L’Europe: quelle protection de ma vie privée et de mes données ?

Catégorie(s) : Justice et Droits fondamentaux | Monde digital | Numérique

privacy-policy-445156_640

Alors que Facebook se fait épingler par le Congrès Américain suite à l’affaire Cambridge Analytica, le règlement promulgué le 27 avril 2016 de l’Union européenne renforçant ses mesures de protection de la vie privée et en particulier des données personnelles entre en vigueur. Sommes-nous protégés, responsables? Quel rôle joue l’Union européenne dans cette régulation? Entre lois, responsabilité et alternatives, faisons le point.

mobile-phone-1087845_960_720

Qui est responsable ?

Le début du 21e siècle a vu se démocratiser l’utilisation d’internet, apparu début des années 90, et le développement massif des réseaux sociaux. Facebook, Twitter et autres plateformes d’échange se sont intégrées au quotidien des citoyens. Internet, ce réseau informatique parfois opaque, est devenu un véritable puits de données personnelles. Très vite, la question de la vie privée est devenue le cœur du débat. Quelle sécurité des données pour l’utilisateur lambda? Quelle protection législative? Y-a-t-il une responsabilité des compagnies traitant les données dès lors que l’utilisateur approuve les règles de confidentialité et d’utilisation? La particularité des cyber données est le volontarisme des utilisateurs à les confier si facilement pour accéder aux services proposés. L’aspect virtuel de ces données, les règles de confidentialité fastidieuses que personne ne lit mais que tout le monde approuve pour accéder aux divers services peuvent expliquer partiellement cette facilité de consentement. Peut-on pour autant parler de volontarisme total dès lors que les compagnies n’offrent pas d’alternatives et imposent leurs règles d’usage ? Si l’approbation par l’internaute des règles de confidentialité est l’argument juridique de défense pour les différentes compagnies, aujourd’hui le droit au respect de la vie privée, droit fondamental, semble mis en péril. Mais qu’en est-il du droit de l’Union européenne alors que cette dernière vient de modifier ses exigences?

Lanceurs d’alerte: les Etats et les entreprises dans le viseur

La protection de la vie privée sur internet est un véritable défi. Divers scandales ont ainsi éclaté dénonçant l’exploitation délibérée des données des particuliers. Edward Snowden a ainsi été l’un des premiers lanceurs d’alerte en dévoilant le système américain de surveillance de masse en 2013. A l’heure de l’économie numérique, les achats, les impôts, la gestion des comptes en banque ou encore le courrier se font en ligne. La protection de ces données est une véritable nécessité pour prévenir la fraude, les usurpations d’identité…  Les réseaux sociaux, lieux virtuels où chacun partage un bout de son quotidien, sont devenus de véritables source de données personnelles. Le cas des réseaux sociaux se distingue des autres exploitants car l’utilisateur y partage des éléments personnels. Leur spécificité réside aussi dans leur taille et de fait, de la potentielle centralisation massive des données. Depuis sa création, Facebook a connu une croissance exponentielle avec plus de 1,72 milliard de comptes d’utilisateurs en 2016. De tels réseaux ont dès lors une grande responsabilité morale. utilisateurs facebook

Celle-ci a été mise en évidence suite à l’affaire Cambridge Analytica. En 2018, Christopher Wylie a lancé l’alerte au sujet de cette société qui a dérobé des milliards de données au réseau social Facebook. Là où le bât blesse, c’est lorsque l’on sait que Cambridge Analytica a participé activement à la campagne de Donald Trump ou encore à celle pour le Brexit. Dans un tel climat, il n’est guère surprenant d’apprendre que le Parlement Européen a voté le durcissement des normes européennes. Il est en effet l’un des rôles de l’Union européenne que d’assurer la protection des citoyens. Ce droit à la vie privée est reconnu et légalement protégé par les diverses institutions européennes.

La vie privée dans le droit de l’Union

Un droit fondamental à protéger

Le droit au respect de la vie privée et familiale est reconnu par l’Article 8 de la Convention Européenne des droits de l’Homme.

  1. « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
  2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. « — Article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales

De même l’Article 8 de la Charte des droits fondamentaux de l’Union européenne assure la « Protection des données à caractère personnel » :  » 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. » Bien que les données internet soient bien entendu collectées sur la base du consentement, l’Union européenne a été amenée à légiférer pour réguler leur usage et prévenir tout abus dès lors que l’utilisateur n’a que peu d’alternatives.   Le premier texte de référence en regarde de la protection des données personnelle était la « directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». La directive laissait de la latitude aux Etats et son suivi laissait à désirer. (Dumont, 2011). Elle cherchait à mettre en place la libre circulation des données personnelles au sein de l’UE tout en assurant les droits fondamentaux en affirmant que tout individu est une « personne concernée » et toute entité de n’importe quel secteur de l’économie est un « responsable du traitement » (Dumont, 2011, p.54). Mais des problèmes subsistent dès lors que les Etats divergent sur la notion de consentement avec des pays ayant opté pour la règle de l’opt-in et d’autres de l’opt-out. L’opt-in impose l’autorisation de la personne pour pouvoir utiliser ses données. Dans le cas de l’opt-out, l’autorisation de la personne est considérée a priori comme implicitement accordée. Malgré cette directive, le manque d’harmonisation au sein de l’UE due à une relative flexibilité a incité à préciser la politique européenne et ce dans un contexte où la question de la protection des données personnelles sont apparues comme un sujet sensible aux enjeux de taille. »La protection des données et de la vie privée s’est également traduite par l’établissement d’un cadre juridique et institutionnel d’application aux institutions et organes européens. Ainsi, le traité d’Amsterdam adopté en 1997 a été l’occasion de constitutionaliser la fonction de contrôleur européen de la protection des données personnelles (CEPD). » (Dumont, 2011)

La notion de consentement est le principal allié des sociétés exploitantes de données personnelles. Ce consentement, s’il est bel et bien donné, peut être polymorphe. Le citoyen est-il consentant s’il se doit de lire des centaines de pages de conditions d’usage aux termes complexes qu’il préfère approuver sans même se pencher dessus? Est-ce abusif et n’est-il pas nécessaire de faciliter le choix de l’utilisateur en l’informant de manière simple et concise sur le traitement de ses données ? La notion de consentement est primordiale car elle donne aux traitements de données leur caractère légal. L’utilisateur lambda n’a peut-être pas conscience des potentielles retombées juridiques qu’implique l’acceptation des conditions d’usage. Le droit au respect de la vie privée, dans un cadre législatif peu développé, devient la seule garantie, malléable, de l’utilisateur. Non suffisant, celui-ci doit être étoffé par des un cadre législatif clair à la marge d’interprétation plus limitée.  L’Union européenne légifère pour renforcer la cyber sécurité depuis plusieurs années jonglant entre directives et règlements.

Le nouveau RGPD

Le 14  avril 2016, le Parlement européen a donc adopté un nouveau règlement en vue d’unifier la politique de protection des données personnelles, le « Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ». Ce nouveau RGPD  devient contraignant le 25 mai 2018. Si l’on ne peut détailler tous les changements qu’implique ce nouveau règlement, l’on peut toutefois dégager quelques points de réforme importants. « Le texte a trois objectifs : consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises traitent les données à caractère personnel. En effet, parmi les nouveautés mises en place dans cette législation, on compte notamment le droit à l’oubli, ainsi que le droit à la portabilité des données et à l’opposition de toute opération marketing ». (Les Echos, le cercle, Mourier, 24/02/2017). Enfin le règlement garantit le droit à l’information sur les failles de sécurité. Le droit à l’oubli consiste à garantir aux usagers qui le demandent de manière légitime, la suppression complète de leurs données par l’entreprise (dans un délai de 30 jours). Il devient réellement effectif avec l’application de ce règlement. D’après la Commission Nationale de l’Informatique et des Libertés (CNIL), « le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. (CNIL, 22/05/2017). Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles. » Ce droit concerne uniquement les données  fournies par les utilisateurs. D’autre part, en cas de piratage des données ou de perte de celles-ci, l’exploitant doit informer l’utilisateur dans un délai de 3 jours.

Plus de transparence

Le consentement devra désormais être éclairé. De fait les compagnies doivent être à même de prouver que le consentement était explicite pour que les données soient utilisées pour des fins définies (marketing, revente, démarchage commercial, etc.). Cette notion d’explicité. Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée – « …en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. » Le texte demande également aux entreprises et autorités publiques exploitant des données à grande échelle de désigner un Délégué à la Protection des Données  « Data Privacy Officer » (DPO) supervisant la mise en place du nouveau RGPD,  informant le personnel sur les politiques mises en place concernant les données, et faisant le lien pour toute demande de droit à l’oubli par les usagers. Pour Olivier Ertzscheid, chercheur en sciences de l’information et de la communication à l’université de Nantes, ce règlement représente une belle avancée, créant un véritable cadre juridique contraignant concernant l’usage des données personnelles (Accardo, Voxeurop, 20/04/2018) . « Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR , ou dans le cas d’une entreprise,  jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (…) » article 83 alinéa 5. La sanction est financière mais pas seulement. Plus que l’amende, qui peut paraître faible pour des compagnies aux chiffres d’affaires proches de PIB nationaux, c’est la réputation qui est en jeu. En effet, « dans le cadre du RGPD et de la protection des données personnelles les plateformes voient désormais clairement les enjeux en termes d’image dans l’opinion ». (Accardo, Voxeurop, 20/04/2018) Le RGPD représente un premier pas, « un pas de géant » pour le chercheur, vers un consentement éclairé. Toutefois, outre les sanctions potentielles, il est nécessaire de s’assurer de la solidité du dispositif juridique contrôlant l’application de telles sanctions. « Le consentement préalable et explicite pour l’ensemble des données collectées est un premier pas. Il faut aussi que l’intentionnalité de la collecte soit précisée : pourquoi, par qui, dans quel cadre et à quelles fins les données personnelles collectées seront-elles utilisées ? Et pendant combien de temps. Il faut aussi mettre en place, en termes d’ergonomie et de design, des outils qui permettent de s’approprier plus facilement ces Conditions Générales d’Utilisation. Et surtout il faut que l’on puisse régulièrement vérifier qu’elles n’ont pas changé, évolué. » rappelle Olivier Ertzscheid (Accardo, Voxeurop, 20/04/2018). D’après la CNIL, « la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité » aux autorités de contrôle.

Cybersécurité: la directive européenne sur les cyberattaques

Cyber Security Security Hacking Coding Hacked

Outre l’exploitation légale des données, la protection doit aussi être renforcée au niveau des cyberattaques. La Commission Européenne a en effet publié des chiffres alarmants concernant le cyber hacking évoquant 4 000 attaques par rançongiciel chaque jour en 2017, et 80 % des entreprises européennes concernées par au moins une attaque (Stupp, Euractiv, 7/05/2018). Nouveau cheval de bataille de l’Union européenne, assurer la cyber sécurité est aussi redonner confiance au consommateur et développer l’économie numérique. Adoptée par le Parlement européen et le Conseil de l’Union européenne le 6 juillet 2016, la directive 2016/1148 Network and Information Security (NIS) a pour objectif d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Depuis le 9 mai, les 28 Etats membres sont supposés l’avoir transposée pour le droit national. Cette directive exige notamment des entreprises que les entreprises signalent toute cyberattaque aux autorités publiques sous peine de sanctions. Pour sa bonne transposition au droit national, l’Union européenne envisage une révision du mandat de l’ENISA, l’Agence européenne en charge de la sécurité des réseaux et de l’information, Un Groupe de Coopération, composé de représentants nationaux ainsi que de l’ENISA et la Commission Européenne, donnera des orientations stratégiques ; Un réseau de CSIRT (Computer Security Incident Response team) s’organise aussi, pour faciliter l’échange de bonnes pratiques et pour appuyer les Etats Membres sur toute question relative à la directive. Le Royaume-Uni  a annoncé le montant des amendes que se verront infliger les sociétés n’informant pas les autorités en cas de cyberattaques: 17 millions de livres soit 19 millions d’euros. (Stupp, Euractiv, 7/05/2018). L’Union européenne réfléchit notamment à renforcer les prérogatives de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) pour lutter contre le vol de données et les cyberattaques et veiller à la bonne application des nouvelles normes européennes. Concrètement, l’effectif des employés de l’ENISA devrait passer de 80 à 120 personnes. Son budget, établi à 11,2 millions d’euros en 2017, devrait doubler d’ici à 2021 d’après la Tribune. (Rolland, la Tribune, 20/09/2017).

2018: la réaction de l’UE, une protection toujours insuffisante?

L’utilisateur, victime ou acteur de ses droits?

L’Union européenne a véritablement renforcé la responsabilité des entités traitant les données ainsi que la notion de consentement de l’utilisateur pour moins d’ambiguïté.  Les récents progrès législatifs démontrent d’une réelle volonté d’homogénéisation politique au sein de l’Union et d’une clarification du cadre juridique. Toutefois l’on peut se demander si l’utilisateur est mieux informé: est-il à même de dire de quelle manière sont traitées ses données et à quelle fin? Est-ce sa responsabilité de chercher à comprendre ou est-ce le rôle de l’Union européenne que d’informer? Si des organisations supranationales telle l’Organisation Mondiale de la Santé alertent sur l’usage de certains produits et exercent un réel rôle de prévention en publiant régulièrement des recommandations pour les citoyens,  cela n’est pas le cas de l’Union européenne. Cette dernière s’assure que les droit fondamentaux des citoyens européens ne sont pas bafoués et du respect de ses normes. Toutefois, dès lors que celles-ci sont respectées, il est de la responsabilité du citoyen que de donner son consentement de manière vigilante.

Protection des lanceurs d’alerte insuffisante ?

Dans le droit de l’Union, la grande absente est la protection des lanceurs d’alerte. Seuls quelques pays ont véritablement légiféré sur la question au niveau national, notamment la France. La Commission Européenne a néanmoins proposé une nouvelle directive offrant un cadre législatif tangible pour protéger les lanceurs d’alerte le 23 avril 2018. Si elle n’a pas été soumise au vote, elle témoigne d’une volonté grandissante d’apporter un soutien à ces personnes. En effet, si le citoyen est maître de ses droits, il doit pouvoir en jouir en toute sécurité. De nos jours, les lanceurs d’alerte sont des acteurs primordiaux en ce qui concerne la dénonciation de l’exploitation abusive des données comme en témoignent les récents événements qui ont ébranlé la sphère numérique. La nouvelle loi prévoit l’instauration de canaux sûrs pour effectuer un signalement au sein d’une organisation ou auprès des autorités publiques. Cette directive instaure une protection contre le licenciement, la rétrogradation ou tout autre forme de représailles; enfin, elle implique la mise en place d’un système de prévention par les autorités nationales pour informer les citoyens et à former les pouvoirs publics à l’accompagnement des lanceurs d’alerte et des obligations de retour d’information pour les autorités et les entreprises.? (Commission européenne, 23/04/2018)

Des alternatives qui existent

Certains pourraient déplorer le fait qu’il est difficile de se passer de certains services impliquant l’exploitation de données de nos jours. C’est d’ailleurs l’une des raisons pour lesquelles les gouvernements se penchent sur la législation nébuleuse entourant leur usage. Pour autant, imaginer qu’il n’existe aucune alternative serait se fourvoyer. Le documentaire français à but non lucratif « Nothing To Hide » de Marc Messailloux sorti le  6 septembre 2017 permet de découvrir d’autres options qui s’offrent aux utilisateurs, et déconstruit le mythe du monopole technologique. De nos jours, des entreprises proposant des services similaires aux principales puissances du web à l’exploitation moindre voire nulle des données existent, bien qu’elles restent méconnues. Indubitablement, en ce qui concerne les réseaux sociaux, le succès repose sur le nombre d’utilisateurs. Il est donc difficile de concurrencer un oligopole fortement enraciné dans le quotidien des internautes. Si demain, une personne souhaite se tourner vers ces alternatives, il est indubitablement confronté à l’absence de ses pairs. Aujourd’hui, pour un développement pérenne, il faudrait un véritable mouvement de masse pour bousculer l’oligarchie technologique. L’on remarque toutefois que les codes établis évoluent comme le montre le redéveloppement des publicités non personnalisées. Ce papier ne cherche nullement à dénoncer l’utilisation et le traitement des données, ni à faire quelconque réquisitoire mais bien de montrer qu’il n’y a pas de fatalité quant à l’exploitation de celles-ci. Une certaine protection est nécessaire pour préserver le droit au respect de la vie privée. Le citoyen est pleinement acteur de ses droits et peut lui-même s’informer dans un cadre qui le protège. Le traitement des données permet un service amélioré car personnalisé. Il est indéniable que cela permet aux différentes entreprises de s’adapter au besoin du consommateur et lui apporter une meilleure satisfaction. Pour autant, cet argument ne doit pas occulter la mise en place d’un système informatif pour que chacun puisse donner son consentement de manière éclairée ni empêcher l’établissement de restrictions dès lors que les alternatives s’avèrent parfois faiblement développées.

En résumé, ces services doivent être utilisés de manière avertie, car l’Union européenne, si elle peut renforcer sa protection en étoffant un cadre juridique, ne peut avoir la main mise sur l’un des espaces réputé pour sa grande liberté, dixit le web.   C’est donc aux institutions européennes, aux Etats, aux entreprises mais aussi aux citoyens que d’assumer leur pleine part de responsabilité dans l’exploitation des données à caractère personnel.

 

Par Maëlie BENISTAND-HECTOR.

Bibliographie 

Images libres de droit

Delphine Simon, En plein scandale Facebook, l’Europe met en place un nouveau réglement censé mieux protéger notre vie privée, 27 avril 2018 (consulté le 12/05/2018)

https://www.franceinter.fr/emissions/le-vrai-faux-de-l-europe/le-vrai-faux-de-l-europe-27-avril-2018

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, texte intégral

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L0680&from=FR

VoxEurop, Propos recueillis par Gian-Paolo Accardo, Protection des données personnelles : Le nouveau règlement, “c‘est déjà un pas de géant” 20 avril 2018  (consulté le 13/05/2018)http://www.voxeurop.eu/fr/2018/protection-des-donn-es-personnelles-5121943

Julien Lausson, RGPD : 10 questions pour comprendre le nouveau règlement sur la protection des données, 15 mai 2018 (consulté le 15/05/2018)                                                                       https://www.numerama.com/politique/329191-rgpd-tout-savoir-sur-le-reglement-sur-la-protection-des-donnees-si-vous-etes-un-internaute.html

Commission européenne – Protection des lanceurs d’alerte: la Commission fixe de nouvelles règles applicables dans toute l’UE, Communiqué de presse Bruxelles, le 23 avril 2018 (consulté le 15/05/2018)http://europa.eu/rapid/press-release_IP-18-3441_fr.htm

Béatrice Dumont, « La régulation à l’échelle communautaire. Une analyse économique des instruments et institutions de la protection des donnés au sein de l’UE », Réseaux 2011/3 (n° 167), p. 49-73. CNIL, le droit à la portabilité en questions, 22 mai 2017 (consulté le 14/05/2018)https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions

A lire également

Les États membres tentent d’encadrer la cryptomonnaie controversée de Facebook

Le Comité économique et financier (CEF) a demandé à la Commission européenne une analyse sur les risques posés par la devise numérique controversée de Facebook, le Libra

Le Parlement européen entérine la protection des lanceurs d’alerte

Les eurodéputés ont mis un point final à la directive sur la protection des lanceurs d’alerte le 16 avril, quelques jours après l’arrestation du fondateur de Wikileaks.