Encadrer les usages de nos données
À Bruxelles, un projet de règlement européen sur les données personnelles est, depuis trois ans, l’objet d’âpres négociations.
dans l’hebdo N° 1345 Acheter ce numéro
C’est l’envers du décor. Nous n’avons jamais été aussi connectés, nous n’avons jamais eu autant de possibilités de nous informer, d’échanger, de partager tout autour du monde. Mais, en contrepartie, nous n’avons jamais autant renseigné sur nous-mêmes, volontairement ou « à l’insu de notre plein gré ». Un foisonnement dont on doit contrôler les usages, selon Adrienne Charmet, de la Quadrature du Net : « On a vraiment besoin d’un encadrement fort sur les données personnelles. Cette problématique n’est peut-être pas neuve [voir encadré], mais la collecte est beaucoup plus massive que ce qui pouvait se faire auparavant. » Le contexte a changé, les lois doivent être adaptées.
C’est tout l’enjeu d’un règlement européen, en cours de discussion depuis 2012, qui devrait voir le jour d’ici à la fin de l’année. « Il s’agit d’adapter le corpus des droits des personnes à l’ère numérique, explique Édouard Geffray, secrétaire général de la Commission nationale informatique et libertés (Cnil). Aujourd’hui on a déjà un corpus de lois nationales. Le règlement doit à la fois préciser les modalités d’exercice de ces droits dans le contexte actuel, et l’uniformiser à l’ensemble de l’Union. » Entre autres notions, celle de « consentement sans ambiguïté et non équivoque » a notamment agité les lobbies des grandes entreprises du numérique. Ce principe est fondamental, explique Christiane Féral-Schuhl, avocate spécialisée en droit de l’informatique et coprésidente de la commission parlementaire sur les libertés à l’ère numérique [^2]. « Ce qui prévalait jusqu’à présent, c’est le consentement implicite. L’internaute ne prenant pas la peine de décocher certaines options dans les conditions générales d’utilisation des services en ligne donnait indirectement son accord à de multiples traitements de ses informations. » Le but est donc de renverser la balance, en obligeant les entreprises à recevoir le consentement actif de l’internaute, avant tout usage de ses données.
Une avancée qu’il faut encore pouvoir faire respecter. « La question fondamentale, c’est comment avoir un contrôle territorialisé d’un phénomène – les données – qui est par construction “aterritorial” », souligne Édouard Geffray. Des données d’un utilisateur français peuvent se retrouver sur des serveurs aux quatre coins du monde et être traitées par des entreprises bien loin du sol européen. « L’enjeu du règlement, c’est de lever toute ambiguïté en affirmant que dès qu’un citoyen européen est visé, notre droit s’applique, que l’entreprise soit, ou non, à l’étranger », explique-t-il. Les géants du numérique s’y soumettront-ils ? Le secrétaire général de la Cnil est confiant : « Pour les entreprises, garantir le respect des standards européens revient à s’assurer de la confiance des utilisateurs, c’est donc un enjeu de compétitivité. » Mais puisqu’il faut des garde-fous, le règlement propose de pénaliser d’une amende les entreprises réfractaires, à hauteur de 5 % de leur chiffre d’affaires mondial. Aujourd’hui, une amende de la Cnil française ne peut pas dépasser 150 000 euros, et 300 000 euros en cas de récidive. Une goutte d’eau dans les finances de ces géants. « Il y a beaucoup d’avancées dans ce règlement, reconnaît Adrienne Charmet, mais les députés n’ont pas corrigé la notion “d’intérêt légitime”, qui pourrait les remettre en question. » Selon la version du règlement européen actuellement discutée, « l’intérêt légitime » d’une entreprise pourrait lui permettre de se passer du consentement de l’internaute. Une notion assez vague pour faire s’écrouler d’un souffle le château de cartes des autres dispositions, à en croire la militante de la Quadrature du Net. Alors certes, cette notion, qui existe déjà dans le droit actuel, « ne peut aller à l’encontre des personnes », comme le rappelle Édouard Geffray. Mais le secrétaire général de la Cnil le reconnaît : « Cette disposition toujours en débat fait partie de nos points de vigilance. Car tout dépend des conditions dans lesquelles cet “intérêt légitime” peut être utilisé. »
Reste une faille de taille. S’il s’intéresse à la collecte des données, le texte européen ne se penche que partiellement sur leur interception par les services de renseignement. Le règlement prévoit que si une administration publique extérieure à l’Union européenne (UE), comme la NSA, réclame des données d’utilisateurs européens à une entreprise, cette dernière devra au préalable obtenir l’accord des autorités du pays du citoyen concerné. En revanche, il ne se prononce pas sur l’interception de nos données par des services de renseignement au sein de l’Union, par exemple, français. « Les questions de sécurité publique n’entrent pas dans le champ du règlement, explique Édouard Geffray, elles sont du ressort des États. » Or, nos données n’ont jamais autant intéressé nos services de police et de renseignement, lesquels multiplient les demandes auprès des entreprises pour y accéder. « Dans un contexte de lutte contre le terrorisme, l’État français a, depuis plusieurs années, multiplié les possibilités d’accès à ces renseignements, explique Adrienne Charmet. La loi de programmation militaire [qui étend les moyens d’accès des services de renseignement à nos données de connexion, NDLR] en est le dernier exemple en date. » Une intrusion dans nos vies privées, encadrée, elle, de façon toujours plus large par nos lois.
[^2]: À l’Assemblée nationale, cette commission « de réflexion et de propositions sur le droit et les libertés à l’âge numérique » rassemble à la fois des parlementaires et des acteurs de la société civile.
