Règlement Vie Privée : petit point de parcours

Pour bien comprendre les enjeux de la réforme sur la protection des données à caractère personnel, il faut savoir qu’en arrière-plan se pose la question de la propriété de celles-ci.

D’un coté, les entreprises qui estiment que ces données leur appartiennent (car elles les ont généré à partir de relation clientèle, etc.), et de l’autre les particuliers qui pensent que ces données sont à eux (car relatives à leur personne).

Toute la problématique est donc de parvenir à un équilibre permettant aux entreprises de manier ces données, tout en assurant un respect de la vie privée des particuliers.

Actuellement, la loi Informatique et Libertés française, ainsi que la directive européenne 95/46CE, considèrent que les données sont la propriété de l’entreprise qui les détient. Tout le reste du texte contient des dispositions encadrant la façon dont les entreprises peuvent utiliser ces données.

Le projet de Règlement européen, déposé par la Commission en janvier 2012, reprend le même postulat, en étendant la protection offerte aux citoyens.

A titre personnel, je suis un peu déçu par cette proposition. Au niveau théorique, je suis un farouche défenseur de l’identité numérique, et donc je considère que les données me concernant sont mes données, pas celles d’une entreprise. Mais passons.

Donc la Commission a fait une proposition en 2012. Depuis, les eurodéputés font pleuvoir des amendements (2307 à l’heure où j’écris ces lignes). Certains ne sont là que pour avis (I), tandis que d’autres seront au centre des débats (II).

1. Les amendements pour avis
Quand un texte est étudié au Parlement Européen, une commission parlementaire est désignée comme principale. Pour ce projet, il s’agit de la commission LIBE (libertés civiles). Les avis des autres commissions ne sont là que pour avis, pour faire des propositions qui ne seront pas nécessairement retenues.

La commission parlementaire ITRE (industrie, recherche et énergie) est un exemple flagrant des positions divergentes que j’ai évoqué plus haut. Parmi les amendements déposés, certains sont (parfois trop) favorables au citoyen (ceux de Mmes Anderstotter et Ticau), d’autres envisagent une régression de la protection actuelle (qui ne vole déjà pas très haut), comme ceux de MM. Kelly Creutzmann et Mme Valean. Certaines positions sont plus mesurées, mais demeurent inacceptables car elles diminuent toujours de trop la protection des citoyens (MM. Chichester et Rohde). Enfin, certains amendements ne sont là que pour faire tourner le compteur des interventions en séance et propositions d’amendements (Mme Rachida Dati, par exemple).

Je termine cette revue des amendements ITRE par ceux de M. Rübig. Il propose d’étendre la protection des données à caractère personnel aux entreprises (!). Elles ne se contenteraient plus  d’avoir uniquement des obligations, mais seraient aussi protégées par cette législation. Une fois le choc initial passé, la proposition est théoriquement séduisante. Après tout, les entreprises ont une vie propre, et leur image est protégée par des dispositions comme le droit des marques, le droit de la concurrence, etc. Faire basculer la protection actuelle sous le régime de la protection des données à caractère personnel d’une entreprise est un mécanisme qui mérite réflexion (Attention, je ne dis pas que c’est une bonne idée. Je dis juste que c’est une idée qui mérite d’être creusée).

2. Le rapport de Jan Albrecht
Jan Albrecht, est un député Vert allemand. Il est le rapporteur principal de ce projet, pour la commission LIBE. Ses propositions d’amendements sont celles qui ont le plus de poids, et qui sont discutées en priorité.

(Je présente par avance mes excuses si le texte qui va suivre sonne comme un inventaire à la Prévert.)

Tout d’abord, les aspects négatifs.

Le projet introduit la possibilité qu’un même consentement puisse être donné pour plusieurs finalités, dérogeant au principe posé par la Commission d’ « un consentement = une finalité ». (Une finalité est le but poursuivi par le traitement, comme par exemple le remboursement des arrêts maladie pour la Sécurité Sociale). Le principe « un consentement = une finalité » n’est pas exempt de défauts quant à son application pratique, mais le système proposé par l’eurodéputé Albrecht présente un risque réel d’abus (une société estimant que le consentement donné une fois vaut pour tout et toujours).

A la liste des données considérées comme sensibles (vie sexuelle, opinion politique, religion, etc.), et donc d’utilisation très encadrée, il propose l’ajout du sexe. Au-delà des problématiques liées aux formules de politesse (Mme ? M. ? Autre ?), on retrouve un certain nombre de problèmes pratiques qu’il faudra adresser (bilans sociaux dans les entreprises pour refléter l’égalité hommes-femmes, maternité, etc.). Autant l’idée est séduisante sur le papier, autant son application pratique me paraît entrainer une régression sur plusieurs autres aspects.

Le Correspondant Informatique et Libertés (CIL, ou Data Protection Officier), fait aussi l’objet de retouches néfastes. Il devient obligatoire dès que 500 personnes sont traitées pendant l’année, ce qui oblige à en désigner un à la moindre campagne de mailing ! Plus gênant, la possibilité pour une entreprise de consulter son CIL (en lieu et place de la CNIL) lorsque le traitement envisagé présente un risque élevé pour la vie privée des citoyens. Je suis d’accord qu’il faille promouvoir le rôle de CIL, mais de là à prévoir une telle faille dans le mécanisme de protection….

Le rapport propose aussi d’informer les citoyens, dès le recueil des informations, sur les entreprises auxquelles les données vont être transmises. Ainsi, quand vous vous inscrirez sur le prochain réseau social à la mode, celui-ci devra, au moment de l’inscription, vous indiquer toutes les entreprises à qui il va vendre les informations qu’il aura récolté sur vous. Irréaliste à double titre ; d’un la liste des partenaires risque de faire trois kilomètres de long, et de deux, dans bien des cas il est impossible de savoir si les données seront un jour éventuellement transmises, et à qui (en dehors du monde numérique, peu d’entreprises récoltent des informations pour les revendre). Par contre, dans le cadre de l’exercice du droit d’accès, il est tout à fait légitime que l’entreprise en question sache à qui elle fournit/vend les données à caractère personnel de ses utilisateurs, et qu’elle transmette cette liste à qui en fait la demande.

Logiquement, passons aux points positifs de ce rapport.

Tout d’abord, l’un des points forts du texte, l’obligation de résumer la politique de protection de la vie privée par des icônes. Finis les textes juridico-charabiadesques, en quatre icônes on comprend la privacy policy de Facebook (oui, je suis d’un naturel optimiste).

La notion d’intérêt légitime est aussi sévèrement resserrée. Elle permettait à une entreprise de faire n’importe quoi dans votre dos avec vos données, du moment que cela servait au moins l’intérêt légitime d’un de ses clients. Ici, M. Albrecht précise beaucoup plus restrictivement ce que l’on peut inclure dans « intérêt légitime » (et du coup, c’est beaucoup moins intéressant pour les entreprises).

La notion de co-responsables de traitement est aussi mieux définie. Cet ovni correspond au cas où deux entreprises collaboreraient pour traiter des informations (ex: le cloud). Un citoyen pourrait attaquer en justice indifféremment l’un ou l’autre en cas de problème. Voilà de quoi donner des sueurs froides à tous ceux qui utilisent des infrastructures IT ne leur appartenant pas (et trop laxistes dans la rédaction des contrats).

La mise en oeuvre des études préalables d’impact du traitement sur la vie privée des citoyens est aussi étendue au secteur public. Vu que l’Administration traite des informations aussi sensibles que nos revenus, notre état de santé, etc., il n’y a pas de raison objective pour les dispenser d’une réflexion sur les conséquences de la violation de leurs SI.

Enfin, il faut aussi saluer la mise d’une vraie autorité de coordination à l’échelle européenne, chargée notamment de veiller à l’application (plus ou moins) uniforme des sanctions dans toute l’UE.

Publicités