Enews Legipresse

Recevez la newsletter et entrez dans le Club Légipresse
Valider
Valider l'adresse e-mail pour inscription à l'E-news

Le club Légipresse

Les 2 derniers inscrits
Pierre COLLINET

Global Director of Research & ...

Vidéos

02/09/2016
Fabrice Arfi, Médiapart

Forum 2015 - Informer n'est pas un délit

Toutes les vidéos
Accueil > La protection des données personnelles, élément clé à l'ère numérique -

Tribune


01/10/2014


La protection des données personnelles, élément clé à l'ère numérique



Édouard Geffray
Secrétaire général de la CNIL
Pas d'autre article de cet auteur pour le moment.
 

Le Conseil d'État a consacré son étude annuelle de 2014 au numérique et aux droits fondamentaux. Alors que les négociations sur le projet de règlement européen sur la protection des données personnelles, présenté par la Commission européenne le 25 janvier 2012, devraient aboutir en 2015, et qu'un projet de loi numérique est annoncé pour la même année, le rapport du Conseil d'État, rendu public le 9 septembre, constitue un jalon juridique précieux1.
Parmi la cinquantaine de propositions formulées par le Conseil d'État, plusieurs concernent directement la protection des données personnelles qui, rappelons-le, constitue un droit fondamental protégé par la Charte des droits fondamentaux de l'Union européenne (article 8, relevant du chapitre des Libertés). Nous ne nous attarderons ici que sur certaines d'entre elles, qui illustrent que, de manière générale, le rapport est fidèle à la tradition juridique et philosophique européenne en la matière, fortement promue par la CNIL, qui fait de l'individu le centre de gravité de l'ensemble du dispositif.
Le Conseil d'État apporte tout d'abord un éclairage juridique particulièrement bienvenu sur la question de la maîtrise par la personne de ses données personnelles. L'explosion du volume et des usages des données personnelles à l'ère numérique – ce que la présidente de la CNIL, Isabelle Falque-Pierrotin, a qualifié de « datification » du monde – conduit en effet à s'interroger sur la capacité de l'individu à “reprendre la main” sur ses données personnelles et leur devenir. Il en va non seulement de sa vie privée, mais plus généralement de la capacité de chacun à maîtriser son identité numérique. La loi Informatique et Libertés du 6 janvier 1978 comme la directive européenne de 1995 ne sont pas muettes sur cette capacité. Les droits d'accès, de rectification, de suppression et d'opposition – jusqu'au droit au déréférencement sur lequel nous reviendrons – constituent des droits qui, s'ils sont exercés, confèrent à l'individu des prérogatives importantes sur ces données.
Pourtant, les moyens mis à disposition de l'internaute pour assurer effectivement le contrôle de ses données – et plus généralement pour avoir ne serait-ce qu'une idée de ce qu'elles deviennent – sont régulièrement regardés comme insuffisants. L'exemple des mentions figurant dans les conditions générales de vente, fortement repris par le Conseil d'État, en est le plus frappant. Face à cette évolution, il a donc été envisagé de conférer à l'individu la propriété de ses données, afin de lui permettre, à l'instar des droits d'auteur, de valoriser ce capital informationnel et de mieux maîtriser l'offre de services qui en est issue. Le Conseil d'État a cependant écarté une telle option, compte tenu notamment du caractère asymétrique de la relation entre l'individu et les grands acteurs du traitement des données, mais aussi du caractère juridiquement très fort du droit de propriété dans notre ordre juridique, qui aurait conduit en fait à regarder de nombreuses règles de protection des données personnelles comme des atteintes à un tel droit.
C'est donc vers un « droit à l'autodétermination informationnelle » (proposition n° 1 du rapport) que s'est tournée l'institution, s'inspirant en cela de l'exemple allemand. Sans constituer un régime nouveau, il s'agirait en fait d'un principe “chapeau” pour l'ensemble de l'édifice juridique de la protection des données, impliquant par la suite de développer à la fois des outils adaptés à l'exercice de ses droits par la personne et à une nouvelle régulation dans laquelle la CNIL est engagée. Ce faisant, le Conseil d'État converge avec l'idée, constamment promue par la CNIL, que, dès lors que le droit à la protection des données constitue un droit fondamental, les droits subséquents (accès, rectification, etc.) sont attachés, non au détenteur de la donnée, mais, de manière permanente, à la personne concernée indépendamment de toute notion de propriété.
Cette convergence s'inscrit également dans le prolongement des arrêts récents de la Cour de justice de l'Union européenne, notamment son arrêt du 13 mai 2014, Google Spain, sur le droit au déréférencement. Par cet arrêt, la Cour, après avoir relevé qu'un moteur de recherche constitue un traitement de données à caractère personnel (en ce qu'il permet d'associer au nom d'une personne une liste de résultats), a jugé que les exploitants de ces moteurs étaient soumis au droit européen dès lors qu'ils disposaient d'au moins un établissement en Europe participant au traitement, en l'espèce par la promotion et la vente d'espaces publicitaires adaptés. Elle en a déduit que, comme à l'égard de n'importe quel autre traitement, la personne concernée disposait d'un droit d'opposition et d'effacement à l'égard des données traitées par le moteur de recherche, c'est-à-dire d'un droit au déréférencement.
Cet arrêt a fait couler beaucoup d'encre, et a parfois pu donner lieu à quelques inexactitudes sur sa portée exacte. Deux précisions s'imposent ici. En premier lieu, le droit au déréférence-

ment ne constitue pas, en effet, le droit d'obtenir d'un moteur de recherche qu'il cesse définitivement de référencer un site ou une page web, mais uniquement un droit à la décorrélation entre une recherche à partir d'un nom et d'un prénom, par exemple, et une partie des résultats correspondants. En d'autres termes, la page web continuera à exister et à être indexée à partir d'une recherche effectuée sur d'autres mots que les noms et/ou prénoms de la personne qui aura demandé et obtenu son déréférencement.
En second lieu, le droit au déréférencement ne constitue ni un droit absolu, ni un droit automatique. La CJUE invite en effet le responsable de traitement – en l'occurrence, l'exploitant du moteur de recherche – à procéder à une analyse au cas par cas, afin d'apprécier si les données sont effectivement pertinentes, adéquates, non périmées. Il doit, dans cet examen, tenir compte, d'une part, du droit de la personne à obtenir ce déréférencement et, d'autre part, des éléments qui pourraient contrarier l'exercice de ce droit, notamment le droit à l'information du public, par exemple lorsque la personne en cause est une « personnalité publique ». L'action du moteur de recherche est, en tout état de cause, soumise au double contrôle des “CNIL” ou du juge, auxquels l'internaute qui s'est vu opposer un refus peut s'adresser.
Si la portée de cet arrêt est importante, elle ne doit donc pas non plus être surestimée : ce que la Cour a jugé, c'est bien que les droits des personnes en matière de protection des données s'appliquent aux moteurs de recherche, de la même façon et dans les mêmes termes qu'à n'importe quel autre responsable de traitement de données à caractère personnel. Il est certain que l'ampleur de ces traitements et leur facilité d'accès quasi universelle constituent une caractéristique propre. Mais, d'un strict point de vue juridique, le cadre désormais applicable aux moteurs de recherche n'est pas inédit. Et si la balance entre le droit à l'information – qui découle de la liberté d'expression – et le droit au déréférencement constitue un point de vigilance auquel les “CNIL” seront particulièrement attentives, cet équilibre doit être apprécié à l'aune de la portée effective de cette règle, à savoir la décorrélation entre un nom et un résultat qui lui est associé.
Dans cette perspective, le rapport du Conseil d'État appuie la démarche entreprise par les CNIL européennes et s'interroge sur les modalités pratiques de mise en cohérence des décisions prises par les différents moteurs de recherche. Sur le premier point, il appuie les travaux du G29 (le groupe des autorités de protection des données européennes, dont la CNIL assure la présidence depuis février 2014) visant à « expliciter par des lignes directrices la doctrine de mise en oeuvre de (l'arrêt) Google Spain » (proposition n° 5). Ces travaux ont d'ores et déjà commencé, puisque les CNIL européennes devraient, d'ici la fin de l'automne, définir ensemble ces premières lignes directrices à partir notamment des plaintes dont elles sont d'ores et déjà saisies. Sur le second point, le Conseil d'État a examiné la possibilité juridique permettant d'appliquer une décision unique de déréférencement à l'ensemble des moteurs de recherche soit « par accords de reconnaissance mutuelle des décisions de déréférencement prises par les exploitants de moteurs de recherche », soit encore « par un dispositif légal d'extension à tous les exploitants d'une décision prise par l'un d'entre eux, sous réserve de son homologation par un juge ». Cette faculté impliquerait de modifier la loi, c'est-àdire qu'elle devrait, pour être réalisée, s'inscrire dans le projet de règlement en cours de négociation au niveau européen.
En tout état de cause, on relèvera que le “droit à l'oubli” n'est, pas plus dans l'arrêt de la CJUE que dans le projet de règlement européen en cours de discussion, un droit absolu et inconditionnel.
Ouvert dans des conditions précises, pondéré par d'autres éléments ou droits fondamentaux, de portée variable selon le traitement en cause, il constitue un droit clé à l'ère numérique, mais un droit qui s'exerce et s'apprécie au cas par cas. C'est d'ailleurs ce qui fait sa force et sa légitimité : parce qu'il est ciblé, encadré, mais aussi garanti – d'insuffisances comme d'abus – par l'action des CNIL, il participe de cette maîtrise de ses données, de ce “moi numérique”, dont l'individu doit être doté.
Cette même volonté de placer l'individu au coeur du dispositif se retrouve enfin dans la proposition du Conseil d'État relative à la mise en place d'une action collective en matière de protection des données personnelles. La proposition n° 8 consiste ainsi à « créer une action collective, distincte de l'action de groupe, destinée à faire cesser les violations de la législation sur les données personnelles. Cette action serait exercée devant le tribunal de grande instance par les associations agréées de protection de consommateurs ou de défense de la vie privée et des données personnelles ».
Là encore, le point de départ réside dans la relation asymétrique entre un individu isolé dont les données, à elles seules, ont une faible valeur commerciale, et les acteurs géants de la collecte, dont les traitements de masse constituent un formidable capital informationnel. L'action collective permet ainsi de corriger cette asymétrie en agrégeant une somme de litiges individuels qui, ensemble, permettent de porter un litige de fond plus général devant le juge.
Si le rapport du Conseil d'État comporte ainsi plusieurs propositions fortes en matière de protection des droits fondamentaux des personnes, il ne saurait cependant être limité à ce seul aspect – au demeurant fondamental. Ce rapport met en effet en exergue la nécessité de permettre le développement des traitements de données, pourvu que ceux-ci s'inscrivent dans un cadre juridique et éthique adapté. Sur ce point encore, la proposition du Conseil d'État rejoint celle de la CNIL. La protection des données n'est pas un frein à l'innovation : elle constitue la condition du développement de l'économie numérique, parce qu'elle conditionne la confiance du citoyen/consommateur dans cette économie. Donner à l'individu les moyens de mieux maîtriser ses données, de savoir ce qu'elles deviennent ; lui garantir le respect d'un standard de protection élevé ; mettre en place des traitements de données personnelles intégrant, dès leur conception, la protection de la vie privée (ce qui est parfois dénommé en anglais le « privacy by design ») : autant d'exigences qui sont, à l'ère numérique, essentielles au succès.
La protection des données constitue, pour le citoyen, un marqueur des États de droit contemporains ; et pour le consommateur, un gage de confiance dans les services qui lui sont proposés. Concilier ces dimensions suppose de définir, comme y contribue la CNIL par des concertations régulières avec l'ensemble des acteurs concernés et comme l'y invite le Conseil d'État, un « cadre éthique du numérique ».
1er octobre 2014 - Légipresse N°320
2108 mots
> Commenter
Ajouter un commentaire
Titre du commentaire :
Message :
Envoyer