Le RGPD est au centre de toutes les discussions. À ce jour, tout le monde, ou presque, sait de quoi il retourne avec le Règlement général sur la protection des données (RGPD), en termes d’impact et de protection — en principe — des données et de la vie privée pour les utilisateurs finaux. L’événement concerne également plusieurs secteurs de l’économie numérique qui prospèrent grâce aux données utilisateur. Penchons-nous sur le RGPD, ses implications et ses effets sur ces sociétés de la Net-économie, et concentrons-nous sur les fournisseurs de réseaux privés virtuels (VPN).
RGPD et protection des internautes
Le Règlement général sur la protection des données fait l'objet de discussions depuis au moins sept ans. À l’époque, l’Union européenne prend conscience de l’obsolescence des législations alors applicables dans le cyberespace, et de la nécessité de les actualiser afin d’offrir aux administrations et aux citoyens une meilleure protection et réglementation de leurs intérêts.
En vigueur depuis le 25 mai 2018, le RGPD affecte toutes les organisations qui stockent, consignent ou partagent des renseignements personnels sur leurs utilisateurs résidant en Europe. Les entreprises qui ne satisfont pas aux exigences du RGPD s'exposent à des sanctions financières pouvant aller jusqu’à 20 millions d’euros.
En vertu du nouveau règlement, toutes les entreprises doivent offrir à leurs utilisateurs basés en Europe la possibilité de refuser de communiquer leurs données personnelles, si tel est leur souhait. Par ailleurs, si une entreprise constate une violation de ses informations, elle doit en informer ses utilisateurs et ses clients dans les 72 heures suivant la découverte de l’infraction.
En vertu du RGPD, chaque utilisateur doit pouvoir télécharger toutes les données qu’il a partagées en ligne sur les sites ou plates-formes qu’il a utilisés. L’utilisateur doit également pouvoir modifier, gérer ou supprimer toutes les données de son choix. Cette option vise à restituer aux utilisateurs le contrôle que les grands groupes exercent jusqu’à présent sur ces données.
Une attention particulière devra par ailleurs être portée aux enfants qui sont moins sensibilisés aux menaces en ligne et qui de manière générale sont plus vulnérables. Ainsi, pour fournir des services aux enfants de moins de 16 ans, les entreprises devront recueillir le consentement des parents.
Conformité RGPD : quel intérêt pour les fournisseurs de VPN ?
Comme indiqué plus haut, toute organisation qui détient des données sur ses utilisateurs européens doit se conformer au RGPD – y compris les fournisseurs de VPN bien entendu. Le débat autour des VPN, du RGPD et du respect de la vie privée se cristallise cependant sur les journaux que les fournisseurs de VPN conserveraient pour toutes les données utilisateur qui transitent par leurs serveurs. Aussi surprenant que cela puisse paraître, c’est effectivement le cas des fournisseurs VPN qui opèrent à partir de Dubaï, de la Chine ou même des États-Unis... Dans ces pays, la cyberlégislation impose aux fournisseurs VPN de consigner l’activité en ligne de leurs utilisateurs dans des journaux.
Qu’est-ce qu’un journal (ou log) VPN ?
Tout fournisseur de VPN a besoin de logs. Sans ces logs, ils ne peuvent tenir de registre de leurs utilisateurs en vue de leur fournir des services adaptés. Mais la controverse tient à l’existence de deux types de journaux : les journaux d’activités et les journaux de connexion.
Les journaux de connexion contiennent des informations de base que les utilisateurs indiquent de leur plein gré lorsqu’ils s’inscrivent à un service VPN : nom, adresse e-mail — pour être tenus informés des dernières offres ou réinitialiser leur mot de passe en cas d’oubli — et mode de paiement favori pour l’activation de leur abonnement. Les utilisateurs acceptent de communiquer ces renseignements. Sans ces informations, aucun service premium ne peut fonctionner.
Le second type de logs concerne les journaux d’activité. Comme leur nom l’indique, ces journaux permettent aux fournisseurs VPN d’y enregistrer l’activité en ligne de leurs utilisateurs. Ces journaux vont à l’encontre des principes de confidentialité, de sécurité et d’anonymat prisés des utilisateurs de services VPN.
Aucun fournisseur de VPN n’aime tenir de journal d’activité. Ils y sont cependant contraints par l’administration et les autorités régionales de surveillance dont ils dépendent. Ainsi, les fournisseurs de VPN qui opèrent à partir des États-Unis conservent les journaux et les produisent sur demande. Ils évitent ainsi les pertes de temps et d’argent — sachant que tout manquement à cette obligation les expose à des poursuites et des sanctions.
Journaux de VPN et RGPD, quel rapport ?
Auparavant, la tenue de journaux d’activité était un poids pour les fournisseurs de VPN. Cela nuisait à la crédibilité de leur discours. D’un côté ils mettaient en avant leur capacité à fournir des services de sécurité en ligne et à garantir l’anonymat des utilisateurs, et de l’autre ils s'immisçaient dans la vie de leurs utilisateurs avec la tenue de tels journaux d’activités.
Soucieux de leur vie privée et de leur sécurité, les utilisateurs ont longtemps privilégié les fournisseurs de VPN qui ne conservaient aucun journal. Et même si la quasi-totalité des fournisseurs de VPN affirmait ne conserver aucun log, beaucoup furent accusés de marketing mensonger. L’entrée en vigueur du RGPD change définitivement la donne. L’événement est à marquer d’une pierre blanche pour les fournisseurs de VPN, les entreprises et les utilisateurs qui se soucient de protection de la vie privée et de sécurité en ligne.
Pour les fournisseurs de VPN, c’est également une excellente nouvelle. Même si tous affirment ne tenir aucun journal, ils sont une minorité à l’avoir fait pour de vrai. Avec le nouveau RGPD, les utilisateurs peuvent à nouveau faire confiance à leurs fournisseurs de VPN et les croire sur parole.
Désormais, lorsqu’un fournisseur de VPN affirmera ne pas conserver de journaux, ce sera effectivement le cas. Car si ses allégations s’avéraient mensongères, sa responsabilité serait engagée et il s’exposerait, en vertu du RGPD, à des sanctions et amendes. De plus, chaque fois qu’un fournisseur de VPN souhaite communiquer à un tiers des informations sur ses utilisateurs, il doit au préalable recueillir le consentement des individus concernés. Quelles que soient les informations utilisateur détenues par le fournisseur de VPN, les utilisateurs peuvent désormais consulter, modifier et supprimer leurs informations à tout moment.
Utilisateurs de VPN : comment bénéficier de la protection du RGPD en dehors de l’UE ?
En ne modifiant que partiellement leur politique de protection de la vie privée, certains fournisseurs de VPN dans le monde — et en Europe — réservent les avantages du RGPD en termes de protection des données utilisateur à leurs clients européens exclusivement. Certaines sociétés qui exploitent leurs VPN depuis un pays européen n’ont d’autre choix que de se conformer au RGPD pour pouvoir fournir leurs services, indépendamment du pays de résidence de leurs clients dans le monde.
Une autre catégorie de fournisseurs de VPN fait des émules : les sociétés extra-européennes qui ne sont aucunement tenues de respecter le RGPD, mais en profitent pour revoir leur politique de respect de la vie privée et se mettre en conformité avec le RGPD. Leur objectif ? Gagner la confiance de leurs utilisateurs et prendre toutes les mesures possibles pour mieux protéger et sécuriser leurs utilisateurs face aux actes de cybermalveillance.
Les utilisateurs qui souhaiteraient bénéficier de la protection du RGPD, mais ne disposent d’aucun site physique en Europe, peuvent choisir un fournisseur de VPN qui aura modifié sa politique de confidentialité pour la rendre conforme au RGPD.
Quelques exemples…
De nombreux fournisseurs de VPN se sont déjà engagés dans la voie du RGPD et d’autres l'envisagent sérieusement. Voici une liste de fournisseurs VPN déjà en règle avec le RGPD. Ils ont choisi de se mettre en conformité pour continuer à exercer dans l’UE. Mais, soucieux de protéger la sécurité et la vie privée de tous leurs utilisateurs (même ceux qui résident en dehors de l’UE), ils ont adopté la nouvelle politique qu’ils appliquent dans l’UE et partout dans le monde.
Le mot de la fin
Je pense que le RGPD constitue une avancée majeure sur la voie d’un Internet plus sûr pour les internautes de tous horizons. Le Règlement contribue à protéger la confidentialité et la sécurité des informations personnelles de tous les utilisateurs, quel que soit leur usage d’Internet. Outre la réglementation des outils et des services en ligne, le RGPD contrôle également la quantité de données que les fournisseurs peuvent utiliser et partager.
Il est indispensable pour l’ensemble des citoyens du Net de bien mesurer l’importance du RGPD. Nous devons également promouvoir et encourager les entreprises qui adoptent le Règlement. Plus le soutien aux entreprises qui ouvrent la voie sera franc et massif, plus l’effet boule de neige sera important.
À propos de l’auteur
Journaliste spécialisé sur les sujets de cybersécurité, Anas Baig s’intéresse de près à la protection de la vie privée en ligne, à la sécurité et à l’IoT. Suivez-le sur Twitter @anasbaigdm ou cliquez ici pour lui écrire directement.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.
