RTFlash

Edito : Protection des données personnelles : un enjeu démocratique majeur !

Depuis quelques mois, le projet de révision de la directive européenne sur la protection des données personnelles est entré dans une phase décisive. Ce nouveau texte vise à étendre et à améliorer la protection des informations numériques personnelles concernant les citoyens européens, lorsque celles-ci sont stockées dans des bases de données ou qu'elles circulent sur l’Internet.

Présenté début 2012 par la Commission européenne, ce projet vise à unifier et à renforcer au niveau européen le cadre de protection pour ce type de données. Concrètement, un guichet unique sera instauré : si un internaute britannique ou allemand est en conflit avec une entreprise située en Espagne, il ne sera plus obligé d’effectuer des démarches auprès de l’agence espagnole de protection des données et pourra saisir directement l’agence britannique ou allemande.

Mais le point central de ce projet de directive, celui qui suscite les débats les plus vifs entre états et provoque également une forte opposition de la part des États-Unis, est la modification de la règle du "consentement explicite". Cela signifie que ce texte prévoit d’inverser la logique actuelle : aujourd’hui, les grands du numérique peuvent utiliser vos données personnelles, sauf si vous vous y opposez expressément. Demain, si cette directive est adoptée, les géants du Net devront d’abord obtenir votre autorisation pour se servir des informations vous concernant.

Autre modification considérable prévue par ce texte : l’acquisition, le stockage et l’utilisation d’informations numériques par les entreprises devra s’inscrire dans un cadre strictement défini et correspondre à ses « intérêts légitimes ». Le problème est qu’une telle notion, très floue, est par nature très difficile à définir précisément et que tout dépendra de l’interprétation juridique qui sera faite de ce principe général.

Ce nouveau cadre législatif européen prévoit également le "droit à l'oubli numérique". Il s’agit de prévoir la possibilité d’effacer totalement certaines informations personnelles ne tombant pas sous le coup de la Loi, au terme d’un certain délai. Toutefois ce nouveau droit ne sera sans doute pas étendu aux informations mises en ligne volontairement sur un réseau social. Or, c'est bien ce type d'information qui risque le plus de porter un préjudice ultérieur.

Enfin, et ce point est très important, contrairement au cadre actuel, le projet européen s’appliquerait à tous les responsables de traitements, et notamment aux sous-traitants, offrant des biens ou des services à des personnes résidant dans l’Union Européenne.

La future directive prévoit que les responsabilités du sous-traitant seront clairement fixées par contrat avec le donneur d’ordres. Si le sous-traitant ne respecte pas ses obligations contractuelles, il sera considéré comme juridiquement et pénalement responsable.

Depuis un an, ce projet est examiné par le Parlement européen et il pourrait être adopté d’ici la fin de l’année et entrer en vigueur en 2016. La portée de ce texte et ses conséquences en matière économique, commerciale et financière sont considérables, ce qui explique qu’il fasse l’objet d’intenses discussions entre les états membres et qu’il subisse également une action de lobbying à un niveau d’intensité rarement atteint, de la part des États-Unis.

Il est vrai que l’entité économique mondiale à présent désignée sous le sigle de « GAFA », (Google, Apple, Facebook, Amazon), sera touchée au cœur si cette directive est adoptée dans sa forme actuelle. Le modèle économique de ces géants mondiaux du numérique repose en effet sur la fourniture de services gratuits toujours plus attractifs pour les internautes en échange de la possibilité d’utiliser les données personnelles concernant ces derniers, à des fins publicitaires et commerciales.

On comprend mieux l’enjeu économique que représentent la collecte, le contrôle et l’exploitation de ces données quand on sait que le chiffre d’affaires du commerce électronique dépasse à présent les 312 milliards de dollars en Europe, ce qui représente 38 % du chiffre d’affaires mondial du commerce en ligne.

Les États-Unis voient d’un très mauvais œil l’adoption prochaine de ce nouveau cadre réglementaire européen et s’y opposent avec vigueur. Non seulement ils ont envoyé une délégation de parlementaires américains pour essayer de convaincre leurs homologues européens que ce texte, dans sa version actuelle, allait constituer une entrave insupportable à la liberté des affaires et à l’essor du commerce en ligne, mais ils ont également actionné un lobbying extrêmement méthodique et efficace qui a conduit au dépôt de milliers d’amendements visant à réduire le plus possible le nombre et l’étendue des nouvelles contraintes envisagées par l’Union européenne.

Ce texte déchaîne également les passions au sein des états membres de l’Union et sa mouture actuelle a fait l’objet, il y a deux semaines, d’un rejet par les Ministres de la Justice de l'Union européenne qui ont considéré que ce projet était trop confus et trop pénalisant pour les petites entreprises. Justifiant ce rejet, le Ministre britannique de la justice, Chris Grayling, a souligné « nous faisons une législation pour les PME, pas seulement pour Google ».

Mais derrière ce débat législatif et juridique, qui peut sembler aride et très technique aux non-initiés, se dissimule une confrontation entre deux conceptions morales de l’économie.

La première, celle de l’Europe, considère, comme dans le cas de l’exception culturelle en matière d’audiovisuel, qu’on ne peut pas considérer les informations personnelles concernant les individus comme de simples marchandises commerciales et que chaque personne possède un droit inaliénable de regard sur les données la concernant.

La vision anglo-saxonne considère au contraire que l’exportation numérique des données personnelles est devenue l’un des principaux moteurs du commerce mondial et de la croissance économique et, qu’à ce titre, elle ne doit pas faire l’objet, sauf exceptions, d’entraves ou de restrictions.

Or, il est vrai, et beaucoup d’états européens le reconnaissent implicitement ou non, que l’instauration d’un cadre de protection des données personnelles trop rigide au niveau européen risquerait de constituer un handicap de concurrence très pénalisant, particulièrement pour les petites entreprises. Mais l’Europe est également consciente qu’elle ne peut pas laisser les acteurs américains du numérique faire ce qu’ils veulent de ces données personnelles et les exploiter comme bon leur semble, au nom de la liberté du commerce.

En dehors de toute considération politique ou idéologique, chacun sent bien en effet qu’il y a, face au développement fulgurant des « big data » et aux progrès dans les techniques qui permettent leur exportation intelligente, une exigence démocratique et morale de contrôle et de régulation afin que chacun d’entre nous puisse garder la maîtrise des informations les plus intimes le concernant.

A ce sujet, il faut d’ailleurs souligner que, parallèlement au débat européen sur l’adoption de cette directive fondamentale concernant la protection des données personnelles, la Commission Nationale de l'Informatique et des Libertés (CNIL) a mis en demeure Google le 20 juin, de se plier au droit français, sous peine de sanctions financières.

La CNIL reproche en effet au géant numérique de ne pas prendre de mesures concrètes permettant aux utilisateurs « d’être en mesure de connaître l'utilisation qui peut être faite de leurs données et les maîtriser». Face à ces injonctions, Google souligne que sa politique de confidentialité respecte la loi européenne.

Il faut également signaler l’initiative prise il y a quelques jours par un certain nombre d’autorités de régulation des principaux pays développés pour demander à Google des éclaircissements sur le champ d’application de ses futures lunettes (voir courrier à Google).

Les états cosignataires souhaitent notamment savoir comment ces lunettes respecteront les lois sur la protection des données personnelles, quelles sont les informations que Google collectera grâce à ce nouveau produit et comment ces informations seront utilisées ?

Le  géant américain de l'Internet Google a par ailleurs été sommé, le 21 juin, par les autorités britanniques de détruire sous 35 jours des données privées collectées via son service de cartographie Street View, sous peine de poursuites judiciaires. Le Bureau de l’Information britannique, en charge de la protection des données personnelles en Grande Bretagne, a adressé à Google l'injonction de détruire plusieurs disques durs contenant ces informations récupérées sur des réseaux Wi-Fi non sécurisés.

Le site incriminé, Street View, permet d’accéder à des vues panoramiques en trois dimensions des rues mais, depuis quatre ans, des protestations de plus en plus vives s’expriment dans différents pays contre les méthodes employées par Google pour établir cette cartographie virtuelle et le géant numérique a fini par reconnaître qu’à l’occasion du quadrillage des rues par ses véhicules de prise de vue, des informations « inappropriées » et « personnelles » avaient été transmises par inadvertance sur son site.

Ces défaillances techniques ou logicielles – qui peuvent parfois entraîner de graves atteintes à la confidentialité des données personnelles - sont de plus en plus fréquentes car la complexité de gestion informatique de ces données, toujours plus nombreuses et hétérogènes, est devenue extrême, notamment sur les réseaux sociaux.

Le 21 juin, une gigantesque panne de logiciel a ainsi provoqué le partage involontaire des numéros de téléphone et des adresses courriels de six millions d'utilisateurs de Facebook, ce qui a provoqué de vives réactions des intéressés, bien que le célèbre réseau social se soit immédiatement employé à minimiser cet « incident » et ait formellement démenti une possible action malveillante...

Enfin le 25 juin, un article paru dans la revue du MIT (MIT Technology Review) soulignait, qu'en dépit de l'engagement pris en 2011 par Apple, près de la moitié (48 %) des 225 000 applications installées au cours de l'année 2012 sur un échantillon étudié  de 90 000 iPhones, ont été effectuées sans respecter le système de protection de la vie privée (ProtectMyPrivacy) équipant ces appareils et censé garantir l'anonymat des utilisateurs en empêchant leur identification.

On comprend mieux dès lors les réactions des états mais également des citoyens qui commencent à prendre très aux sérieux la question de la protection et de la confidentialité des informations personnelles et celle, connexe, de leur utilisation à des fins commerciales, sans le consentement explicite des intéressés…

Il est frappant de constater qu’en France, les internautes ont également bien pris conscience de l’enjeu majeur que représentent le respect de la confidentialité et la protection de leurs données personnelles sur les réseaux numériques. À cet égard, une récente étude réalisée par Ipsos est révélatrice : elle indique que 81 % des utilisateurs d’Internet ont des craintes quant à l’utilisation qui pourrait être faite de leurs données personnelles.

Elle révèle également que 73 % ont déjà modifié différents paramètres de sécurité sur leurs terminaux numériques et sur les réseaux sociaux auxquels ils appartiennent, de manière à mieux protéger leur anonymat. Mais cette enquête révèle surtout, et ce chiffre doit être médité par les géants du numérique, que 87 % des internautes ne sont pas disposés à permettre une utilisation de leurs données personnelles en « échange » de la gratuité des applications et services que les grands acteurs du numérique leur proposent.

Le dernier rapport de la CNIL, publié fin avril, confirme également cette montée en puissance des contentieux et recours juridiques concernant les atteintes à la vie privée et aux données personnelles. Ce rapport montre que, non seulement  le nombre total de plaintes a atteint un niveau record en 2012 (6 017) mais il révèle également que l’opposition à figurer dans un fichier numérique a augmenté de 75 % en un an et  constitue à présent le principal motif de plaintes (46 % soit 2767 plaintes pour l’année 2012).

La CNIL rappelle également que, selon la loi française de 1978, les données personnelles ne se limitent pas aux informations concernant l’état-civil mais s’étendent également aux informations permettant d’identifier un individu : photos, vidéos, codes d’accès, données biométriques, examens médicaux etc.

Depuis l’ouverture au grand public du Web, il y a maintenant presque un quart de siècle, nous avons vécu sur une grande illusion : celle d’un Internet qui serait un espace mondial totalement libre et gratuit, où n’existerait aucune des contraintes légales et morales qui s’imposent dans la « vraie » vie.

Nous n’avons pas voulu voir que la gratuité générale et absolue sur le Net était une fiction que les géants du numérique ont su parfaitement entretenir et faire prospérer, parce qu’au lieu de se rétribuer directement en exigeant un paiement des utilisateurs, ils pouvaient se rétribuer indirectement et de manière différée en exploitant d’une manière de plus en plus efficace les plus immenses gisements constitués par les données personnelles auxquelles ils avaient accès.

Mais à présent que l’Internet a conquis le monde et s’est banalisé et que, pour l’immense majorité d’entre nous, nous ne pouvons même plus concevoir l’existence sans être connecté en permanence au Web et sans pouvoir échanger des quantités inouïes d’informations multiformes, les inquiétudes et les craintes concernant le respect de la vie privée et des informations personnelles commencent à l’emporter sur l’euphorie des premiers temps et la fascination face à une rupture de civilisation majeure.

On voit bien, en dépit des immenses pressions exercées par les géants du numérique que, au moins en Europe, l’opinion publique est en train de basculer massivement en faveur de l’adoption d’un nouveau cadre réglementaire comprenant au moins trois principes fondamentaux : le consentement explicite des utilisateurs à l’utilisation des données les concernant, l’utilisation non extensive par les entreprises de ces données personnelles et enfin un droit de « prescription numérique » (le fameux droit à l’oubli) qui soit effectif.

Je suis convaincu que l’adoption et l’application de ces trois principes au niveau européen non seulement n’entraînera pas l’effondrement de l’économie numérique, comme certains acteurs voudraient nous en convaincre, mais provoquera un rééquilibrage salutaire et extrêmement bénéfique entre le pouvoir des entreprises et les droits des utilisateurs.

Je crois même que les entreprises qui seront les premières à anticiper cette évolution et à l’intégrer dans leur modèle économique et leur stratégie de développement en tireront finalement un avantage compétitif décisif sur leurs concurrents.

Économie et démocratie numériques doivent aller de pair et ne peuvent être dissociées. C’est pourquoi l’Europe a raison, sur cette question capitale, de montrer la voie et d’affirmer sa singularité et sa volonté politiques.

René TRÉGOUËT

Sénateur Honoraire

Fondateur du Groupe de Prospective du Sénat

Noter cet article :

 

Vous serez certainement intéressé par ces articles :

Recommander cet article :

  • Mathieu Destrian

    29/06/2013

    Article très intéressant et très bien écrit. Il a le mérite de balayer un sujet qui n'est pas évident en abordant les éléments juridiques et économiques tout en se projetant sur des futurs possibles.

    Il est bien dommage que nos politiques et nos "responsables" soient à des années lumière de cette vision et cette compréhension (sauf peut-être les Allemands - encore une fois... - si l'on considère tout cela d'un point de vue Européen, voir la dernière interview de la Ministre Allemande de la Justice à ce propos: http://www.spiegel.de/international/world/minister-leutheusser-schnarren...).

    Nous sommes un certain nombre d'entrepreneurs convaincus des opportunités d'un changement de paradigme du web. Effectivement, je pense que les utilisateurs (à titre personnel ou professionnel) vont modifier leurs habitudes d'utilisation, et comprendront qu'un produit doit être payé en fonction du service qu'il rend. Le modèle publicitaire (=la revente des données privées) est non seulement une menace à court terme pour toutes nos démocraties mais aussi une menace bien plus grande d'un point de vue écologique.

    Pourquoi? Et bien, tous les spams que vous recevez, tous les bandeaux publicitaires, tous le code informatique spécialement écrit pour la pub et la revente des données, consomme des quantités astronomiques d'électricité, donc entraînant de l'émission CO², puisque à part la France dans le reste du monde peu ou prou électricité=CO². Je ne peux que vous renvoyer à une publication scientifique faite par des universitaires américains de Purdue University sur l'impact pub sur Angry Birds (http://research.microsoft.com/en-us/people/mzh/eurosys-2012.pdf). Voir aussi l'article publié sur notre blog pour celles et ceux intéressé(e)s par le sujet: http://fr.intellinium.com/2012/10/pourquoi-sinteresser-a-lecoconception-....

    Par transparence, je suis entrepreneur depuis 2009, ai fondé Intellinium (www.intellinium.com) qui conçoit, développe et opère une plateforme sociale collaborative très sécurisée et très protectrice des données avec une démarche d'éco-conception applicative. Et je suis en accord avec la conclusion de cet article. Oui, on peut créer de nouvelles opportunités de développement d'entreprise et l'Europe peut devenir la prochaine Silicon Valley puisque les US auront du mal à prendre le virage...

  • back-to-top