Le nouveau réglement européen sur les données personnelles, qui entrera en vigueur le 25 mai, impose des contraintes aux entreprises. / JUSTIN SULLIVAN / AFP

Microsoft, Instagram, Airbnb, eBay, Twitter ou encore Facebook… Tous, et bien d’autres, ont mis à jour ces dernières semaines leurs conditions générales d’utilisation (CGU), les règles que les entreprises se fixent pour la collecte et l’utilisation des données de leurs utilisateurs.

De nombreux internautes ont ainsi reçu des messages, par e-mail ou en se connectant aux services concernés, leur demandant d’accepter ces nouvelles conditions. Des changements liés à l’entrée en vigueur, le 25 mai, du Règlement général sur la protection des données (RGPD).

  • Pourquoi mettent-ils leurs conditions d’utilisation à jour ?

Les mises à jour ont été annoncées dès le mois d’avril par différentes entreprises du Web, avec des justifications aléatoires. Ainsi, Airbnb a expliqué modifier ses conditions générales pour « refléter les changements apportés à la structure de [sa] société », et eBay s’est vantée de « renforcer [vos] droits (…) dans le cadre de [son] engagement continu à faire preuve de transparence » sur la collecte et l’utilisation des données personnelles sur son site. En réalité, plus qu’un choix, il s’agissait pour les entreprises d’un devoir.

Le 25 mai, entre en effet en vigueur un nouveau texte européen sur les données personnelles, le RGPD, qui oblige les entreprises qui utilisent les données de citoyens européens à respecter certaines règles.

Elles doivent par exemple être plus transparentes sur la manière dont les données sont exploitées, en adoptant un langage plus clair, compréhensible pour tous leurs utilisateurs. Elles doivent également s’assurer du consentement de ces derniers. L’amende en cas d’infraction au RGPD peut être colossale, jusqu’à 4 % du chiffre d’affaires mondial annuel.

Elles doivent aussi, entre autres, assurer la portabilité des données, ce qui signifie que les utilisateurs devront pouvoir récupérer les informations qui les concernent pour les transférer si besoin à un autre service.

  • Qu’est-ce qui change ?

De manière générale, les services ont clarifié leurs règles d’utilisation et explicité davantage la manière dont ils utilisent les données de leurs utilisateurs. C’est le cas par exemple d’Airbnb, de Twitter, d’eBay ou encore de Doctolib, le service de réservation de rendez-vous médicaux en ligne.

D’autres entreprises en ont toutefois profité pour pousser les utilisateurs à accepter de nouvelles collectes de données. Facebook a ainsi, au moment de demander à ses utilisateurs de valider à nouveau ses CGU, incité à activer la reconnaissance faciale. Une fonctionnalité qui avait disparu en Europe en 2012.

Les nouvelles CGU d’Instagram, qui sont devenues communes avec celles de sa maison mère, Facebook, contiennent elles aussi un paragraphe sur la reconnaissance faciale. Il est cependant précisé que la technologie n’est pas utilisée dans l’application. « Si nous choisissons de le faire un jour, nous vous en informerons et vous laisserons le choix », annonce la firme.

Enfin, le fait que le RGPD exige le consentement parental pour recueillir les données des utilisateurs jusqu’à 16 ans peut également avoir un impact sur certains services. Microsoft a par exemple été jusqu’à bloquer lors de sa mise à jour plusieurs de ses services, comme Hotmail, Outlook ou Skype, pour un certain nombre d’utilisateurs, considérés par l’entreprise comme mineurs. L’entreprise a alors demandé un numéro de carte bancaire ou une pièce d’identité aux internautes ne pouvant plus accéder à leur compte, pour s’assurer de leur âge.

Les internautes doivent s’attendre, dans les jours à venir, à ce que d’autres entreprises leur demandent de valider leurs nouvelles CGU.

  • A-t-on vraiment le choix d’accepter ou non les nouvelles CGU ?

Pas vraiment : dans les courriels ou fenêtres de notification annonçant la mise à jour de leurs CGU, ces plates-formes expliquent qu’il faut accepter leurs nouvelles conditions pour pouvoir continuer à les utiliser. Certaines estiment également que si l’internaute continue à utiliser leur service après le 25 mai, cela équivaudra à une acceptation des CGU.

Si vous n’êtes pas d’accord avec les nouvelles règles, les grands groupes du Web vous offrent une option : celle de supprimer votre compte.

Dans certains cas, comme Facebook, l’utilisateur a toutefois une légère marge de manœuvre : il peut accepter les nouvelles CGU mais refuser d’activer la reconnaissance faciale, au prix de quelques clics supplémentaires. C’est pourquoi il est conseillé de ne pas se débarrasser trop vite de ces fenêtres en validant à la chaîne ces nouvelles conditions : dans certains cas, leur lecture permet d’éviter d’accepter, sans y prêter attention, des nouveautés qu’il était possible d’éviter.