« En poursuivant votre navigation, vous acceptez l'utilisation de cookies. » La plupart des internautes ne remarquent même pas le petit bandeau discret situé en bas des pages Web, parfois sur fond gris, qui vise à obtenir, sans même un clic, le « consentement libre et éclairé » (sic) des utilisateurs pour la collecte et l'exploitation de leurs données personnelles. Si vous ne faites pas attention, tant pis pour vous : vous êtes quand même « consentant » aux yeux de la loi. Tel est le paradoxe du Règlement général sur la protection des données (RGPD), qui fêtera le 25 mai 2019 le premier anniversaire de son entrée en vigueur.

Sur le papier, le RGPD est un séisme : chaque entreprise ou organisation qui utilise des données personnelles de citoyens européens, de la TPE au grand groupe, doit désormais savoir recenser et justifier chaque traitement de données, en fonction « d'intérêts légitimes » encadrés par des exigences éthiques et de sécurité. Et ce, partout dans le monde, ce qui donne au texte une ampleur inédite. Pour le consommateur, ces traitements doivent être décrits de manière simple afin d'être acceptés ou refusés en toute connaissance de cause : c'est la notion de « consentement libre », l'une des principales avancées du texte.

Si le RGPD crée, dans le fond, peu de nouveaux droits pour le consommateur - si ce n'est la portabilité des données et la possibilité de mener des actions collectives auprès du régulateur -, il change quand même la donne. La crainte des sanction