En ce 8 décembre 2014, s’est tenu la première rencontre du forum européen dans la gouvernance des données, The European Data Governance Forum. Cette rencontre était organisée par le Groupe de l’article 29 (G29), groupe des autorités de protection des données européennes à l’UNESCO, autrement dit, le groupe des CNIL européennes. Ce forum eu pour ambition d’exposer les nouveaux enjeux créés par l’expansion du phénomène de collecte des données.

Les différents intervenants se sont notamment penchés sur la question de la collecte des données à caractère personnel. Celles-ci sont protégées par l’article 8 de la Charte des droits fondamentaux de l’Union Européenne, mais nous verrons que ce droit fondamental n’est pas toujours respecté. La rencontre s’est achevée par la présentation d’une Déclaration adoptée le 25 novembre 2014 en assemblée plénière par le G29, intimant l’adoption d’un cadre juridique européen, relatif à la protection des données, au cours de l’année 2015.

En effet dans son discours d’introduction, la Présidente de la CNIL et du G29, madame Isabelle Falque-Pierrotin, a souligné l’extrême lenteur de l’adoption du Projet de règlement européen sur les données personnelles, en négociation depuis janvier 2012 : « Il y a urgence de nous doter enfin de cet instrument juridique unique pour toute l’Union ». Afin d’être respecté en toutes circonstances, le dit règlement devra être construit de manière à ce qu’aucune atténuation, ni aucun contournement par d’autres lois territoriales ne puisse lui être porté lors d’échanges avec le reste du monde.

La collecte des données, clef de voûte de notre société numérique

Nous vivons dans une société du « tout numérique ». Le commerce, l’éducation, les services, et même notre vie sociale est aujourd’hui transposée dans un monde connecté. Toutes ces activités numériques produisent des données. De plus, les capacités de stockage et de traitement de ces dernières n’ont jamais été aussi élevées qu’aujourd’hui. Les données produites sont alors collectées, analysées, et enfin valorisées par des entreprises (ou des organismes) qui en tirent de précieuses informations concernant leurs clients ou acheteurs potentiels.

À l’occasion de ce forum, Isabelle Falque-Pierrotin a rappelé à quel point ces données étaient importantes pour le développement économique de nouveaux services, car en effet les « services innovants (…) ont besoin de données personnelles ». Les représentants du G29 ont donc assuré ne pas vouloir entraver la collecte des données afin de protéger les innovations. Pourtant, cette collecte de données à également ses zones d’ombres. C’est en ce sens que la Présidente du G29 a appelé les autorités européennes à respecter un équilibre entre la liberté d’expression, les impératifs de sécurité public, et les besoins de l’innovation.

Big Data is watching you …

L’un des principaux problèmes soulevé par l’European Data Governance Forum est celui de l’exposition de la vie privée des utilisateurs, causée par la collecte des données à caractère personnel. Celle-ci a été nettement favorisée par l’émergence des réseaux sociaux. En effet lors du forum donné à l’UNESCO, le Premier ministre Manuel Valls a mentionné qu’« à travers le monde, 1,3 milliards d’internautes participent aux réseaux sociaux » et que ce chiffre était voué à croitre d’années en années. Preuve que les données personnelles collectées via les réseaux sociaux sont aujourd’hui une préoccupation de premier ordre. D’autant plus que la plupart des utilisateurs ne sont pas toujours bien au courant des informations qu’ils donnent aux opérateurs sur eux. En réalité, la contrepartie de l’utilisation gratuite d’un réseau social est la collecte de données sur l’internaute à des fins commerciales. Cette collecte permet entre autre de transmettre ces données à des tiers partenaires, ou bien de mettre en place de la publicité ciblée lors de la navigation de la personne. Les CNIL européennes avaient déjà enjoint aux réseaux sociaux de protéger avec plus de vigueur la vie privée de leurs internautes dans le passé, notamment par un avis du 12 juin 2009 sur les réseaux sociaux en ligne.

Au delà des réseaux sociaux, les différents intervenants se sont également penchés sur le Cloud, et son impact sur toutes les sortes de données, aussi bien à caractère personnel que professionnel. Selon Thierry Breton, ex ministre de l’économie, des finances et de l’industrie, et actuellement PDG d’Atos (l’une des dix plus grandes entreprises de services du numérique au niveau mondial), « Les entreprises et les individus ont peur d’utiliser les services du Cloud […] parce qu’ils ne savent pas où sont leurs données, qui pourra avoir accès à leur données, et si ces données sont bien protégées. Bien entendu, lorsque vos données sont dans un nuage, on ne sait pas exactement qui pourrait avoir accès à ce nuage… ». Il y a donc une grande obscurité sur ce point que de futures réglementations gagneraient à éclaircir. Pour Thierry Breton, ces dernières doivent être adoptées au niveau européen si l’on souhaite optimiser les avantages du Cloud, et ne pas se contenter d’être mise en place au seul échelon national. Enfin, la solution face aux difficultés évoquées reste pour lui la suivante : « Les données européennes devraient être stockées en Europe ». Une position dont Thierry Breton nie tout aspect protectionniste, mais qui semble bien difficile à mettre en œuvre, car de nombreuses entreprises susceptibles de collecter des données sont implantées en dehors de l’Europe.

Responsabiliser tous les acteurs

Lors de l’European Data Governance Forum, une autre question était sous-jacente aux différentes interventions : Qui est responsable ? La réponse pourrait être : tout le monde. Car en effet, il n’existe pas un acteur isolé responsable des préoccupations causées par la collecte des données, mais bien une multitude d’acteurs, qui se doivent tous de respecter les règles éthiques et juridiques qui ont été données, ou qui adviendront à ce sujet.

L’internaute est le premier acteur devant se responsabiliser face au danger que représente la divulgation de ses données personnelles. Si nous faisions un sondage, la plupart des gens diraient qu’ils savent qu’ils ne doivent pas étaler leur vie privée, ou des informations personnelles sur le net. Or, la plupart d’entre eux sont inscrits sur des réseaux sociaux, ou utilisent des objets connectés, qui rythment et analysent leur quotidien, et renseignent sans difficulté des informations les concernant à tout cet univers numérique et ses entités. Pour la Présidente du G29, il est extrêmement important que la réflexion aille plus loin dans l’esprit des citoyens européens qu’une simple recommandation, car il existe une « véritable responsabilité individuelle ». Il est fondamental que les internautes prennent conscience du fait que « le numérique est construit autour des utilisateurs et de leurs usages ». Les internautes ne sont autre que la source de ces données numériques, ce qui suppose une implication de leur part. Mais pour cela, le droit doit être concret pour donner à chaque citoyen les moyens de maîtriser effectivement ses données personnelles, d’où la nécessité du projet de règlement européen.

Les entreprises sont les second acteurs à devoir amorcer (si ce n’est accentuer) une politique commerciale respectueuse des droits des personnes, et engagée dans la protection des données, notamment personnelles. Le projet de règlement européen s’appliquera à tous responsable du traitement de données, et à leurs sous-traitants qui fournissent les moyens de traiter des données à caractère personnel. Les différentes sociétés collectant des données devront veiller à ce que chacun de leur traitement soit conforme au futur règlement, et devront être en mesure d’en apporter la preuve. La transparence devra donc être de rigueur, tant auprès des internautes que des autorités de contrôle indépendantes. En effet, « dans l’univers numérique, la clef de la confiance est la protection des données ». De plus, les différents intervenants ont encouragé les sociétés à faire de la protection des données un argument clef de compétitivité auprès de leur clientèle.

Enfin les intervenants du forum n’ont pas manqué de parler d’une certaine responsabilité des services de renseignement et de surveillance. En effet, depuis le scandale des révélations d’Edward Snowden sur les écoutes de divers pays et gouvernements par la NSA (La Nationale Security Agency), l’European Data Governance Forum était l’occasion pour les autorités européennes de protection des données, et les différents acteurs de cette rencontre de réaffirmer leur opposition à une société contrôlée par la surveillance généralisée : « la surveillance secrète, massive et indiscriminée est inacceptable sur le plan éthique ». On parle à l’heure actuelle d’une véritable « crise de confiance » vis à vis des gouvernements et services secret que l’Europe souhaite à tout prix résorber.

La déclaration du G29 sur le cadre éthique européen à adopter face au monde numérique

Afin de mieux exposer les différents objectifs de l’Europe face à la protection des données, le Groupe de l’article 29 a présenté, lors du forum, une déclaration qu’il avait adopté lors de sa séance plénière du 25 novembre 2014. Cette dernière se décompose en quatre sous-groupes et seize articles, réaffirmant le caractère fondamental des données personnelles, bannissant la surveillance disproportionnée, et intimant l’adoption d’un cadre juridique européen relatif à la protection des données au cours de l’année 2015. Cette déclaration du G29 exprime très nettement l’équilibre à respecter entre les différents droits fondamentaux et les différents intérêts en jeu.

Le but n’est pas de bloquer l’innovation des entreprises ou encore les impératifs d’ordre public comme la surveillance pour la sécurité, mais simplement de poser un cadre à l’intérieur duquel l’utilisation des données puisse être respectueuse des droits des personnes. Ainsi, pour combattre les violations généralisées des données personnelles, la déclaration propose l’initiation d’actions judiciaires collectives, et soumet les activités de surveillance à des contrôles indépendants et effectifs.

En conclusion, les différents intervenants de l’European Data Governance Forum et la déclaration du G29 ont appelé à l’adoption imminente du projet de règlement européen, afin de pallier à l’actuel vide juridique en matière de protection des données.

SOURCES :

G29., « Déclaration commune des autorités européennes de protection des données réunies au sein du groupe de l’article 29 », europeandatagovernanceforum.com, consulté le 15 décembre 2014, <http://europeandatagovernance-forum.com/pro/fiche/quest.jsp;jsessionid=nonVnfP2fHghSiFR!hVmTsNk.gl1?pg=1000768146>

CNIL., « [REDIFFUSION] European Data Governance Forum 2014 », youtube.fr, mis en ligne le 11 décembre 2014, consulté le 15 décembre 2014, <https://www.youtube.com/watch?v=9DmkpxYrg6s>

CNIL., « Cahiers IP – Vie privée à l’horizon 2020 – Paroles d’experts », cnil.fr, consulté le 20 novembre 2014, <http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL-CAHIERS_IPn1.pdf>

CNIL., « Des réseaux sociaux plus protecteurs de la vie privée … », cnil.fr, mis en ligne le 10 septembre 2012, consulté le 20 décembre 2014, <http://www.cnil.fr/linstitution/actualite/article/article/des-reseaux-sociaux-plus-protecteurs-de-la-vie-privee/>

PARLEMENT EUROPÉEN, « Protection des données à caractère personnel: traitement et libre circulation des données (règlement général sur la protection des données) », europarl.europa.eu, mis en ligne le 25 janvier 2012, consulté le 23 décembre 2014, <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//FR>