Peut-on encore préserver ses données personnelles sur l’Internet ?

Nous sommes emportés par l’ère de l’information digitale. En 1995, seulement 1 % de la population mondiale utilisait l’Internet.
En 2015, 3 milliards d’êtres humains échangent de l’information à travers toute la Toile. Notre vie quotidienne est désormais entièrement transposée à l’univers numérique, dont les données à caractère personnel constituent un enjeu majeur.

Entre autre, les révélations faites en 2013 par Edward Snowden sur le programme de surveillance américain de l’Internet ont relancé le débat d’une protection efficace de ces données à l’échelle mondiale. Moins d’un an plus tard, la Cour de Justice de l’Union européenne a consacré pour la première fois avec l’arrêt Google Spain un droit à l’oubli numérique, symbole de cette protection.

Sensible à ces événements, un projet de réforme dans l’Union européenne a intégré cette récente évolution jurisprudentielle et donné privilège à une meilleure protection citoyenne. Ce projet est toujours en cours de discussion.

Le projet de réforme contient deux volets :
 Un premier volet est consacré à la Directive sur le traitement transfrontalier des données en matière de coopération policière et judiciaire.
 Le second volet concerne le nouveau Règlement général sur la protection des données à caractère personnel pour tous les citoyens, basé sur le texte présenté par la Commission européenne le 25 janvier 2012. Le règlement remplacera la Directive 95/46 de 1995, pour ne laisser place qu’à une seule législation (dit « guichet unique ») et non plus une loi transposée à chacun des États membres comme auparavant. Ce nouveau système n’est pas sans créer une certaine hostilité de quelques États membres (dont le Royaume-Uni) qui craignent une concentration des entreprises établis sur certains territoires moins regardants sur le respect de ces dispositions. Pour pallier à ce problème, la France soutient notamment une gouvernance partagée entre les autorités de contrôle des différents pays concernés par le traitement.

La loi française définit les données à caractère personnel comme toute information relative à une personne physique identifiée ou pouvant être identifiée.

Leur traitement est contrôlé en France par la CNIL, dont le rôle est confirmé par cette réforme.

En premier lieu, l’autorité de contrôle délivrera désormais aux entreprises l’ensemble des autorisations nécessaires au transfert des données à caractère personnel hors de l’Union européenne.

En second lieu, pour faire respecter ces dispositions, la CNIL pourra infliger des amendes plus importantes aux entreprises responsables du traitement, pouvant aller jusqu’à 100 millions d’euros ou 5 % de leur chiffre d’affaire. Alors que certains juges français bloquent désormais les sites enfreignant le droit d’auteur, il n’est pas impossible que de telles mesures soient prises par ordonnance pour les sites ne respectant pas les dispositions de ce Règlement.

Le projet de réforme répond également à une autre exigence de ces autorités de contrôle, avec la mise en place obligatoire d’une forme non équivoque et claire, pour les procédures de traitement de données à caractère personnel, étendue à toute l’Union. Le texte consacre de façon générale un consentement exprès du traitement (mécanisme dit « d’opt-in »), déjà largement pratiqué notamment en France. Plusieurs initiatives privées, telles que les Common Terms, ont fait leur apparition afin de fournir une information simple à ceux qui sont concernés par un traitement sur l’Internet. Les Common Terms se démarquent en étant à la fois compréhensibles par tous et juridiquement fondés. Uniquement disponibles pour les pays anglo-saxons, ils restent un modèle à observer pour d’autres systèmes juridiques.

En ce qui concerne le propriétaire des données, ses droits sont également étendus.
Le droit à l’effacement de ses données est complété par le droit à l’oubli numérique dégagé par l’arrêt Google Spain, qui permet de déréférencer certaines informations des moteurs de recherches.
L’article 18 consacre un nouveau droit à la portabilité des données, permettant leur exportation d’un service en ligne à un autre. Le texte ne vise que les formats numériques ouverts (non-propriétaires) couramment utilisés sur le Web. Cette exigence risque de ne jamais s’appliquer aux entreprises dominantes du marché (comme Facebook), qui n’utilisent pas ce type de format, pour des raisons évidentes d’exclusivité. Cette portabilité a donc un impact limité tant que davantage de formats ouverts ne seront pas proposés par ces entreprises.

Ce projet de réforme présente également une limite concernant les progrès numériques.

L’actualisation de cette législation communautaire ne prend pas pleinement en compte l’arrivée massive des objets connectés. Ces objets de la vie quotidienne connectés à Internet vont inévitablement rendre accessible de façon continue de nombreuses données personnelles émises par leur(s) possesseur(s). Bientôt montres, voitures et maisons produiront autant de données personnelles qu’un smartphone.

Cette notion « d’objets à caractère personnel », inexistante en droit communautaire, fera très bientôt partie intégrante du paysage juridique.

Dans les années à venir, sont attendus près de trente milliards d’objets connectés à l’Internet mondial. Ces derniers diffuseront notamment des données considérées comme sensibles telles que la santé, moyennant un consentement nécessaire à une pleine utilisation. Malgré une interdiction de principe du profilage à l’article 20, il reste à craindre que l’association de ces objets aux réseaux numériques ne tende à créer une surcouche digitale propre à chaque individu.

En définitive, ce projet de réforme reste tout de même une avancée juridique décisive dans la reprise du contrôle du citoyen sur ses données à caractère personnel. Leur protection reste cependant un problème éthique autant que technique. En effet, au respect de la vie privée s’ajoute un enjeu de sécurité informatique. Une course sans fin contre ces failles constitue un risque permanent de fraude potentielle.
Ces failles sont de nature diverse et la loi a toujours un retard. Le chiffrement des données transmises, par exemple par l’intermédiaire d’un réseau sans fil, reste un problème non résolu. Que ce soit le déchiffrement des données de navigation ou de l’interception des ondes transmises entre deux ordinateurs, les failles logicielles restent en pratique inévitables. Le récent piratage à l’encontre de la Société Sony Pictures, reste un exemple parmi d’autres de vols de données bancaires d’usagers d’un service en ligne. Il révèle aussi une grande incertitude dans le stockage de ces informations, très souvent lisibles trop facilement. En donnant plus de pouvoir aux citoyens et aux autorités compétentes, le Règlement impose en pratique une obligation de contrôle renforcée au responsable de traitement sous risque de lourdes sanctions.

Enfin, la protection de ses propres données personnelles passe par une vigilance constante sur les nouvelles pratiques du Web. L’économie de l’Internet repose sur les données personnelles, leur contrôle individuel représente un coût pour tous les acteurs du Web. Par ailleurs, il est nécessaire de prendre conscience des nombreux mouchards publicitaires qui tracent les internautes à travers le Web. Ainsi, chaque page visitée renvoie de nombreuses informations grâce aux nombreux widgets présents sur celle-ci (tel que le « j’aime » de Facebook).

Face à l’insuffisance de la loi, la prudence est donc de rigueur.

L’article 3 de la Déclaration commune des autorités européennes de protection des données réunies au sein du Groupe 29 publiée le 25 novembre dernier déclarait « La technologie est un moyen qui doit demeurer au service de l’homme », en référence au premier article de la loi française 78-17 du 7 janvier 1978 « L’informatique
doit demeurer au service du citoyen ». Si les termes ont changé, l’objectif est resté le même : faire du progrès technique une protection et non une source d’insécurité juridique.

Me Anne-Marie PECORARO
Avocat - Cabinet Akléa Turquoise