Des droits renforcés pour les internautes et des sanctions inédites en cas d'abus: de nouvelles règles seront applicables à partir de vendredi dans l'UE pour mieux protéger les données personnelles à l'ère numérique, après l'électrochoc du scandale Facebook.

L'avalanche de courriels priant d'accepter de nouvelles conditions d'utilisation pour Twitter, Google, AirBnB ou autres sites de commerce, est le premier effet visible de cette nouvelle donne, à laquelle les Européens espèrent bien donner une portée mondiale.

Les citoyens sont aujourd'hui «comme nus dans un aquarium», mais «grâce aux nouvelles règles, les Européens reprendront le contrôle de leurs données», a plaidé jeudi la commissaire européenne à la Justice Vera Jourova, défendant le tour de vis du «Règlement général sur la protection des données» (RGPD).

Cette législation impose à toute entreprise, sur internet ou non, de demander un «consentement explicite et positif» pour utiliser des données personnelles collectées ou traitées dans l'UE. Elle donne aussi aux citoyens le «droit de savoir» quand leurs données sont piratées, comme lors de la fuite massive subie par la société Uber en 2016.

Et gare aux abus: les entreprises, capables de transformer ces données en or en les exploitant pour du ciblage publicitaire par exemple, s'exposeront à des sanctions pouvant atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, si elles ne respectent pas les nouvelles règles.

Zuckerberg «désolé»

«Je n'aurais jamais fait aussi bien que Facebook» pour convaincre de la nécessité de ces nouvelles règles - adoptées en 2016 mais avec un temps d'adaption de deux ans avant leur application -, a récemment ironisé la commissaire Jourova, dans un entretien avec l'AFP.

La responsable européenne faisait allusion à la controverse sur l'exploitation des informations de dizaines de millions d'utilisateurs du réseau social américain par la société Cambridge Analytica, impliquée dans la campagne présidentielle de Donald Trump.

Le patron de Facebook, Mark Zuckerberg, est venu en personne mardi s'excuser devant le Parlement européen, comme il l'avait fait devant les parlementaires américains, au sujet de ce scandale mais aussi plus largement du manque de réaction de son entreprise face aux ingérences étrangères dans des processus électoraux et la diffusion de fausses informations.

«Je suis désolé», a dit M. Zuckerberg, qui n'a pas manqué de rappeler mardi l'engagement de Facebook à se mettre en conformité avec le RGPD pour ses utilisateurs européens.

De manière générale, les grandes plateformes comme WhatsApp ou Twitter semblent s'être dûment préparées à la nouvelle législation, qui a toutefois provoqué davantage d'inquiétudes auprès des PME.

«Les entreprises dont l'activité principale ne consiste pas à traiter des données sont liées par moins d'obligations et doivent essentiellement veiller à ce que les données qu'elles traitent soient protégées et utilisées en toute légalité», a voulu rassurer jeudi la Commission.

Les autorités vont donc surtout se concentrer d'abord sur la surveillance des entreprises traitant des données personnelles de manière massive et qui en font un élément central de leur modèle économique.

«Norme mondiale»

L'exécutif européen est en revanche plus impatient vis-à-vis des États membres qui n'ont pas encore procédé aux ajustements de leur législation nationale - selon un bilan de la Commission, huit pays sont clairement dans cette situation - alors qu'ils disposaient de deux ans pour le faire depuis l'adoption du Règlement en 2016.

Cela n'empêchera par les nouveaux droits d'être applicables dès vendredi pour tous les Européens, rassure Bruxelles, mais cette situation peut créer une incertitude autour de quelques dispositions nécessitant des adaptations nationales, comme sur les relations entre les autorités de protection nationales et la nouvelle entité européenne créée.

La législation européenne a aussi parfois laissé une marge de manoeuvre aux États membres pour l'âge à partir duquel le consentement parental n'est plus nécessaire pour l'utilisation d'un service sur internet. Cet âge est fixé par défaut à 16 ans dans le RGPD, mais les pays européens peuvent l'abaisser jusqu'à 13 ans.

Malgré les nouvelles contraintes créées, les autorités assurent que les acteurs économiques vont tirer profit des nouvelles règles, grâce à une confiance accrue des consommateurs et à la fin de la mosaïque des législations nationales.

Avec le RGPD, «l'Europe assoit sa souveraineté numérique et se prépare à l'ère numérique», s'est réjouie jeudi la commissaire Jourova. «Mais au-delà de ça, les nouvelles règles jettent les fondements d'une norme mondiale en matière de respect de la vie privée», a-t-elle prédit.