Le RGPD approche à grand pas et certains ont flairé un filon : et si, au lieu d'aller vers un web plus sain vis-à-vis des données personnelles, on bloquait tout simplement tous les Européens qui tentent d'accéder à un site web ? C'est l'idée cynique derrière GDPR-Shield.

C’est la dernière ligne droite avant le grand jour : le 25 mai 2018, le Règlement général sur la protection des données sera appliqué au niveau européen. Il ne reste donc plus que trois semaines aux entreprises, aux administrations et aux associations pour se conformer au nouveau cadre numérique du Vieux Continent. Et attention : les entités basées en Europe ne sont pas les seules qui sont concernées par le RGPD.

En effet, l’article 3 du texte comporte une disposition qui permet au RGPD d’avoir une portée mondiale : si un responsable du traitement qui n’est pas établi dans l’Union effectue un traitement de données personnelles sur des personnes s’y trouvant, alors il lui faut se conformer au texte. En clair, une société chilienne doit tenir compte du RGPD si elle s’adresse à un Français à Paris ou un Espagnol à Naples.

Cette particularité juridique relative à la territorialité n’aurait guère d’incidence s’il n’y avait pas un mécanisme de sanction renforcé destiné à contraindre les entreprises à respecter toutes les dispositions du texte. Or, le montant maximal des amendes administratives atteint 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Dès lors, vu les contraintes réelles qui pèsent sur les organisations qui effectuent des traitements de données personnelles de personnes se trouvant dans l’Union, il peut être tentant de se couper complètement du Vieux Continent. Et justement, des petits malins semblent y voir une opportunité économique, car un service payant qui a vu le jour ces jours-ci propose d’exclure les internautes européens.

GDPR Shield

Son nom ? GDPR Shield, GDPR étant l’acronyme anglais du RGPD. Le site invite tout simplement les organisations situées hors de l’Union européenne à « ne pas dépenser des milliers de dollars en frais juridiques pour rendre votre site conforme au RGPD. Si vous ne ciblez pas les utilisateurs de l’Union, utilisez simplement GDPR Shield pour bloquer tout le trafic en provenance de l’Union ».

Manifestement, GDPR Shield propose de procéder à un filtrage géographique en se basant sur la provenance des adresses IP, c’est-à-dire la « plaque d’immatriculation » de chaque dispositif se connectant à Internet — des modems dans le cas des internautes. Si le filtre que propose le site en repère une, alors l’accès lui est refusé, à moins qu’il n’utilise un subterfuge pour cacher sa provenance, comme un proxy.

Trois niveaux de facturation sont proposés : 9, 49 ou 79 dollars par mois, en fonction du trafic (moins de 10 000 visiteurs par mois, jusqu’à 1 million et jusqu’à 5 millions) et du nombre de domaines à « sécuriser » (un, trois ou cinq). Les deux derniers seuils offrent un support par mail et par chat permanent ainsi que des statistiques de visite par pays.

Une fois l’abonnement pris, ce qui nécessite de créer un compte et de renseigner le lien du site à tenir hors d’atteinte de l’Union européenne, GDPR Shield fournira une portion de code en JavaScript qu’il faudra placer dans le code HTML dudit site. C’est lui qui sera chargé de voir la provenance de chaque internaute et de filtrer l’accès en fonction des règles fixées par GDPR Shield.

« Nous vérifierons chaque utilisateur qui visite votre site et bloquerons l’accès aux utilisateurs de l’Union européenne. Cela se produit en arrière-plan et n’affecte pas la vitesse de votre site pour les utilisateurs non européens », explique le service, qui joue clairement sur la peur en évoquant le montant maximal des sanctions, comme si seul le plafond était appliqué dans tous les cas de figure.

« Si vous n’avez pas d’équipe juridique interne, le respect de la loi exige que vous consultiez un avocat spécialisé en droit de la protection des données. De plus, vous risquez de recevoir des rapports vindicatifs de la part de cabinets d’avocats qui ne gagnent pas d’honoraires », déclare le service. En clair : vous feriez mieux de lui verser 10 euros par mois pour être tranquille plutôt que de risquer gros par la suite.

Or, le RGPD exige justement à tenir compte de divers critères, comme la gravité de l’incident, la coopération du responsable du traitement, les actions correctrices, le nombre de personnes touchées, etc. Ce n’est qu’après ce travail que le montant de l’amende peut être établi, sachant qu’une multinationale comme Facebook n’est pas exposée aux mêmes montants que la petite TPE du quartier.

En outre, la CNIL a fait comprendre qu’elle ferait preuve de discernement au début. Pour les petites et les moyennes entreprises, tout comme les très petites structures, Isabelle Falque-Pierrotin, la présidente de la CNIL, a ainsi assuré que son institution fera «  preuve de pragmatisme et de souplesse. Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD ».

Partager sur les réseaux sociaux