union Européenne et à redonner du contrôle aux individus sur l’usage de leurs données numériques.

Mais quel est le lien avec l’attention ?

Les données personnelles sont devenues le véritable carburant de la captation de l’attention. Plus une plateforme connaît finement les préférences, les habitudes ou les émotions d’un utilisateur, plus elle est en mesure de lui proposer des contenus ciblés, engageants et donc susceptibles de prolonger son temps d’écran.

Nous allons passer en revue les principes du RGPD qui ont un impact direct sur les mécanismes de captation de l’attention.

Le droit à l’information et le principe de finalité

Les plateformes numériques ont l’obligation d’informer clairement les utilisateurs sur les données qu’elles collectent, les finalités de cette collecte, la manière dont ces données sont utilisées et les tiers avec lesquels elles sont éventuellement partagées.

Ce droit à l’information implique que les explications soient accessibles, compréhensibles et dépourvues de jargon juridique, afin que chacun puisse réellement savoir à quoi il consent.

Dans le même esprit, le RGPD impose le respect du principe de finalité : les données personnelles ne peuvent être collectées que dans un but précis, explicite et légitime. Une plateforme ne peut pas, par exemple, demander un numéro de téléphone pour sécuriser un compte, puis l’utiliser ultérieurement à des fins commerciales ou publicitaires sans consentement éclairé.

À vous de jouer ! 

Selon vous, lesquelles de ces mentions ne sont pas conformes à l’esprit du RGPD ?

A. « Nous collectons certaines de vos données. »

B. « Nous utilisons votre historique de navigation afin d’afficher des publicités personnalisées. »

C. « Vos données peuvent être partagées avec nos partenaires. »

Réponse

a) et c)
La proposition a) n’est clairement pas assez précise pour respecter les exigences du RGPD : quelles sont les données collectées ? Pourquoi sont elles collectées ? Et comment seront elles utilisées ?
Concernant la c), elle pourrait être conforme à condition d’être reformulée de manière plus explicite : « Nous partageons vos données d’usage avec [nom de l’entreprise], à des fins de statistiques. »

Certaines plateformes commencent à améliorer leur transparence sur l’utilisation des données. TikTok, par exemple, a publié une description détaillée des données qui influencent le classement des contenus sur sa For You Page, permettant à l’utilisateur de mieux comprendre pourquoi certains contenus lui sont recommandés.

À l’inverse, lorsqu’une plateforme évoque une collecte de données pour « améliorer l’expérience utilisateur » sans préciser que ces données seront partagées avec des partenaires publicitaires, elle manque à son obligation de transparence.

En décembre 2020, la société Amazon est sanctionné d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs sans les en avoir informé à l’avance.

Rendre ces mécanismes visibles et explicites permet à l’utilisateur de reprendre le contrôle sur ses usages numériques : désactiver la lecture automatique, filtrer les contenus, limiter les notifications… L’opacité alimente la captation de l’attention, tandis qu’une information claire et loyale favorise une utilisation consciente, libre et éclairée.

Le consentement explicite

Le RGPD impose aux plateformes de recueillir le consentement explicite des utilisateurs pour toute action impliquant le traitement de leurs données personnelles, notamment lorsque cela modifie leur expérience sur la plateforme.

Un cas très fréquent est celui des cookies. Ils apparaissent lors de la visite d’un site web ou d’une application. Ils permettent de stocker des informations sur la navigation, les préférences ou les identifiants, et servent notamment à personnaliser les contenus, proposer des publicités ciblées ou améliorer les recommandations.

Depuis l’entrée en vigueur du RGPD (2018), une plateforme est tenue de présenter, dès la première visite, un bandeau permettant à l’utilisateur de choisir librement s’il accepte ou refuse les cookies. L’option “Refuser” doit être claire, visible et accessible, au même niveau que l’option “Accepter”. Si ce n’est pas le cas, la pratique est considérée comme non conforme.

À vous de jouer ! 

A votre avis, cette mention est-elle conforme aux règles du RGPD ?

« En créant un compte, vous acceptez que votre numéro de téléphone puisse être utilisé pour la sécurité, mais aussi transmis à nos partenaires commerciaux. »

Cette mention n’est pas conforme car la finalité annoncée est trop large et insuffisamment justifiée. Un numéro de téléphone ne peut pas être utilisé pour d’autres objectifs que celui initialement prévu, sans recueillir un consentement spécifique, libre et explicite de l’utilisateur.nse

En 2022, la CNIL a constaté que Facebook, Google et Youtube ne permettaient pas aux utilisateurs de refuser les cookies aussi facilement que de les accepter. Cette absence de symétrie dans les choix proposés constitue une violation des règles de consentement en vigueur.

En conséquence, elle a prononcé des sanctions financières d’une ampleur inédite :

  • 150 millions d’euros d’amende pour Google,
  • 60 millions d’euros pour Facebook.

La CNIL a également ordonné aux deux entreprises de se mettre en conformité dans un délai de trois mois.

Refuser les cookies limite la capacité de la plateforme à collecter des données de navigation. En conséquence, les algorithmes de recommandation deviennent moins performants, les publicités moins ciblées, et les techniques de captation de l’attention sont affaiblies.

Le droit d’opposition et de retrait

Ce droit confère à chaque utilisateur un véritable pouvoir d’action sur son expérience numérique. Il permet de refuser ou de retirer son consentement à tout moment, même après l’avoir initialement accordé. Autrement dit, le consentement n’est jamais définitif : l’utilisateur doit pouvoir reprendre la main quand il le souhaite, sans justification et sans subir de conséquences négatives.

Ce principe est renforcé par le droit à l’oubli, également inscrit dans le RGPD. Il permet à toute personne de demander l’effacement des données personnelles le concernant. Ce droit constitue un levier essentiel pour reprendre le contrôle sur son identité numérique et effacer les traces d’un passé en ligne devenu indésirable.

Des exemples concrets illustrent ces droits : 

  • Sur YouTube, un utilisateur peut désactiver l’historique de lecture, et ainsi naviguer sans personnalisation algorithmique.
  • Sur Netflix, la lecture automatique peut être désactivée à tout moment via les paramètres du compte, même si elle avait été initialement activé.
  • Sur Google, il est possible de supprimer manuellement ou automatiquement son historique de recherche ou de demander la suppression de résultats de recherche associés à son nom dans certains cas.

Ces mécanismes permettent à l’utilisateur de limiter l’influence algorithmique sur ses choix, et ainsi de réduire les stratégies de captation attentionnelle mises en œuvre par les plateformes.

À retenir

  • Le RGPD vise à protéger les données personnelles et encadrer les pratiques des plateformes
  • L’utilisateur dispose de quatre droits essentiels : être informé sur l’usage de ses données, donner ou retirer son consentement, s’opposer à certains traitements et demander l’effacement de ses données.
  • Plus les pratiques sont transparentes, plus l’utilisateur garde le contrôle.
Chapitre Précédent
Retour à la/au Chapitre
Leçon Suivant