Sur la législation des réseaux sociaux en Europe

Article  par  Jean PERRET  •  Publié le 08.10.2010  •  Mis à jour le 04.05.2011
Les réseaux sociaux ne sont pas sans poser quelques casse-tête législatifs. Notamment ce qui concerne la protection de la vie privée. Comment s'adapter au mieux à un domaine aux contours de plus en plus malléables dans un contexte mondialisé ?

Sommaire

Introduction

Le 23 juin 2010, un rapport sur l'utilisation des nouveaux réseaux sociaux dans la communication européenne a été adopté en commission parlementaire de la Culture et de l'Éducation. Il s’agissait de répondre au mieux à la question : comment les gouvernements, les partis et les politiciens peuvent-ils toucher les citoyens pour leur expliquer le fonctionnement de l’Union européenne (UE) ? Les députés remarquaient à cette occasion « que les médias sociaux représentent un potentiel immense pour atteindre les jeunes et encouragent la Commission et le Parlement à renforcer leurs activités dans ce domaine ».

Cet exemple symptomatique, et pas si anecdotique, est révélateur de l’importance qu’accorde le Parlement européen aux réseaux sociaux. Même si cet exemple n’est pas directement lié à une régulation européenne des réseaux sociaux, il montre bien la façon dont les instances européennes abordent le sujet : ils en reconnaissent l’efficacité, l’incroyable diffusion, le pouvoir de communication mais dans le même temps en soulignent les dangers.
Ces derniers sont nombreux, mais bien des comportements que l’on suppose à tort propres aux réseaux sociaux sont simplement des traductions « connectées » d’actes illégaux dans le monde « non connecté ». Or il faut bien garder à l’esprit que les lois existantes s’appliquent aussi bien aux comportements « connectés » que « déconnectés ».

Le réseau social provoque un sentiment de relative impunité conféré par l’usage du pseudonyme ou bien simplement parce qu’utiliser un medium virtuel dans le cadre de relations sociales donne à penser que l’on se soustrait aux lois du monde réel. Dans le monde des réseaux sociaux, tout va plus vite, tout parait simple puisque tout est dématérialisé. Et pourtant les drames sont parfois bien réels.
Dans ce type de cas les lois répressives appliquées « au monde réel » existent. Mais l’UE constate que de la prévention est nécessaire, notamment en ce qui concerne les abus relatifs aux mineurs.

L’approche du Parlement européen et de la Commission pour traiter cette spécificité des réseaux sociaux a pour l’instant été de privilégier :
  • la sensibilisation par des campagnes de publicité ciblées sur les mineurs
  • l’autorégulation de la part des réseaux sociaux dans le cadre du programme « vers un Internet plus sûr (safer Internet program). Il s’agit donc de promouvoir une action volontaire (en tout cas non coercitive légalement) des entreprises du secteur. En février 2010, la Commission a publié un rapport sur l’implémentation des règles de sécurisation des données personnelles par 20 réseaux sociaux majeurs. Chacune des entreprises devait fournir une déclaration sur la façon dont les données personnelles étaient sécurisées, ces règles de sécurité étant ensuite évaluées par des experts indépendants. Au final, les règles de sécurisation relevées étaient principalement axées sur les risques encourus par les mineurs et sur l’accès à des moyens simples de signaler des abus.
La conclusion du rapport établissait que même si du chemin avait été parcouru, le résultat était loin d’être acceptable. En effet, 40% seulement des réseaux sociaux ayant participé à cette étude ne rendent les profils de mineurs accessibles qu’à leurs amis et seulement un tiers ont répondu favorablement aux utilisateurs ayant signalé un abus.
Cette approche consistant à espérer des réseaux sociaux une autorégulation est intéressante et apporte des résultats encourageants mais trouve rapidement ses limites. Ainsi l’étude n’a de signification qu’à un instant donné, la durée de l’étude ne permettant pas de témoigner des changements incessants que connaissent les réseaux sociaux. Par exemple, Facebook n’a pas vu de problèmes début 2009 à changer arbitrairement et discrètement les clauses du contrat ayant trait à la propriété des données privées. Il aura fallu une incroyable levée de bouclier pour que Facebook revienne en arrière. Il est donc impossible d’affirmer que ce qui est vrai aujourd’hui le sera encore demain.
Revenir au sommaire

Dépasser la dualité privé/public

Lorsque l’intégrité des personnes peut être mise en danger et que le réseau social fonctionne comme un catalyseur très puissant, la prévention est certainement la réponse la plus adaptée. Mais force est de constater qu’il manque une définition claire et applicable légalement permettant de savoir si des échanges transitant sur les réseaux sociaux relèvent de la vie privée ou de la vie publique. Ainsi un e-mail échangé relève de la vie privée, mais qu’en est-il d’un message laissé au vu et au su de tous ses amis (dont font certainement partie des amis d’enfance, comme son patron ou un camarade d’école jamais revu depuis) ? Chaque nouveau cas pourrait quasiment donner lieu à une nouvelle jurisprudence en la matière. Mais pour l’instant, il n’existe pas vraiment de jurisprudence applicable aux réseaux sociaux à l’exception des cas particuliers des blogs et forums. Par exemple, comment juger le cas des salariés d’Alten licenciés pour avoir critiqué leur direction sur Facebook ?
Mieux définir ce qui relève des propos publics et privés sur Facebook semble urgent. Danah Boyd propose par exemple de distinguer quatre grandes catégories permettant de faire ce distinguo : la persistance (conservation dans le temps), la capacité à être retrouvé, la reproductibilité (propos facilement recopiés puis dénaturés), et les « audiences invisibles » (si je "twitte"[+] NoteTwitter est un site de « microblogging » permettant gratuitement à l’utilisateur des messages court de façon instantanée. L’action de twitter consiste donc à envoyer un message. Au moment où le message est envoyé, on ne sait pas a priori qui le lira.X[1] un message, qui le lira et quand ?). Daniel Kaplan reprend dans un ouvrage collectif  Informatique, libertés, identités  les travaux de Cédric Manara, professeur associé à l’Edhec, qui propose la notion de « données relationnelles », qui sont personnelles à la fois pour plusieurs individus en contact les uns avec les autres.

Mais le problème majeur dans les réseaux sociaux reste la protection des données privées. Autant il semble difficile d’imaginer les réseaux sociaux risquer leur image en allant à l’encontre des recommandations de la Commission  visant la protection des mineurs, autant il y a certainement assez peu à espérer en termes de protection des données personnelles. Par exemple, le but affiché de Mark Zukerberg de faire de Facebook un réseau « social par défaut » résonne singulièrement confronté aux recommandations des différentes commissions européennes de pratiquer le consentement préalable systématique, et donc de ne pas livrer les informations privées « par défaut », quitte à ce que l’utilisateur puisse en son âme et conscience en modifier les paramètres par la suite.
Le président de Sun Microsystems, Scott McNealy annonçait dès 1999 : « Vous n’avez déjà plus de vie privée, il va falloir vous y faire ». Est-ce que cela signifie une résignation des autorités légales ? De la même façon, Eric Schmidt ne cachait pas en décembre 2009 qu’il pensait qu'Internet mettrait forcément fin à la vie privée, et que « si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire ».
Quels sont les outils dont dispose l’UE sur ce sujet ?
Revenir au sommaire

Le cadre légal existant en termes de protection des données

Lorsque les textes européens évoquent les « données à caractère personnel », il s’agit des données qui nous sont directement rattachées (qui se trouvent typiquement sur la page de notre profil) mais aussi les données qui nous sont rattachables par recoupements, analyses, études sémantique, profil d’un « ami » (par exemple, si une photo où nous apparaissons est « taguée »[+]   NoteL’opération de « taguer » consiste à identifier quelqu’un sur une photo. Facebook devrait prochainement proposer des outils basés sur la reconnaissance faciale pour automatiser cette reconnaissance.X   [2]alors cette information rentre dans le cadre des données à caractère personnel).

La protection des données personnelles est un vaste problème qui englobe de nombreux aspects (fichiers de police, bases élèves, vidéosurveillance, …). Nous ne nous intéresserons ici qu’aux aspects qui concernent les réseaux sociaux et n’évoquerons pas en particulier les limitations inhérentes aux domaines touchant à la sécurité nationale.

Les Européens accordent une grande importance à la protection des données personnelles. Le droit à la vie privée, même s’il diffère légèrement de la protection des données personnelles, est défini par l’article 8 de la Convention européenne de sauvegarde des Droits de l’Homme et des Libertés fondamentales.

Le premier texte réellement fondateur est la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel de 1981  Ce texte peut être considéré comme le premier cadre juridique européen du droit fondamental à la protection des données à caractère personnel. Il évoquait en préambule « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples ».

Cette convention est actuellement ratifiée dans 29 pays mais la législation en sein de l’UE n’est réellement précisée que dans le cadre de différentes directives, et en particulier par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

« La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données

En France, par exemple, c’est la CNIL(Commission nationale de l’informatique et des libertés) qui a vu son pouvoir renforcé par  la transposition de cette directive.

D’une façon générale, la directive 95/46/CE se veut (comme toute directive européenne) à la fois une harmonisation à l’échelle de l’UE tout en laissant au législateur national la souplesse nécessaire à la prise en compte des spécificités culturelles locales. En France, c’est la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel qui  transpose la directive 95/46/CE.

Le texte de la directive est absolument « agnostique »  en termes de technologies et permet  l’existence de régimes spécifiques de protection des données. Malgré des évolutions technologiques majeures, favorisées notamment par l’augmentation exponentielle de la capacité de stockage et de calcul des fournisseurs de service, la directive 95/46/CE reste toujours valable et pertinente.
Il faut noter que cette directive ne couvre pas la question du traitement automatique des données traitée dans le cadre de la directive 45/2001/EC. C'est cette dernière qui a permis la création du "contrôleur européen de la protection des données" (voir "Organes Consultatifs").

Le traité de Lisbonne a d’autant plus renforcé le régime applicable dans le sens de la protection en ajoutant l’article 16 du TFUE (Traité sur le fonctionnement de l’Union européenne) qui définit que :

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes.

Ce simple aperçu du cadre légal global permet de se rendre compte que les outils législatifs sont complexes, nombreux et assez éparses (comme le sont les instances européennes). La commission a donc chargé des organes consultatifs de produire des recommandations visant à simplifier  ce cadre (pour éviter la répétition), et ainsi identifier la loi applicable en matière de données à caractère personnel à l’heure de la mondialisation et des récentes évolutions technologiques.

Revenir au sommaire

Les organes consultatifs

Le groupe de travail 29
Le groupe de travail a été établi en vertu de l’article 29 de la directive 95/46/CE par référence à l’article de la directive européenne qui l’institue. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée. Il produit des recommandations globalement très équilibrées. Mais on ne peut s’empêcher de se poser des questions sur la mise en application de ces recommandations, notamment à cause du caractère international des réseaux sociaux alors que les directives européennes ne concernent que le marché intérieur. Le groupe 29 travaille d’ailleurs à fournir un avis sur le droit applicable.
La commission réaffirme que les principes de base et le cadre juridique de la directive 95/46/CE sont plus que jamais d’actualité mais qu’il s’agit d’en préciser, renforcer et moderniser les dispositions et d’en améliorer l’efficacité.
Même si c’est souvent le traitement des données personnelles pour des problèmes liés à la sécurité qui est mis en avant, les recommandations concernent aussi pour la plupart les réseaux sociaux.

Le Contrôleur européen de la protection des données (CEPD)
Le CEPD est une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l'UE. À cet effet, il remplit les tâches suivantes: 
Le CEPD reconnaît l’importance déterminante des technologies de l’information et de la communication. Il a identifié en particulier trois domaines jugés prioritaires : la radio-identification (ou RFID pour Radio Frequency Identification), les navigateurs Internet et les réseaux sociaux. Sur ce dernier point, le CEPD réaffirme les risques liés à une utilisation inconsidérée des réseaux sociaux qui connaissent un développement exponentiel, et constate « le fossé entre les obligations légales et la conformité réelle à ces obligations ».

Les conclusions des commissions
Parmi les différentes recommandations de ces commissions, certains principes forts se dégagent tels que le consentement (selon le groupe 29, « ne pas changer un réglage par défaut ne peut être considéré, dans la plupart des cas, comme un consentement valable »), la prise en compte de la vie privée dès la conception (Privacy by design)[+] NoteIl s’agit pour les entreprises d’inclure le concept de respect de la vie privée au moment de la conception d’un outil technologique. Certains défenseurs de cette idée tels qu’Ann Cavoukian vont même jusqu’à affirmer que les entreprises peuvent en retirer un avantage concurrentiel certain.X [3], l’annulation du consentement, la suppression des données, la limitation des données privées « autant que possible », les moyens de contrôle, la transparence[+] NoteD’après le groupe 29 : « Les personnes concernées devraient disposer d’informations précises sur l’utilisation des informations collectées et sur la logique sous-jacente au traitement. Cette collecte d’informations devrait uniquement être limitée, si nécessaire, à des cas individuels, pour ne pas compromettre les enquêtes et pour une durée limitée. Les droits d’accès et de rectification des personnes concernées devraient être pris en compte dans un contexte transfrontalier pour éviter que ces personnes ne perdent le contrôle de leurs données. »X [4] et le principe de responsabilité.[+] NoteD’après le groupe 29 : « le responsable du traitement des données est l’acteur clé qui veille au respect des principes et obligations visant à garantir la protection des données à caractère personnel des personnes physiques. La directive, de manière implicite mais également explicite en de nombreux points, impose au responsable du traitement de respecter les principes de protection des données et de se conformer à certaines obligations spécifiques25. Il doit par exemple adresser une notification aux autorités nationales et vérifier préalablement auprès d’elles la légalité des opérations de traitement des données. »X [5]

Cette vision rejoint l’idée française portée par Nathalie Kosciusko-Morizet : « Il y a deux solutions conjointes : la sensibilisation de l'internaute, mais également une pression sur les services Web pour qu'ils proposent une configuration par défaut très protectrice de la vie privée et pour que le fait de dévoiler davantage d'informations soit une démarche volontaire. Ce n'est pas simplement une question technique. Derrière, il y a des choix de société : en France, on considère que le citoyen doit être protégé contre l'utilisation opaque de ses données personnelles. C'est une question de libertés publiques, pas une question de confort. »
Revenir au sommaire

La protection des données à l'extérieur de l'Europe

Evidemment, le problème ne se réduit pas aux États-Unis mais c’est là-bas que se situe la majorité des serveurs des réseaux sociaux les plus significatifs. Et la loi applicable est celle du pays où sont situés les serveurs. De plus, la pratique de plus en plus généralisée du « Cloud Computing »[+] NoteLe Cloud Computing permet de déporter un certain nombre de traitements informatiques auparavant situés sur le poste utilisateur. Le risque comme son nom l’indique est de plus être en mesure de savoir exactement où se situe l’information, où sont effectués les traitements. X [6] rend difficile toute tentative de localisation des fournisseurs de services.  Il manque de toute évidence un cadre commun mondial minimal permettant de contraindre légalement les réseaux sociaux.
Au-delà de l’Europe, certains États se sont dotés de lois qui rendent les transferts de données compatibles avec la France (l’Australie, le Canada, Hong-Kong, la Nouvelle Zélande, l’Argentine, …), et possèdent aussi une autorité de contrôle indépendante.

En revanche, il n’en est pas de même aux États-Unis alors que les discussions entre Américains et Européens semblent avancer à pas de fourmis.

Bien qu’il ne s’applique pas seulement à la question des données privées, le rapport cosigné par le président Bill Clinton et Al Gore (« A Framework For Global Electronic Commerce ») est particulièrement éclairante pour mieux comprendre la façon dont les américains abordent ces problèmes. Le rapport proposait cinq principes comme bases « de discussion internationales ou d’accords pour faciliter la croissance du commerce sur Internet »:

  1. C’est le secteur privé qui est seul moteur ;
  2. Les gouvernements doivent éviter toutes restrictions sur le commerce électronique ;
  3. Lorsque l’implication du gouvernement est nécessaire, son but doit être de soutenir et de mettre en application un environnement légal pour le commerce électronique de manière prévisible, minimaliste, cohérente et simple ;
  4. Les gouvernements devraient reconnaitre à Internet ses qualités exceptionnelles ;
  5. Le commerce électronique sur Internet devrait être facilité internationalement.

En particulier, dans le chapitre consacré au secret des données, le rapport recommandait que l’utilisateur (de façon intéressante identifié dans le rapport au « consommateur ») soit mis au courant des informations recensées à son sujet et en préconisait la limitation. Mais d’une façon générale, c’est seulement en ultime recours que le gouvernement considère son intervention nécessaire, et seulement en cas de consensus massif (en suivant la logique très américaine des class-actions).

Leur approche du « problème » européen ne pourrait être plus claire : « les États-Unis vont continuer les discussions politiques avec les nations de l’UE et la Commission européenne pour mieux faire comprendre l’approche américaine sur la vie privée ainsi que pour s’assurer que les critères qu’ils utilisent pour évaluer l’adéquation avec leur politique soit suffisamment flexibles pour tenir compte de notre approche. »

Les États-Unis semblent donc assez peu enclins à légiférer plus durement sur les données privées, alors que l’Europe considère toujours comme inaliénable le droit à la protection des données personnelle.

Pour autant, certains indicateurs semblent encourageants pour espérer des jours meilleurs en matière de collaboration mondiale :

  • Le traité de Madrid : en novembre 2009, plus d’une centaine d’organisations de la société civile et experts de la protection de la vie privée de plus de 40 pays ont publié, dans le cadre de la Conférence internationale des commissaires à la protection des données et de la vie privée, une déclaration réaffirmant la législation internationale pour la protection de la vie privée, identifiant les nouveaux défis et appelant à des actions concrètes pour sauvegarder la vie privée. La déclaration de Madrid rappelle « à l’ensemble des États leurs obligations de protéger les droits civils de leurs citoyens et résidents ». Elle appelle les États « n’ayant pas encore établi un cadre global pour la protection de la vie privée et une autorité indépendante de protection des données à le faire aussi rapidement que possible ». Elle préconise « un moratoire sur le développement ou la mise en œuvre de nouveaux systèmes de surveillance de masse » et appelle à «  la création d’un nouveau cadre international pour la protection de la vie privée, avec la pleine participation de la société civile, qui soit basé sur la primauté du droit, le respect des droits fondamentaux et l’adhésion aux institutions démocratiques ». En intégrant des législations issues des cinq continents, cette déclaration démontre qu’il est envisageable dans un horizon proche de bâtir un socle législatif commun.
  •  La volonté forte de la part de l’Organisation de coopération et de développement économique (OCDE) d’améliorer la sécurité des échanges en instaurant une réelle « culture de la sécurité ». La protection des données privées fait partie de ce chantier. La déclaration de Madrid ne manque d’ailleurs pas de souligner ce point en « rappelant aux autres États membres de l’OCDE leurs obligations de respecter les principes énoncés dans les Lignes directrices de l’OCDE de 1980 sur la vie privée ».
  • Les choses avancent dans le cadre de la lutte contre le terrorisme et la criminalité transnationale grave. Selon le groupe de travail 29, ces activités pourraient conduire à un accord transatlantique prévoyant des principes communs pour la protection de la vie privée et des données. Evidemment, cela ne changera pas grand-chose à court terme aux problèmes liés aux réseaux sociaux, mais on peut espérer que ce type d’accord ouvre la voie à des discussions constructives avancées concernant un traitement élargie des données privées qui soit applicable aux réseaux sociaux.
Revenir au sommaire

Les grands travaux à venir sur les technologies numériques : le digital agenda

La Commission européenne, vient de définir un "Digital agenda for Europe" pour l'horizon 2020. Ce rapport avance sept grandes stratégies présentées comme autant de moyens « de sortir de la crise et de préparer l’économie de l’Union européenne aux nouveaux défis de la prochaine décennie. ».  Le but est de "maximiser le potentiel économique et social des nouvelles technologies". En réalité, toutes les stratégies invoquées concernent seulement le développement économique du marché numérique. Il ne s’agit aucunement de favoriser quelque régulation que ce soit. Un seul chapitre a trait à la sécurisation des données personnelles mais le besoin n’est pas de préserver des dérives possibles liées notamment aux réseaux sociaux. Il s’agit plutôt de lutter contre la cyber-criminalité qui apparaît comme un frein potentiel au développement et à l’acceptation du paiement bancaire et des données médicales numériques. Un chapitre concerne l’éducation mais il s’agit avant tout de développer les compétences techniques en ingénierie liées au marché numérique et d’améliorer les compétences numériques des gens les moins à l’aise avec les outils numériques. « Tous les citoyens doivent avoir les compétences nécessaires pour participer à la société numérique.» L’avenir dira quelle part sera consacrée à l’éducation des futures générations aux risques qu’implique la manipulation de leurs propres données personnelles.

Il est peut-être dommage de ne pas avoir tenté de mener une vraie réflexion sur ce que des incitations fortes à l’usage des technologies auraient pu offrir, à savoir assurer des garanties aux citoyens européens tout en valorisant  notre potentiel technologique.
On aurait ainsi pu imaginer des axes du type :
  • Offrir à chaque citoyen un espace parfaitement protégé où il stocke ses données privées. Cet espace pourrait le présenter au monde en masquant son identité civile. Il serait le seul à détenir identifiants et mot de passe. Chaque réseau social serait alors obligé de souscrire à un contrat le contraignant légalement puisque le détenteur des données privées serait toujours clairement l’utilisateur. Ceci permettrait aussi de rendre les réseaux sociaux facilement substituables, ce qui n’est pas le cas aujourd’hui. Kim Cameron avait déjà, chez Microsoft, proposé de tels outils. Le coût d’un tel développement serait assez élevé mais négligeable sur 10 ans devant le budget de recherche l’UE. Ainsi, Seesmic qui propose des fonctionnalités plus ou moins comparables en envergure a levé 6 millions d’euros pour développer sa plate-forme. C’est à peine le coût d’une grosse campagne de publicité à l’échelle européenne de sensibilisation aux risques d’Internet.
  • Facebook a annoncé développer les technologies de reconnaissances faciales. Le premier but avéré est de favoriser les moyens automatiques d’augmenter la connexité des réseaux et des contenus. Mais on pourrait aussi imaginer que cette technologie soit développée et proposée comme un outil offert aux citoyens européens pour mieux se protéger. Ainsi, si Mr X utilise cette fonctionnalité, il peut obliger chaque personne ayant publié une photo où il apparaissait, sans lui demander l’autorisation, de la retirer éventuellement.
Les PETs[+] NoteLes « PET » (privacy Enhancing Technologies) regroupent toutes les technologies permettant d’annihiler (ou en tout cas de limiter) les utilisations et les transferts de données privées sans sacrifier à la facilité d’usage des réseaux sociaux.X [7] existent déjà mais ne sont pas encore connus du grand public. Médiatiser leur utilisation et lancer des programmes ambitieux sur le sujet pourraient être un moyen de limiter les risques inhérents au traitement des données personnelles tout en ménageant la libre circulation des données.
Revenir au sommaire

Conclusion

L’impression générale que l’on a en parcourant les textes est que l’Union Européenne est dotée d’un cadre légal, de déclarations et de directives qui résistent incroyablement bien au temps grâce à des textes indépendants des technologies. De nombreux groupes de travail proposent des recommandations qui paraissent vraiment pertinentes, permettant de lier les directives européennes aux technologies d’aujourd’hui, d’uniformiser et de simplifier les dispositions légales et les recours, ainsi que de travailler à la création d’un cadre légal mondial en matière de protection des données à caractère personnelles (notamment pour les réseaux sociaux).

Mais comment ne pas se poser la question de l’applicabilité de ces recommandations ? En mettant explicitement l’accent sur les questions de développement et en occultant les questions de régulation, l’agenda 2020 pourrait modifier le paradigme européen de la protection des données privées. Même sans parler de régulation, il aurait certainement été à propos de faire explicitement rentrer les problématiques liées aux réseaux sociaux dans les priorités à traiter. Ainsi, une réflexion sur le développement possible d’outils permettant aux citoyens européens de mieux se protéger aurait assurément été bienvenue. De plus en plus d’observateurs soulignent que « penser protection des données personnelles » n’est pas nécessairement un frein au développement de l’économie numérique mais peut au contraire être un vecteur d’innovation et un levier technologique formidable.

Revenir au sommaire
  • 1. Twitter est un site de « microblogging » permettant gratuitement à l’utilisateur des messages court de façon instantanée. L’action de twitter consiste donc à envoyer un message. Au moment où le message est envoyé, on ne sait pas a priori qui le lira.
  • 2. L’opération de « taguer » consiste à identifier quelqu’un sur une photo. Facebook devrait prochainement proposer des outils basés sur la reconnaissance faciale pour automatiser cette reconnaissance.
  • 3. Il s’agit pour les entreprises d’inclure le concept de respect de la vie privée au moment de la conception d’un outil technologique. Certains défenseurs de cette idée tels qu’Ann Cavoukian vont même jusqu’à affirmer que les entreprises peuvent en retirer un avantage concurrentiel certain.
  • 4. D’après le groupe 29 : « Les personnes concernées devraient disposer d’informations précises sur l’utilisation des informations collectées et sur la logique sous-jacente au traitement. Cette collecte d’informations devrait uniquement être limitée, si nécessaire, à des cas individuels, pour ne pas compromettre les enquêtes et pour une durée limitée. Les droits d’accès et de rectification des personnes concernées devraient être pris en compte dans un contexte transfrontalier pour éviter que ces personnes ne perdent le contrôle de leurs données. »
  • 5. D’après le groupe 29 : « le responsable du traitement des données est l’acteur clé qui veille au respect des principes et obligations visant à garantir la protection des données à caractère personnel des personnes physiques. La directive, de manière implicite mais également explicite en de nombreux points, impose au responsable du traitement de respecter les principes de protection des données et de se conformer à certaines obligations spécifiques25. Il doit par exemple adresser une notification aux autorités nationales et vérifier préalablement auprès d’elles la légalité des opérations de traitement des données. »
  • 6. Le Cloud Computing permet de déporter un certain nombre de traitements informatiques auparavant situés sur le poste utilisateur. Le risque comme son nom l’indique est de plus être en mesure de savoir exactement où se situe l’information, où sont effectués les traitements.
  • 7. Les « PET » (privacy Enhancing Technologies) regroupent toutes les technologies permettant d’annihiler (ou en tout cas de limiter) les utilisations et les transferts de données privées sans sacrifier à la facilité d’usage des réseaux sociaux.
Vous souhaitez nous apporter un complément, rectifier une information ? Contactez la rédaction