PROTECTION DES DONNÉES: Champ de mines

Le 28 janvier, le monde fêtait la « journée de la protection des données personnelles » – dans un contexte particulièrement calamiteux : tandis que services secrets et géants informatiques se gavent de nos données, l’Union européenne est, une fois de plus, à la traîne.

Tant que la capote de protection des données n’a pas encore été inventée, nos informations resteront un risque…

Rarement une journée dédiée à une cause n’est tombée aussi mal que celle consacrée à la protection des données personnelles. Ainsi, les révélations d’Edward Snowden ont fait apparaître l’étendue réelle et inquiétante de l’espionnage politique et économique massif des Etats-Unis et de leurs alliés, les fameux « Five Eyes » (Etats-Unis, Grande Bretagne, Canada, Australie et Nouvelle-Zélande). De leur côté, les géants de l’informatique opèrent toujours dans un flou légal et peuvent potentiellement faire de nos données ce qu’ils veulent – par exemple les revendre à d’autres firmes ou les croiser pour établir des profils. Du coup, la confiance des citoyens dans la volonté des pouvoirs politiques de mieux protéger leurs données personnelles – obligation inscrite dans la Charte des droits fondamentaux de l’Union européenne – tend vers zéro.

Cela a plusieurs raisons : d’abord le développement des technologies mises en oeuvre, qui deviennent de plus en plus rapides et efficaces – entre-temps, même un réfrigérateur peut se connecter à la toile et récemment le premier hack d’un tel appareil électroménager a été révélé – ; ensuite, le manque de confiance envers des politiciens qui souvent sont à l’écoute des acteurs économiques plutôt que des citoyens. Surtout depuis qu’on sait que pour certains « Data is the New Oil », l’exploitation des données est devenue une source de richesse.

La Cour européenne pourrait refuser le « droit à l’oubli ».

Dans ce contexte, cela n’étonne personne qu’à la conférence de presse donnée par la commissaire européenne Viviane Reding lundi dernier, en amont de la journée de la protection des données personnelles, les journalistes s’intéressaient plus à son positionnement en vue des élections européennes qu’à son projet de règlement européen sur la protection des données. Et pourtant, un tel règlement serait un immense pas en avant vers un traitement plus adéquat des informations personnelles. C’est pourquoi Reding promet monts et merveilles : « A l’avenir on ne pourra plus collecter les données avec un aspirateur, mais on les recueillera avec des pincettes », affirmait-elle. «  Nous devons établir clairement que la protection des données est un droit, et non pas un luxe. »

Pour mettre en application ce règlement – qui, s’il était adopté, passerait immédiatement dans les lois nationales sans devoir être adopté comme une directive – Viviane Reding prévoit de renforcer les commissions nationales  : « La commission nationale de la protection des données (CNPD) aura enfin des dents, elle pourra contrôler et sanctionner – avec des peines pouvant aller jusqu’à deux pour cent du chiffre d’affaires d’une firme internationale. De plus, avec le règlement, elle n’appliquera plus une loi nationale, mais une loi européenne – ce qui lui conférera encore plus d’autorité. »

Pourtant, il faut apporter plusieurs bémols aux annonces de la commissaire européenne sortante – mis à part le fait que cette conférence faisait manifestement aussi partie de sa campagne électorale. D’ailleurs, un autre candidat conservateur potentiel, Frank Engel, lui a emboîté le pas en convoquant la presse à une manifestation similaire.

On sait ainsi que le projet d’un tel règlement est à la traîne depuis plusieurs années et que c’est un danger : « Le règlement perd en pertinence en fonction du retard qu’il prend », estime Stefan Braum, le doyen de la faculté de droit de l’Université du Luxembourg – qui était aussi l’invité d’une table ronde organisée par la CNPD lundi dernier. « De plus il risque de ne pas être aussi efficace que souhaité, vu les grandes différences entre certains pays européens en ce qui concerne la protection des données – pensez par exemple aussi à l’influence de l’Angleterre sur un tel règlement. » Si pour Braum, le règlement serait certes une grande opportunité pour enfin prendre le taureau par les cornes, et que pour lui l’Union européenne demeure la dernière forteresse de la protection des données, malgré des standards très bas, il reste sur ses gardes. Lors de son intervention à la table ronde de la CNPD, il a expliqué comment, à trois niveaux – Etat, Union européenne et monde globalisé – les intérêts des gouvernements et des géants de l’informatique entraient en collision avec les droits fondamentaux des citoyens.

Pour Google, le règlement européen est mort et enterré.

Et c’est justement un représentant de Google, plus précisément son conseiller en « Global Privacy » Peter Fleischer, qui a raillé le règlement européen dans un blog datant du 8 janvier. Pour Fleischer, le projet de règlement est mort et il espère que cette pause donnera aux législateurs le temps d’élaborer un règlement plus « équilibré » – donc en faveur de Google. Cet homme sait de quoi il parle : sa firme a plusieurs embrouilles avec la loi européenne. Et c’est surtout une de ces affaires qu’on a réentendu dans l’intervention de Viviane Reding, tout comme dans celle du président de la CNPD, Gérard Lommel : l’affaire « Google Spain SL / Google Inc. contre AEPD ». L’agence espagnole de la protection des données (AEPD) vient de traîner Google devant la justice européenne, après que la justice espagnole s’est déclarée incompétente en la matière, à savoir forcer le géant internet à garantir à ses utilisateurs un « droit à l’oubli ». En effet, plusieurs particuliers s’étaient plaints que le moteur de recherche recrachait toujours des articles de presse évoquant de vieilles affaires et qui pourraient leur nuire. Si la Cour condamnait Google à effacer ces mentions sur la demande de particuliers, une jurisprudence en découlerait qui ouvrirait le chemin à plus de sensibilité dans le traitement des données personnelles.

Juste que Reding et Lommel ont omis un petit détail, de taille pourtant : même si la Cour européenne du Kirchberg n’a pas encore tranché dans l’affaire, les conclusions de l’avocat général Nillo Jääskinnen existent bel et bien. Et voici ce qu’il a à dire : « Le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel (?), ne permettent pas à la personne concernée de s’adresser aux moteurs de recherche afin d’empêcher l’indexation des informations concernant la personne, publiées sur des sites web de tiers, en faisant valoir que ces informations ne soient pas connues des internautes, lorsqu’elle estime que lesdites informations sont susceptibles de lui porter préjudice ou qu’elle désire que celles-ci soient oubliées. » Donc : le « droit à l’oubli », qui est pourtant une partie intégrante du droit à disposer de ses données personnelles, est loin d’être dans le sac. En général, la cour suit les conclusions de l’avocat général, a observé Stefan Braum – qui ne voulait tout de même pas émettre de pronostic sur comment la celle-ci tranchera.

Un autre risque qui se profile à l’horizon est celui que la protection des données pourrait devenir un luxe que seuls certains pourraient se payer – avant tout les banques. C’est ce que craint par exemple l’association européenne de la défense des droits de l’homme (AEDH) dans son communiqué pour la journée de la protection des données personnelles. Mais c’est aussi une idée de business, avancée à tâtons lors de la table ronde de la CNPD par Michael Hofmann – un professionnel de l’informatique et « Risk Manager » chez KPMG. Par le biais d’une asbl – l’association pour la protection des données au Luxembourg (APDL) – il voit l’opportunité, au vu « de la longue histoire de la confidentialité au grand-duché » de se lancer dans la création de valeur par la certification. C’est-à-dire conseiller des clients et leur vendre des certificats pour leur assurer une bonne protection de leurs données.

Une telle évolution, l’APDL se voyant aussi comme une plateforme libre d’échanges sur la matière avant d’être un « service provider » commercial, serait pourtant très dangereuse. Elle pourrait renforcer la fracture numérique entre ceux qui peuvent se payer la protection de leurs données et ceux qui sont à la merci des services secrets et des grosses boîtes informatiques. Une sombre perspective qui ne s’efface pas en écoutant prêcher Viviane Reding.


Kriteschen an onofhängege Journalismus kascht Geld - och online. Ënnerstëtzt eis! Kritischer und unabhängiger Journalismus kostet Geld - auch online. Unterstützt uns! Le journalisme critique et indépendant coûte de l’argent - en ligne également. Soutenez-nous !
Tagged . Bookmark the permalink.

Comments are closed.