[Mon mémoire en 3 pages] Vie privée et internet : quelle protection française et européenne des données personnelles ? – Benjamin Baratta

En novembre 2016 est sorti le film « Snowden » réalisé par Oliver Stone. Deux ans après la diffusion du film documentaire « Citizenfour » réalisé par Laura Poitras et trois ans après les faits, le film revient sur les révélations majeures relatives aux programmes de surveillance de masse (captation des données téléphoniques et internet) mis en place par les autorités américaines et britanniques. Ces révélations ont permis de confirmer l’existence d’une crainte soupçonnée mais mal connue : la surveillance des populations effectuée par les pouvoirs contemporains (public mais aussi privés) par le biais des nouvelles technologies.

Les enjeux du développement et de la popularisation d’internet dés le début des années 1990 sont considérables du point de vue des droits de l’Homme et notamment du respect du droit à la vie privée : aussi bien une entreprise (fins commerciales : analyse des comportements de consommateurs, publicité ciblée…) qu’un Etat (fins pénales : enregistrement des dates/temps de connexions, captations de données informatiques…) est aujourd’hui en mesure de violer l’intimité ou l’identité d’un citoyen.

Il découle en effet de la généralisation de l’accès à internet et de la banalisation de ses usages une quantité considérable de traces involontairement laissées (ou volontairement laissées mais sans conscience de leur inscription dans la durée) par les internautes. Ces données personnelles (1) (cookies, temps de connexion, géo-localisation, données sensibles…) forment une liste importante d’éléments permettant d’identifier directement ou indirectement les personnes et de les tracer. Néanmoins, face au développement plus général de l’informatique et des nouvelles technologies, la réaction juridique destinée à préserver les droits de l’individu a pris plusieurs formes mais s’inscrit dans une même logique : créer un régime permettant de protéger les individus tout en assurant un environnement juridique favorable au développement de l’économie de la donnée.

.

On peut alors se demander comment s’opère, à l’échelle nationale et européenne, la conciliation entre protection des données personnelles, préservation des intérêts économiques des données et enjeux sécuritaires. De plus, il conviendra de vérifier si, in fine, cette conciliation est synonyme d’équilibre.

.

Afin d’aborder le sujet, il est nécessaire d’étudier le régime national français avant de prendre davantage de recul et appréhender le contexte international. Si on peut noter l’existence en France de deux grandes initiatives législatives ayant pour but d’encadrer les atteintes portées au droit au respect de la vie privée en matière de données personnelles (I), il est certain que ce droit est en recul dans un contexte de conciliation entre sécurité voulue par les Etats ou profits recherchés par les entreprises et le respect des droits des personnes (II).

.

I – La protection des données personnelles en France : des garde-fous législatifs limités face aux intérêts des acteurs commerciaux et étatiques

En France, la protection interne des données personnelles est assurée à travers la loi. Dés 1978, le pays a adopté un régime basé sur la transparence. Ainsi, la loi du 6 janvier 1978 a consacré ce principe concernant la collecte, le stockage et l’utilisation des données informatiques englobant aussi la collecte de données sur internet. Elle définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles, renforce les droits des personnes sur leurs données et prévoit une simplification des formalités administratives déclaratives.

Cette loi se caractérise aussi par la mise en place d’un outil de protection du principe de transparence avec la création de la première (2) Autorité Administrative Indépendante (AAI) : la Commission Nationale Informatique et Libertés (CNIL). Cette dernière est instituée d’une double mission d’information et de contrôle en matière de fichiers. Ainsi, elle est compétente pour recevoir les déclarations, délivrer des autorisations nécessaires et enquêter. Elle peut également prononcer des sanctions à l’encontre de tout responsable d’un traitement automatisé de données à caractère personnel qui ne respecterait pas les obligations découlant de la loi (3). La loi de 1978 a donc créé pour la première fois en France un mécanisme visant à protéger les libertés face à la systématisation du traitement des données à caractère personnel et au développement de l’informatique.

Si cette loi à vocation à mettre en place une certaine protection des données personnelles, elle n’est pas sans faille.

.

Tout d’abord, un fichier est constitué de données collectées dans un but déterminé et légitime et toute utilisation ultérieure doit être conforme à la finalité qui a poussé à sa création. Néanmoins, le caractère légitime du but peut être entendu de manière très large. Ainsi la CNIL peut « apprécier au regard de l’objectif à valeur constitutionnelle visant à permettre à toute personne de disposer d’un logement décent » la légitimité d’un fichier soumis à son autorisation et visant à recenser les locataires qui paient régulièrement leur loyer (4).

Ensuite, la personne concernée doit avoir consenti au traitement de données à caractère personnel, sauf exceptions définies limitativement à l’article 7 qui peuvent tenir au fait que l’existence du fichier correspond au respect d’une obligation légale ou à l’exécution d’une mission de service public incombant à son responsable, ou au fait qu’il en va de la sauvegarde de la vie de la personnes concernée. Ces exceptions, bien qu’elles soient légalement prévues, sont assez larges et ne sont pas à l’abri d’une utilisation massive par certains acteurs : on peut par exemple penser à la loi n° 2015-912 du 24 juillet 2015 relative au renseignement qui échappe au contrôle de la CNIL (5).

Aussi, bien que différents droits soient reconnus aux individus par la loi, il existe aujourd’hui encore en 2017 des difficultés d’information de l’existence des recours et des procédures associées disponibles concernant les atteintes portées à la vie privée. Ainsi, la CNIL, dans son infographie relative à l’année 2015, n’a enregistré que environ 13 000 demande de citoyens (plaintes et demande de droit d’accès aux fichiers de police, renseignement…) avec seulement un taux de 36% pour les plaintes relatives au secteur de l’internet (6). Le manque de sensibilisation sur les droits et le nombre considérable de traces laissées sur internet reste encore un problème majeur. L’usage d’internet tel qu’il est popularisé et le comportement des internautes sont aussi responsables d’une baisse de la protection de la vie privée, dans un contexte où la frontière entre usages privés et usages publics des données tend à disparaître. La traçabilité des internautes réside d’abord dans le fait qu’ils sont toujours invités à indiquer leurs informations personnelles (âge, profession, sexe, préférences…) sans qu’il soit toujours clairement indiqué ou clairement compris par les internautes si et comment ces informations sont conservées, échangées et partagées par les sites qui les recueillent.

Enfin, il faut noter l’absence, au sein de cette loi et de ses diverses modifications, de protection particulière des individus contre la géolocalisation. Les enjeux en termes de préservations des droits individuels sont importants mais ni la loi de 2004 relative aux fichiers et aux libertés, ni celle de 2014 relative à la géolocalisation n’ont conféré de compétence particulière à la CNIL en matière de géolocalisation. Dès lors, la géolocalisation est seulement soumise à un régime de déclaration préalable, et la CNIL ne peut s’opposer à la réalisation du projet quoiqu’elle en pense sur le fond.

.

Dès lors, la CNIL a pour rôle d’opérer une concertation entre les enjeux techniques et les intérêts divergents des différents acteurs étatiques, commerciaux et individuels mais on peut s’interroger sur l’équilibre mis en place. Le respect du droit à la vie privée et des données personnelles se confrontent a d’importants obstacles, et les mesures prises dans le but d’une protection renforcée de la vie privée n’est pas sans compromis.

La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique est certes venue créer de nouveaux droits et apporter des renforcements encourageants : reconnaissance du droit à la mort numérique et du droit à l’oubli, augmentation du plafond maximal des sanctions de la CNIL de 150.000€ à 3 millions € (7), exercice des droits des individus via voie électronique, obligation d’information renforcée… Mais cette loi est critiquée sur de nombreux points par plusieurs auteurs (8) : reconnaissance de droits pour des catégories sectorielles d’individus (le droit à l’oubli est restreint aux mineurs, et droit à la mort numérique est, par définition, également restreint), conception économique de la donnée affirmée (droit à la portabilité à forte perspective commerciale)…

Si le juste équilibre est difficile à trouver, on peut s’interroger quant à la possibilité de créer un régime permettant de protéger les individus tout en assurant un environnement juridique favorable au développement de l’économie de la donnée. En effet, les acteurs européens et internationaux, à l’instar du législateur français, rencontrent eux aussi des difficultés pour tenter de parvenir à un équilibre et on constate aujourd’hui une conciliation de plus en plus éloignée du respect du droit à la vie privée.

.

II – La protection des données personnelles en France dans un contexte international : une conciliation de plus en plus éloignée du respect du droit à la vie privée

Deux raisons permettent d’expliquer cette tendance du recul de la vie privée. La première est liée aux choix des acteurs européens de mettre en place une conciliation favorisant la réalisation du marché intérieur.

Ainsi, la directive de 1995 (9) ou bien la directive e-privacy (10) situent leur base légale dans l’actuel article 114 du Traité de Fonctionnement de l’Union Européenne concernant le rapprochement des législations dans le but de la réalisation du marché intérieur. La libre circulation des fichiers et données est également un objectif clairement affiché par l’Organisation de Coopération et de Développement Économique (OCDE) (11).

Le RGPD (12), adopté le 27 avril 2016, bien qu’il apporte de nombreuses améliorations à la réglementation (compliance, harmonisation européenne, nouveau rôle de la CNIL axé sur les sanctions et la publication de lignes directrices…), s’inscrit lui aussi dans la même logique. Ainsi, s’il existe un « intérêt légitime » du responsable de traitement ou d’une tierce partie à traiter les données personnelles supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée, alors le consentement n’est pas nécessaire. Dés lors, rien n’empêche l’interprétation à son avantage de cet article par une entreprise qui pourra en faire une finalité à proprement parler (par exemple, si l’entreprise est en difficulté). De même, le nouveau droit à la portabilité des données est surtout destiné à permettre aux utilisateurs de récupérer leurs données et changer plus facilement de services pour mieux faire mieux jouer la concurrence : la logique économique de marché fondée sur le droit de la consommation et de la concurrence l’emporte sur la protection d’autres droits fondamentaux. Tout aussi regrettable : l’épineuse question du droit au déréférencement sur les moteurs de recherche n’a pas non plus été traitée par le règlement.

La révision de la directive ePrivacy permet de bien comprendre les rapports de force qui se jouent dans l’élaboration d’une réglementation autour du numérique, des enjeux business et de la vie privée. Elle fait depuis le lancement de la consultation publique en avril 2016 l’objet d’une intense campagne de lobbying par les industries des télécoms et par les GAFAM, acteurs directement concernés. Mais de nombreuses associations citoyennes (notamment La Quadrature du Net) se sont jointes afin de contrebalancer les arguments développés par GSMA (association qui représente 850 opérateurs de téléphonie mobile à travers 218 pays du monde), ETNO (European Public Telecommunication Network Operators’ Association) ou DigitalEurope (Associations européennes d’information, communications et technologie d’électronique grand public) qui demandent purement et simplement l’abrogation de la directive (13).

La seconde raison permettant d’expliquer la tendance au repli de la vie privée est directement liée au contexte politique et sociétal. La logique sécuritaire adoptée par les Etats face aux menaces du terrorisme d’un côté, le modèle américain de la vie privée, pays d’où proviennent les sociétés fournissant la quasi-totalité des services sur internet, de l’autre.

.

La loi Renseignement de 2015 (14) a été vivement critiquée lors de sa censure partielle par le Conseil Constitutionnel (15). Néanmoins, elle met actuellement en place des techniques de collecte de données très intrusives. Par exemple, il peut être imposé aux opérateurs et hébergeurs de la mise en œuvre sur leurs réseaux « de traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste ». Si les résultats offerts par ces algorithmes, appelés « boites-noires », doivent être anonymes, le Premier ministre peut lever ce secret si une menace terroriste est détectée. L’immixtion de l’État dans la sphère privée numérique est immense : il s’agit ici de collecter massivement des renseignements d’autant plus que la pression placée sur les intermédiaires techniques est grande : la loi dispose expressément que ces prestataires doivent répondre dans les meilleurs délais. À défaut de collaboration, deux ans d’emprisonnement et de 150 000 € d’amende sont encourus. Autre mesure de cette loi : la surveillance des communications internationales. Dès lors qu’une communication électronique est émise ou reçue à l’étranger, il est possible, pour la défense et la promotion des intérêts fondamentaux de la Nation, d’en surveiller le contenu (correspondances) ou le contenant (données de connexion).

Le contexte sociétal est aussi responsable d’une baisse de la protection de la vie privée sur internet. La protection des données personnelles obéit aux Etats-Unis à une logique totalement différente de celle actuellement en place en Europe et en France (protection générale contre protection sectorielle, protection unifiée contre protection fragmentée par un système fédéral, fondement sur un régime de protection à part entière contre fondement sur le concept de « Privacy »).

 

Les deux derniers accords internationaux conclus entre l’Union européenne et les États-Unis en matière de flux transfrontaliers de données personnelles témoignent bien des différences importantes qui existent en matière de protection de la vie privée. Le premier, le « Safe Harbor » adopté le 26 juillet 2000 par le Département du commerce du gouvernement américain et la Commission européenne, a été invalidé le 6 octobre 2015 par la CJUE (16). Les juges européens ont estimé qu’un système de contrôle par la Federal Trade Commission (FTC) reposant sur une auto-certification des entreprises était insuffisante au regard de la Charte des Droits Fondamentaux de l’UE : manque de transparence, insuffisance des dispositifs de détection des fraudes, insuffisance du contrôle… Le second, lui, a été accepté par la Commission européenne le 12 juillet 2016. Si on peut déceler certaines améliorations, le « Privacy Shield » reste n’échappe pas à toutes les critiques de son prédécesseur et pourrait également être invalidé par la Cour de justice (17).

En guise de conclusion, il est fondamental de retenir que les problématiques liées au respect de la vie privée sont intrinsèquement liées à celles de la centralisation : la situation monopolistique mise en place sur internet, la centralisation et la dépendance des citoyens vis-à-vis de quelques acteurs et les risques en matière de surveillance qui en découlent, l’imposition d’un modèle économique d’exploitation des données (services « gratuits » contre vente de données) bridant l’innovation… Au regard de ce qui a été développé précédemment, la possibilité de créer un régime permettant de protéger les individus tout en assurant un environnement juridique favorable au développement de l’économie de la donnée semble incertain. Néanmoins, il en faut pourtant peu pour favoriser son essor.

.

Le jour où la demande des internautes se concentrera sur des services plus respectueux de la vie privée (financés non pas par la revente de données mais par des fonds publics, des donations, de la publicité non ciblée, ou simplement par la mise en place d’un service payant), le modèle économique de la « gratuité » aujourd’hui en place s’éteindra et les fournisseurs de services devront s’adapter à cette nouvelle demande. Dés lors, des régimes nationaux et européens de protection des données personnelles gagneront en légitimité et en efficacité, et la surveillance des Etats sera davantage limitée. Le renversement de ce modèle économique ne sera pas pour autant responsable de la fin de l’exploitation des données, mais davantage d’une exploitation véritablement limitée (par un régime général et uniforme sur le territoire de l’UE), transparente (en consacrant un véritable consentement de l’internaute qui offre un véritable choix à consentir ou non à l’exploitation des données, ne conditionnant pas l’accès au service) et raisonnée (les données les plus sensibles relatives aux opinions politiques ou à l’orientation sexuelle étant exclues de tout traitement). Ce scénario, bien qu’il paraisse purement hypothétique, reste néanmoins possible à travers une sensibilisation des internautes, qui sont avant tout des citoyens capables de se mobiliser pour faire changer à la fois le droit et la pratique. Cette sensibilisation sera le fruit d’un travail sur plusieurs années : publications diverses et prise de conscience, développement de la fonction de CIL/DPO, généralisation de la blockchain… Il sera long et sans doute difficile, mais il est nécessaire. Et il est réalisable. L’auteur de ce mémoire y croit.

Benjamin Baratta

1ère année Master IP/IT


NOTES DE BAS DE PAGE

(1) Article 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés: « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne »

(2)http://www.ladocumentationfrancaise.fr/dossiers/autorites-administratives-independantes/index.shtml

(3) de l’avertissement jusqu’à l’interruption de la mise en œuvre du traitement, en passant par des sanctions pécuniaires

(4) Conseil d’Etat, 9 avril 2010 Société Infobail

(5) à ce sujet : https://www.nextinpact.com/news/93509-projet-loi-sur-renseignement-tous-points-noirs-denonces-par-cnil.htm ou https://cnnumerique.fr/wp-content/uploads/2015/03/2015-03-19_CP_Renseignement-2.pdf

(6) https://www.cnil.fr/fr/node/266/

(7) cela constitue une anticipation sur l’augmentation du plafond du montant des sanctions par le règlement européen qui sera applicable le 25 mai 2018 et prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial

(8) Dalloz IP/IT 2016 : 1) Ouverture des données : les trompe-l’oeil de la loi, par M. Cornu, p. 515 ; 2) La « loyauté » des « plateformes ». Quelles plateformes ? Quelle loyauté ?, par J. Rochfeld et C. Zolynski, p. 520 ; 3) Les nouveaux droits des individus consacrés par la loi pour une République numérique. Quelles innovations ? Quelle articulation avec le Règlement européen ?, par N. Martial-Braz, p. 525

(9) directive n°95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données

(10) directive n°2002/58/CE « vie privée et communications électroniques » du 12 juillet 2002

(11) lignes directrices adoptées le 23 octobre 1980 : « [les Etats doivent] s’efforcer de supprimer ou d’éviter de créer, au nom de la protection de la vie privée, des obstacles injustifiés aux flux transfrontières de données à caractère personnel »

(12) règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données

(13)https://www.laquadrature.net/fr/ePrivacy-decoder-les-contre-verites-des-lobbys#footnote1_xkyuzmp

(14) loi n° 2015-912 du 24 juillet 2015 relative au renseignement

(15) décision n° 2015-713 du 23 juillet 2015

(16) aff. C-362/14, Maximilian Schrems c/ Data Protection Commissioner

(17) à ce sujet : http://www.lemonde.fr/pixels/article/2016/07/13/a-peine-adopte-l-accord-privacy-shield-sur-les-donnees-personnelles-est-deja-menace_4969020_4408996.html

BIBLIOGRAPHIE COMPLETE DU MEMOIRE

En général sur le sujet (pour l’ensemble du développement) :

Lectures spécifiques sur la loi Informatique et Libertés de 1978 et la loi République Numérique de 2016

Lectures spécifiques sur le RGPD

Lectures spécifiques sur la directive ePrivacy et son projet de réforme

Lectures spécifiques sur les décisions de la CJUE en matière de protection des données personnelles

Lectures spécifiques sur la « loi Renseignements » de juillet 2015

Lectures spécifiques sur le Privacy Shield

 

MasterIPIT