C’était le genre d’appel dont rêve un journaliste. L’automne dernier, un informateur a contacté le Rise Project, basé à Bucarest, pour offrir à l’équipe de journalisme d’investigation une valise pleine de preuves qui, a assuré la source anonyme, impliquait un politicien roumain de grande puissance dans une fraude massive. Les journalistes ont bondi.
En novembre, ils ont publié leurs premiers résultats sur la page Facebook de Rise. Le rapport détaillé sur une escroquerie présumée impliquant Liviu Dragnea, alors président du Parti social-démocrate au pouvoir en Roumanie, comprenait des photos, des vidéos, des captures d’écran d’échanges de courriers électroniques et d’autres documents obtenus par Rise grâce à l’échange clandestin de valises. Leur rapport s’ajoute à un tourbillon d’allégations contre Dragnea – que la plus haute cour de Roumanie a condamné à la prison la semaine dernière dans le cadre d’une affaire distincte – et met encore plus en danger l’emprise de son parti sur le pays.
«L’histoire est devenue virale immédiatement», a rappelé Raluca Radu, chef du département de journalisme à l’Université de Bucarest. Les médias nationaux roumains, qui obtiennent des notes médiocres à médiocres pour l’indépendance, se sont initialement tenus à l’écart des révélations explosives. Le rapport Rise leur a forcé la main. Dans les pays où la liberté de la presse est mise à rude épreuve, certains des journaux d’investigation les plus agressifs proviennent de petites start-ups connaissant le numérique telles que Rise.
Ce qui rend ce qui s’est passé ensuite d’autant plus alarmant. Quelques jours après la publication, l’Autorité roumaine de protection des données, un régulateur qui jouait auparavant un petit rôle dans les affaires impliquant des plaintes de presse, est entrée dans la mêlée, jugeant que les journalistes avaient enfreint la loi stricte sur la protection des données du pays en publiant leur gros scoop. La loi roumaine sur la protection des données n’est pas un dicton autoritaire conçu pour faire taire les journalistes embêtants qui ne suivent pas la ligne du parti. Il est basé sur le règlement général sur la protection des données de l’Union européenne, ou GDPR, qui était devenu la loi du pays en Europe six mois auparavant.
Le RGPD a été le premier effort majeur de des législateurs ayant toute influence mondiale pour limiter la capacité de la Silicon Valley à exploiter et monétiser les données personnelles des internautes involontaires. Ironiquement, le respect de la loi complexe s’est sans doute avéré plus facile pour les entreprises de technologie riches en liquidités que pour les autres entreprises, y compris l’amorçage des médias avec un savoir-faire limité en ingénierie. De plus, le déploiement du RGPD contre Rise révèle un autre inconvénient majeur: des lois sur la protection de la vie privée largement définies peuvent être appliquées de manière créative, en particulier dans les démocraties faibles, pour dissimuler les actes répréhensibles et se venger des journalistes qui les exposent dans l’intérêt public.
«Nous ne nous attendions jamais à ce genre d’attaque, à ce genre de menace», a déclaré Paul Radu (aucun lien avec le professeur de journalisme), cofondateur de l’organisation à but non lucratif Rise et membre du conseil d’administration du Global Investigative Journalism Network. «Cela a créé un énorme émoi. C’était la première fois que le RGPD était utilisé contre des journalistes en Europe. »
Dans sa lettre d’exécution, les autorités roumaines ont déclaré que les journalistes de Rise avait violé le RGPD en publiant des vidéos, des photos et des documents – essentiellement des données privées de citoyens roumains – pour soutenir les allégations des journalistes contre Dragnea. La lettre leur a demandé de retourner l’identité du pronostiqueur. Il leur a également ordonné d’expliquer comment ils avaient obtenu les informations, comment ils les conservaient – c’était l’autorité de protection des données, après tout – et s’ils avaient en leur possession d’autres détails privés sur Dragnea et ses associés. Le coup dur a été la sanction: une amende pouvant aller jusqu’à 20 millions d’euros (22 millions de dollars), le maximum qui peut être appliqué à un petit éditeur dans une affaire GDPR, si les journalistes ne se sont pas pleinement conformés.
L’équipe Rise avait déjà fait l’objet d’intimidations officielles. L’année précédente, les autorités ont ouvert une enquête sur les finances du groupe peu de temps après avoir publié un article alléguant des actes répréhensibles commis par des agents publics.
L’ordonnance du RGPD était une tentative flagrante de «museler» les médias, a riposté l’équipe de Paul Radu, et ce faisant en vertu de la nouvelle loi européenne sur la protection des données n’était rien de plus qu’une «grave utilisation abusive du RGPD par des politiciens intéressés cherchant à se protéger». L’équipe Rise, a déclaré Radu, compte environ 10 personnes et un budget annuel d’environ 150 000 euros. Il n’avait guère d’autre choix que d’appeler le gouvernement au bluff et d’espérer pour le mieux.
Lorsqu’il est entré en vigueur en mai dernier, le RGPD a été salué comme la loi de protection des données la plus importante jamais promulguée. Les internautes occasionnels aux États-Unis connaissent le RGPD comme la loi qui, à peu près à la même époque l’année dernière, a introduit une nouvelle couche de paperasserie dans la navigation sur le Web. S’il semble qu’une fenêtre pop-up ou une barre de déni de responsabilité ennuyeusement persistante détaillant la façon dont un site utilise les cookies de suivi vous suit sur le Web, ce n’est pas votre imagination. C’est probablement le RGPD. C’est plus odieusement répandu en Europe, où la loi a des dents sérieuses. Les législateurs européens ont fait pression pour des protections numériques accrues, car ils pensaient qu’en cette ère d’attaques de piratage et de données sans scrupules collecte, l’utilisateur moyen était dû à des données supplémentaires et à des protections de la vie privée que le marché n’avait pas réussi à fournir.
La loi accorde aux citoyens de l’UE le droit d’être informés de la manière dont leurs données personnelles sont utilisées, le droit de faire rectifier toute utilisation abusive, le droit à l’effacement des données, le droit à l’oubli (un favori de l’UE) et le droit à la portabilité des données . Les dispositions limitent la capacité des employeurs, des organismes d’application de la loi et d’autres entités à prendre des décisions qui changent la vie au moyen d’un algorithme informatique. Il y a même des limites à la collecte de données biométriques, un problème qui préoccupe plusieurs villes américaines. Dans le cadre du RGPD, par exemple, aucun État ou entité privée ne peut collecter des données de reconnaissance faciale sans consentement. Et même dans ce cas, ils ne peuvent pas l’utiliser en masse à des fins de profilage criminel. Le RGPD, ou au moins une partie de celui-ci, continue d’influencer la rédaction et la réécriture des lois sur la confidentialité des données de la Californie au Japon qui transformeront à terme nos interactions numériques quotidiennes. Et si tu voulez faire des affaires dans l’UE et accéder à ses 500 millions de consommateurs, vous n’avez d’autre choix que de vous conformer. Les amendes potentielles pour violations sont stupéfiantes.
Dans certains cas, la loi a clairement donné aux gens moyens plus de poids contre les géants de la technologie. Les conducteurs d’Uber en Grande-Bretagne ont cité la loi sur la protection des données lorsqu’ils ont menacé de poursuites judiciaires contre la société de covoiturage ce printemps; ils voulaient qu’Uber divulgue les données qu’il détenait sur eux, afin de vérifier qu’ils n’étaient pas lésés. * Et les autorités allemandes ont utilisé le RGPD pour forcer Facebook à recomposer sa pratique de collecte de données sur les Allemands.
Néanmoins, la loi vieille d’un an s’est déroulée quelque peu différemment dans la pratique de ce que ses architectes avaient prévu. Même si près de 100000 plaintes GDPR ont été déposées jusqu’à présent, les critiques affirment que l’application est faible et sporadique dans la plupart des pays. Les mesures du gouvernement roumain contre Rise viennent malgré les dispositions du RGPD destinées à protéger la liberté d’expression et le droit de savoir du public.
La montée les journalistes restent dans les limbes. Les parlementaires européens à Bruxelles ont critiqué l’affaire contre le projet Rise et contesté l’interprétation roumaine de l’application du RGPD. Mais, se plaignent Radu de Rise et divers groupes de la société civile, aucune autorité de l’UE n’est officiellement intervenue au nom des journalistes. L’impasse a accru les craintes que les gouvernements hostiles à la presse ne militarisent le RGPD et des mesures similaires dans le monde entier.
«Au début, le RGPD était considéré comme un cadeau pour les journalistes d’investigation» en Roumanie, a déclaré Raluca Radu, professeur de journalisme roumain, mais maintenant il y a des doutes. «Si les autorités, les politiciens, pensent qu’ils peuvent utiliser le RGPD alors qu’une autre législation ne peut pas les aider personnellement», cela aura un effet dissuasif sur les médias. «Je veux dire, 20 millions d’euros. C’est beaucoup! »
Pourtant, même lorsque les responsables vengeurs ne ciblent pas les entreprises de médias sous prétexte de respect de la vie privée, des lois comme le RGPD imposent toujours un fardeau. Les petites entreprises européennes avec tout type de présence sur le Web grognent sur les frais liés à l’ajout de mesures supplémentaires pour protéger les données des clients, des employés et même de tous les visiteurs qui s’aventurent sur leurs sites Web. (Une petite ONG basée à Rome, sans aucun client, a dû débourser 15 000 euros pour se conformer au RGPD l’année dernière. « Mais c’est fini », m’a dit le directeur. « Nous sommes à jour maintenant. »)
Mais les réseaux publicitaires et les éditeurs qui en perçoivent des revenus sont parmi les plus découragés par la législation européenne. Lorsque le RGPD est entré en vigueur il y a un an – le 25 mai 2018 – des centaines de médias américains, y compris le Chicago Tribune et d’autres appartenant à Tribune Publishing, ont décidé qu’au lieu de se plaindre du RGPD, ils bloqueraient simplement quiconque se rend sur leurs sites. d’Europe. Il s’agit de l’une des plus importantes coupures d’actualités jamais vues dans le monde occidental, et cela continue encore un an plus tard. Pour les fans des Cubs and Bears bloqués en Europe, la règle de confidentialité des données a rendu beaucoup plus difficile d’obtenir une couverture décente à domicile de leurs équipes bien-aimées. Quand les nouvelles des médias aussi grands et aussi riches que la Tribune et ses frères et sœurs, tels que The Baltimore Sun et le New York Daily News, se sentent obligés d’interdire aux visiteurs européens d’accéder à leurs sites Web, c’est la preuve de la façon dont des règles ambitieuses en matière de confidentialité des données pourraient remodeler l’industrie de l’information. s’ils se propagent.
Dans la mesure où les Américains semblent plus laissez-faire sur la confidentialité électronique, cela peut avoir autant à voir avec la commodité de donner-les-clés qu’avec un zèle particulier pour le premier amendement. Mais à la suite du scandale de violation de données Cambridge Analytica-Facebook et d’autres révélations sur la collecte des informations personnelles des utilisateurs par l’industrie de la technologie, un patchwork de lois sur la protection des données est en train de surgir. Le plus important est le California Consumer Privacy Act, né d’une initiative de vote l’année dernière. Prévu pour entrer en vigueur l’année prochaine, la loi emprunte des éléments du RGPD, tels que le droit de faire supprimer vos données personnelles et le droit de savoir comment elles sont utilisées. C’est considéré comme une transformation fondamentale – même plus européenne – de la politique américaine en matière de protection de la vie privée.
«D’un point de vue pratique, la loi californienne deviendra la loi du pays», prédit Joseph Jerome, conseiller en politique de confidentialité du Center for Democracy & Technology, un groupe de défense des droits numériques. Pour une entreprise avec une présence en ligne, «cela n’a pas beaucoup de sens de fournir des [protections] uniquement aux résidents de Californie. Et je pense que vous auriez des messages de relations publiques vraiment horribles pour les entreprises qui ne veulent pas offrir ces droits en dehors de la Californie. » (À savoir, une porte-parole de Tribune Publishing a déclaré que la société avait l’intention de se conformer pleinement à la mesure californienne dès le premier jour; la société n’est cependant pas plus proche d’assouplir son interdiction du RGPD.)
Peu importe à quel point les responsables de l’information pourraient s’inquiéter du fardeau du RGPD, des lois comme celle-ci deviennent progressivement la nouvelle norme mondiale – non pas parce que les législateurs la poussent, mais, comme le note Jérôme, parce que les consommateurs le sont. «Reprenez le contrôle de vos informations personnelles», ont exhorté les électeurs californiens à participer au succès de la campagne.
Radu at Rise applaudit à un tel sentiment axé sur les personnes, du moment qu’il n’interfère pas avec son travail. «Nous travaillons avec de nombreux programmeurs. La vie privée, pour nous, doit être respectée. C’est trop important. Mais dénoncer les actes répréhensibles est tout aussi important », dit-il. «Il doit y avoir un équilibre là-bas.» Comment trouver au mieux cet équilibre entre la protection de la vie privée et la liberté d’expression reste la question persistante.