Le développement des réseaux partout dans le monde a permis la création de nouveaux objets et également l’amélioration de ceux préexistant. Désormais, il devient rare de ne pas détenir d’objets connectés ou simplement d’outils numériques, et ces derniers ont plusieurs impacts, tels que la collecte de données personnelles nous concernant. Deux systèmes géopolitiques s’opposent dans le monde en termes de protection de ces données, avec l’Union Européenne d’un côté et les Etats-Unis, Japon… de l’autre.
Une récente affaire du 6 février 2017 rend une décision relative au traitement de données personnelles collectées par la société produisant les téléviseurs Vizio.
Le cas de Vizio aux Etats-Unis
Dans cette affaire, deux agences ont en 2014 porté plainte contre la société Vizio qui grâce à la vente de télévision connectée, a collecté des informations sur les habitudes des téléspectateurs. Ainsi, onze millions d’américains ont été surveillé par leur télévision, qui prélevait sans leur consentement des informations destinées à être revendu à des fins marketings, permettant aux annonceurs de proposer de la publicité ciblé sur le téléviseur mais également sur le téléphone, l’ordinateur, la tablette… de l’utilisateur. En effet, les partenaires de la société avaient accès à toutes les informations affichées à l’écran, quel que soit la source (TV, DVD, Streaming…). Pour procédé à cette collecte, il suffisait d’activer la fonction « smart Interactivity » qui active par la même occasion les offres de programmes et des suggestions, en laissant l’utilisateur dans l’ignorance de cette fonctionnalité.
C’est la Commission fédérale du commerce (FTC) et la Division des affaires des consommateurs du New Jersey qui ont dénoncé la pratique de l’entreprise. Selon un rapport de la FTC, « Vizio a facilité l’ajout d’informations démographiques spécifiques aux données de visionnage comme le sexe, l’âge, les revenus, le statut marital, le niveau d’éducation ».
L’entreprise qui n’a pas nié les faits, a tout de même tenu à préciser que « La reconnaissance automatique de contenu n’a jamais associé de données de visionnages avec des identifiants personnels, comme un nom ou des coordonnées ».
La décision du 6 février 2017 condamne la société au paiement de 2,2 millions de dollars et l’oblige à modifier ses pratiques en recueillant le consentement des clients, à supprimer toutes les données collectées avant le 1er mars 2016 et à créer un programme de protection des données qui sera contrôlé tous les deux ans.
Maureen K. Ohlhausen, présidente de la FTC souligne le fait que « pour la première fois, la FTC déclare dans une plainte que l’activité individuelle télévisuelle est une information sensible ». Alors que jusqu’à présent, la qualification d’information sensible était réservée aux données financières ou médicales.
Ainsi le modèle utilisé par les Etats-Unis de l’autorégulation n’impose pas de règles en matière de protection de données personnelles, en cas de conflit il faut se rendre devant le juge.
En l’absence d’obligation légale, ce qui pousse véritablement les entreprises américaines à prendre des mesures de protection des données de ses clients c’est la réputation de la société, qui donne ou non confiance aux consommateurs.
Le choix de ce système par les Américains n’est pas celui de l’Union Européenne qui elle, prône l’intervention de l’Etat qui joue un rôle actif dans la protection des individus.
La législation Française
Au niveau Européen, c’est d’abord la directive de 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui met en place une protection mais notons que cette directive n’a été transposée en France qu’en 2004. Dès mai 2018, c’est le règlement européen du 27 avril 2016, qui prendra le relai de la directive de 1995 en apportant des précisions sur un certain nombre de thématiques.
En pratique, en France tout traitement de données personnelles est soumis à déclaration en ligne ou par courrier à la CNIL, qui selon la nature du fichier et la finalité des informations sera normal (pour les fichiers concernant la vie privée telle qu’un fichier client) ou simplifiée (pour les fichiers ne portant pas atteinte à la vie privée telle que les sites de vente en ligne).
En cas de défaut de déclaration la sanction encourue est de 5 ans d’emprisonnement et 300 000 € d’amende.
De plus l’exploitant de l’information doit respecter des obligations :
- recueillir le consentement
- informer des droits d’accès, de modification et de suppression des informations
- garantir la sécurité des systèmes d’information
- garantir la confidentialité des données
- indiquer une durée de conservation des données.
Au-delà des 0sanctions pénales, la CNIL peut en cas de manquement délivrer un avertissement, une amende, le verrouillage des données pendant 3 mois, une injonction d’arrêter le traitement des données ou un retrait de l’autorisation.
Ainsi, la protection des données personnelles en Europe et donc en France est renforcée, elle n’empêche pas forcément le traitement de données mais l’encadre fortement comme c’est le cas dans l’arrêt de la société Celtipharm de 2014.
Cet arrêt reconnaît comme valable l’autorisation par la CNIL du traitement de données à caractère personnel issu de feuilles de soins électroniques pour réaliser des études relatives à la consommation des produits de santé, dès lors qu’elles ont été anonymisé.
Le tiraillement entre compétitivité des entreprises et protection des données personnelles
Selon certains lobbies privés, la loi en matière de protection de données personnelles serait trop draconienne et risquerait de faire fuir les entreprises du territoire européen. En effet les données ont de la valeur, c’est d’ailleurs maintenant des biens qui peuvent faire l’objet de transaction. L’utilisation des données personnelles peut permettre le développement des entreprises et stimuler l’innovation.
Mais faut-il pour autant sacrifier la vie privée des citoyens ? Ce n’est pas le choix européen.
De plus, d’autres mesures paraissent plus pertinentes pour accroitre le secteur du numérique en France tel que faciliter l’accès au statut d’auto-entrepreneur et fournir des aides aux start-up.
SOURCE :
CORDON (E), « Vizio condamné à payer 2,2 millions de dollars pour ses TV connectées trop curieuses », article sur l’informaticien.com, 7 février 2017
PEPIN (G), « Etats-Unis : VIZIO paie 2,2 millions de dollars pour des TV très indiscrètes », article sur nextinpact.com, 7 février 2017
CHERON (A), « arrêt Celtipharm : sur le traitement des données personnelles, le secret médical et le respect à la vie privée », 12 juin 2014
« Loi sur les données personnelles : l’Europe nous protège-t-elle réellement ? », article de La Tribune, 17 février 2017
www.service-public-pro.fr « obligation en matière de protection des données personnelles »