La protection des données personnelles : stratégies en France, au Royaume-Uni et à l’échelle de l’Union Européenne

Publié le Tuesday 12 May 2015

Intervention de Christiane Féral-Schuhl, Associée du Cabinet Féral-Schuhl / Sainte-Marie sur ce thème lors d’une conférence organisée par The Law Society, à Londre le 30 avril 2015. Pour en savoir plus sur le programme (en anglais).

Ci-dessous l’intervention de Christiane Féral-Schuhl sur la Protection des données personnelles :

1.

Le sujet de la protection des données personnelles, objet du débat à suivre, est un sujet qui a pris toute sa dimension et son importance avec l’affaire Snowden.

En effet, lorsque, en 2013, Edward Snowden a révélé la surveillance à grande échelle des citoyens européens, opérée par les services de renseignement américain, le public a pris conscience de ce que pouvait être l’espionnage de masse et que l’existence du « Big Brother » américain était bien réel.

En fait, les alertes sont données depuis longtemps. Bill Gates notamment dénonçait, dès 1997, « des entreprises du secteur privé et des administrations (qui) possèdent déjà une masse d’informations sur notre compte. Nous n’avons aucune idée de la manière dont elles l’utilisent et si elle est exacte… ».

2.

La loi française Informatique et Libertés du 6 janvier 1978 a été promulguée à la suite de la constitution, en 1974, du fichier SAFARI (« Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus ») qui visait à centraliser les bases de données personnelles de l’ensemble des services de police grâce à un ordinateur de nouvelle génération.

La loi visait ainsi à limiter et à encadrer le recours à l’informatique et posait en article 1 qu’elle «  […] ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Cet objectif demeure aujourd’hui, et cet article premier est d’ailleurs le seul article de la loi de 1978 qui n’ait encore jamais été modifié.

3.

En France, la régulation des données à caractère personnel repose sur l’idée d’une réglementation solide, protectrice de la vie privée et des libertés individuelles. Ces droits fondamentaux sont consacrés par la Déclaration des Droits de l’Homme et du Citoyen de 1789 (article 2), par le Code civil (article 9) et aussi par la jurisprudence : la Cour de cassation ayant rappelé que « toute personne, quel que soit son rang, sa naissance, sa fortune, ses fonctions présentes ou à venir, a droit au respect de sa vie privée » (23 oct. 1990).

4

Cependant, avec les menaces terroristes auxquelles nous sommes confrontés, on voit émerger des textes « sécuritaires » qui font reculer ces libertés individuelles. Les développements technologiques, en ouvrant la faculté pour chacun, partout dans le monde, d’utiliser les nouvelles technologies de l’information et de la communication, augmentent la capacité des pouvoirs publics, des entreprises et des particuliers d’exercer une surveillance ainsi que d’intercepter et de collecter des données personnelles.

C’est notamment le cas du projet de loi sur le renseignement qui devrait être voté à l’Assemblée nationale le 5 mai prochain.

Ce texte étend les finalités pour lesquelles les services de renseignement peuvent mettre en œuvre diverses techniques de collecte de données personnelles et élargit l’éventail des outils de surveillance.

On peut donner l’exemple de ces fameuses « boites noires » dont l’installation pourra être imposée aux opérateurs et fournisseurs d’accès à internet, et qui devront permettre, sur la base d’algorithmes prédéfinis, d’identifier des comportements suspects, comme la fréquentation de certains sites ou les connexions fréquentes avec certaines personnes : les données personnelles seront donc collectées en temps réel et filtrées pour détecter les comportements suspects.

Il y a aussi les « dispositifs techniques de proximité », qui devront permettre de collecter de manière systématique et automatique des données relatives à des personnes qui peuvent n’avoir aucun lien avec le suspect mais simplement se trouver dans le même périmètre géographique …

Il est aussi prévu la possibilité d’élargir les interceptions de correspondances électroniques à l’entourage de la personne visée.

5.

Si le projet de loi sur le renseignement suscite d’importants débats et des protestations, il n’en reste pas moins que nos données personnelles sont systématiquement  collectées, parfois à notre insu, le plus souvent avec notre participation active.

Nous savons bien que la gratuité de l’accès à l’internet n’a pas pour seule contrepartie la publicité ! Nos données personnelles constituent aujourd’hui l’ « or noir » du numérique qui intéressent tous les acteurs de l’internet.

Aussi, l’accès aux services internet est conditionné à la fourniture de données à caractère personnel. L’internaute doit accepter les CGU pour accéder au service : il s’agit le plus souvent d’une case à cocher certifiant que l’internaute a lu et approuvé les CGU – cela sans qu’on puisse savoir s’il les a vraiment consultées. Comme l’a souligné le Conseil d’État dans son étude de juillet 2014, même le consommateur le plus attentif ne pourra prendre le temps de lire ces conditions d’utilisation.

Les données personnelles sont également collectées, à l’insu des internautes,  via les historiques de navigations, les blogs, les réseaux sociaux, les moteurs de recherche… mais aussi par les outils de géolocalisation.

Il faut aussi tenir compte de l’incitation faite aux internautes de communiquer des informations les concernant, encouragés par la culture de « l’exposition de soi ». Ils n’hésitent pas à dévoiler des pans entiers de leur vie privée.

6.

Quels sont les risques de cette collecte ?

Il y a d’abord la perte de contrôle par l’internaute des données qui le concernent : « la circulation d’informations concernant une personne peut avoir de graves conséquences sur sa vie privée et professionnelle, parfois plusieurs années après les faits » (Cnil, son rapport d’activité 2013).

Il suffit de constater que le nombre des entreprises victimes de failles de sécurité relatives aux informations sur la clientèle (noms, adresses, numéros de téléphone ou encore données bancaires se retrouvent alors publics…) augmentent de manière significative.

En fait, les internautes ne maîtrisent pas l’environnement internet. Les exemples sont nombreux :

Il y a ceux qui pensent s’exprimer dans un espace privé « fermé » dont l’accès est réservé à leurs seuls amis. En fait, ils sont dans un espace public, « ouvert par défaut ». Les conséquences peuvent être désastreuses et nous en avons eu beaucoup d’exemples : ceux qui n’ont pas trouvé d’emploi, desservis par les commentaires qu’ils ont publiés ; ceux qui ont été licenciés en raison de propos injurieux ou diffamatoires visant leur hiérarchie, publiés sur leur compte Facebook ; ceux qui ont été poursuivis pour diffamation ou injure.

Il y a ceux qui, par imprudence ou négligence, n’ont pas suffisamment protégé leurs comptes, leurs paramètres de confidentialité, leurs identifiants, leurs codes. Ils ne savent pas que ceux-ci pouvaient être récupérés par les historiques de navigations, de consultations via les moteurs de recherche ou encore par des outils de géolocalisation. Les conséquences ici encore sont graves : leur identité virtuelle est usurpée, d’autres s’expriment en leur lieu et place, portent atteinte à leur réputation, à leur crédibilité. C’est le cas de cette jeune femme dont le nom a été utilisé par une collègue pour s’inscrire sur des sites de rencontres en ligne. Il ne faut pas sous-estimer le nombre de personnes qui sombrent dans la dépression, qui font des tentatives de suicides, de jeunes cyber-harcelés…

Il y a aussi toutes les victimes de rumeurs ou qui subissent la diffusion de publications les concernant, des informations, des photos, des vidéos qu’elles voudraient oublier ou voir disparaître définitivement de la toile. C’est le cas de cette victime dont des photos intimes ont été livrées au public par son colocataire qui avait installé une webcam à son insu.

Ou de cette victime de « revenge porn », pratique de plus en plus fréquente qui consiste à diffuser des photos compromettantes de son « ex ».

Alors la question se concentre sur les moyens de protéger la vie privée.

7.

Au plan national, on l’a dit, il y a la loi « Informatique et Libertés » du 6 janvier 1978 modernisée et adaptée en 2004 aux nouvelles réalités numériques.

Au plan européen, il y avait la Convention pour la protection des personnes à l’égard du traitement des données personnelles du 28 janvier 1981 (Convention 108), qui a inspiré la directive européenne de 1995. Celle-ci vise à protéger les droits et les libertés des personnes par rapport au traitement de données à caractère personnel en établissant des principes directeurs déterminant la licéité de ces traitements.

Il y aura bientôt un nouveau règlement européen, qui remplacera cette directive. Le choix de l’instrument normatif est intéressant : s’agissant d’un règlement et non d’une directive, il s’imposera donc dans la législation de tous les états-membres, sans transposition.

A une échelle plus internationale, l’Assemblée générale des Nations unies a adopté, dès le 14 décembre 1995, des principes directeurs pour la réglementation des fichiers personnels informatisés.

Malheureusement, si les textes sont importants, ils sont insuffisants pour protéger les citoyens.

8.

Pourquoi ?

Malgré des dénominateurs communs –  par exemple la limitation de la collecte de renseignements personnels et de l’utilisation de ceux-ci aux fins pour lesquelles ils ont été recueillis – l’approche quant à la protection des données personnelles est radicalement différente selon les Etats :

Exemple : En Angleterre, la logique est davantage celle de l’autorégulation que celle de la réglementation : la privacy anglo-saxonne est d’inspiration plus libérale et -sans doute- plus consumériste que la vie privée à la française.

Exemple encore plus frappant : les autorités américaines se prononcent plutôt en faveur de la commercialisation des données personnelles, tandis que les pouvoirs publics français s’attachent à leur protection. De même, aux États-Unis, c’est le consommateur qui est protégé et non l’individu lui-même ; c’est le droit de la consommation et celui de la concurrence qui s’appliquent, non le droit des libertés publiques.

9.

Faut-il responsabiliser davantage l’internaute ?

C’est ce que prévoit le projet de règlement européen sur la protection des données personnelles :

–      droit à la notification d’une violation de ses données à caractère personnel lors de l’apparition de failles de sécurité,

–      droit d’opposition à une mesure de profilage

–      droit à l’effacement de ses données personnelles ainsi que l’effacement par des tiers des liens vers ces données ou de toute copie ou reproduction de celle-ci.

La Commission européenne invitait dès juillet 2012 à « accroître la maîtrise que les utilisateurs ont sur leurs données personnelles (…) ».

Le Conseil d’État, dans son « Étude annuelle : le numérique et les droits fondamentaux » (2014), suggère de promouvoir le droit à « l’autodétermination informationnelle », c’est-à-dire le droit de l’individu de décider de la communication et de l’utilisation de ses données à caractère personnel au niveau international.

10.

L’internaute est-il en mesure de se protéger lui-même ?

Cette question prend tout son sens lorsqu’on découvre qu’à l’issue de sondages, la plupart des individus attacherait une valeur faible à la protection de leurs données personnelles.

Exemples :

–      71 % des personnes auraient accepté d’échanger leur mot de passe… contre une barre de chocolat !

–      -Près d’un tiers des internautes interrogés donnerait un large accès à leurs données personnelles « moyennant des contreparties financières »

Ainsi, le consentement ne suffit pas à protéger l’individu puisque ce dernier fait prévaloir l’avantage immédiat, démontrant s’il en est besoin qu’il n’a pas conscience de la gravité des risques ultérieurs d’atteinte à sa vie privée.

11.

Comment, dans ce contexte, renforcer « la protection des droits fondamentaux face à l’utilisation (des données à caractère personnel) à des fins industrielles et commerciales (…) » ?

Une piste pourrait être les garanties « technologiques » – prévues dès 1995 par la directive européenne sur les données personnelles.

Il s’agit de mesures préventives protectrices, par exemple des démarches de type « privacy by design » (prise en compte de la vie privée dès la conception du dispositif technique) et de « privacy by default » (protection de la vie privée « par défaut » dans les paramètres).

Il s’agit aussi de sensibiliser les grands acteurs de l’internet afin qu’ils soient pleinement conscients de l’importance de leur rôle dans la protection des libertés individuelles (arrêt de la CJUE du 13 mai 2014 sur le droit à l’oubli : l’effectivité de ce « droit à l’effacement » est dépendante du moteur de recherche).

Il s’agit aussi de responsabiliser ces grands acteurs de l’internet « en fixant des règles (transparence, conformité, etc.) pour la mise en œuvre des traitements ayant recours à des algorithmes à caractère décisionnel ou prédictif ayant un effet sur les personnes.

12.

Une chose est sûre. La mondialisation de l’internet nous contraint à dépasser nos frontières et à confronter et partager nos réflexions.

Je laisse la parole à Nathalie Moreno et à Anne-Claire Dubois, qui sauront certainement nous expliquer où le droit français pèche et ce qu’il a à apprendre du droit anglo-saxon … Et inversement ?!

 

Pour en savoir plus sur nos compétences en matière de données personnelles et vie privée.

Autres actualités