Le 23 juin 2010, un rapport sur l'utilisation des nouveaux réseaux sociaux dans la communication européenne a été adopté en commission parlementaire de la Culture et de l'Éducation. Il s’agissait de répondre au mieux à la question : comment les gouvernements, les partis et les politiciens peuvent-ils toucher les citoyens pour leur expliquer le fonctionnement de l’Union européenne (UE) ? Les députés remarquaient à cette occasion « que les médias sociaux représentent un potentiel immense pour atteindre les jeunes et encouragent la Commission et le Parlement à renforcer leurs activités dans ce domaine ».
Cet exemple symptomatique, et pas si anecdotique, est révélateur de l’importance qu’accorde le Parlement européen aux réseaux sociaux. Même si cet exemple n’est pas directement lié à une régulation européenne des réseaux sociaux, il montre bien la façon dont les instances européennes abordent le sujet : ils en reconnaissent l’efficacité, l’incroyable diffusion, le pouvoir de communication mais dans le même temps en soulignent les dangers.
Ces derniers sont nombreux, mais bien des comportements que l’on suppose à tort propres aux réseaux sociaux sont simplement des traductions « connectées » d’actes illégaux dans le monde « non connecté ». Or il faut bien garder à l’esprit que les lois existantes s’appliquent aussi bien aux comportements « connectés » que « déconnectés ».
Le réseau social provoque un sentiment de relative impunité conféré par l’usage du pseudonyme ou bien simplement parce qu’utiliser un medium virtuel dans le cadre de relations sociales donne à penser que l’on se soustrait aux lois du monde réel. Dans le monde des réseaux sociaux, tout va plus vite, tout parait simple puisque tout est dématérialisé. Et pourtant les drames sont parfois bien réels.
Dans ce type de cas les lois répressives appliquées « au monde réel » existent. Mais l’UE constate que de la prévention est nécessaire, notamment en ce qui concerne les abus relatifs aux mineurs.
L’approche du Parlement européen et de la Commission pour traiter cette spécificité des réseaux sociaux a pour l’instant été de privilégier :
Lorsque l’intégrité des personnes peut être mise en danger et que le réseau social fonctionne comme un catalyseur très puissant, la prévention est certainement la réponse la plus adaptée. Mais force est de constater qu’il manque une définition claire et applicable légalement permettant de savoir si des échanges transitant sur les réseaux sociaux relèvent de la vie privée ou de la vie publique. Ainsi un e-mail échangé relève de la vie privée, mais qu’en est-il d’un message laissé au vu et au su de tous ses amis (dont font certainement partie des amis d’enfance, comme son patron ou un camarade d’école jamais revu depuis) ? Chaque nouveau cas pourrait quasiment donner lieu à une nouvelle jurisprudence en la matière. Mais pour l’instant, il n’existe pas vraiment de jurisprudence applicable aux réseaux sociaux à l’exception des cas particuliers des blogs et forums. Par exemple, comment juger le cas des salariés d’Alten licenciés pour avoir critiqué leur direction sur Facebook ?
Mieux définir ce qui relève des propos publics et privés sur Facebook semble urgent. Danah Boyd propose par exemple de distinguer quatre grandes catégories permettant de faire ce distinguo : la persistance (conservation dans le temps), la capacité à être retrouvé, la reproductibilité (propos facilement recopiés puis dénaturés), et les « audiences invisibles » (si je "twitte"(1) un message, qui le lira et quand ?). Daniel Kaplan reprend dans un ouvrage collectif Informatique, libertés, identités les travaux de Cédric Manara, professeur associé à l’Edhec, qui propose la notion de « données relationnelles », qui sont personnelles à la fois pour plusieurs individus en contact les uns avec les autres.
Mais le problème majeur dans les réseaux sociaux reste la protection des données privées. Autant il semble difficile d’imaginer les réseaux sociaux risquer leur image en allant à l’encontre des recommandations de la Commission visant la protection des mineurs, autant il y a certainement assez peu à espérer en termes de protection des données personnelles. Par exemple, le but affiché de Mark Zukerberg de faire de Facebook un réseau « social par défaut » résonne singulièrement confronté aux recommandations des différentes commissions européennes de pratiquer le consentement préalable systématique, et donc de ne pas livrer les informations privées « par défaut », quitte à ce que l’utilisateur puisse en son âme et conscience en modifier les paramètres par la suite.
Le président de Sun Microsystems, Scott McNealy annonçait dès 1999 : « Vous n’avez déjà plus de vie privée, il va falloir vous y faire ». Est-ce que cela signifie une résignation des autorités légales ? De la même façon, Eric Schmidt ne cachait pas en décembre 2009 qu’il pensait qu'Internet mettrait forcément fin à la vie privée, et que « si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire ».
Quels sont les outils dont dispose l’UE sur ce sujet ?
Lorsque les textes européens évoquent les « données à caractère personnel », il s’agit des données qui nous sont directement rattachées (qui se trouvent typiquement sur la page de notre profil) mais aussi les données qui nous sont rattachables par recoupements, analyses, études sémantique, profil d’un « ami » (par exemple, si une photo où nous apparaissons est « taguée »(2)alors cette information rentre dans le cadre des données à caractère personnel).
La protection des données personnelles est un vaste problème qui englobe de nombreux aspects (fichiers de police, bases élèves, vidéosurveillance, …). Nous ne nous intéresserons ici qu’aux aspects qui concernent les réseaux sociaux et n’évoquerons pas en particulier les limitations inhérentes aux domaines touchant à la sécurité nationale.
Les Européens accordent une grande importance à la protection des données personnelles. Le droit à la vie privée, même s’il diffère légèrement de la protection des données personnelles, est défini par l’article 8 de la Convention européenne de sauvegarde des Droits de l’Homme et des Libertés fondamentales.
Le premier texte réellement fondateur est la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel de 1981 Ce texte peut être considéré comme le premier cadre juridique européen du droit fondamental à la protection des données à caractère personnel. Il évoquait en préambule « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples ».
Cette convention est actuellement ratifiée dans 29 pays mais la législation en sein de l’UE n’est réellement précisée que dans le cadre de différentes directives, et en particulier par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
En France, par exemple, c’est la CNIL(Commission nationale de l’informatique et des libertés) qui a vu son pouvoir renforcé par la transposition de cette directive.
D’une façon générale, la directive 95/46/CE se veut (comme toute directive européenne) à la fois une harmonisation à l’échelle de l’UE tout en laissant au législateur national la souplesse nécessaire à la prise en compte des spécificités culturelles locales. En France, c’est la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel qui transpose la directive 95/46/CE.
Le texte de la directive est absolument « agnostique » en termes de technologies et permet l’existence de régimes spécifiques de protection des données. Malgré des évolutions technologiques majeures, favorisées notamment par l’augmentation exponentielle de la capacité de stockage et de calcul des fournisseurs de service, la directive 95/46/CE reste toujours valable et pertinente.
Il faut noter que cette directive ne couvre pas la question du traitement automatique des données traitée dans le cadre de la directive 45/2001/EC. C'est cette dernière qui a permis la création du "contrôleur européen de la protection des données" (voir "Organes Consultatifs").
Le traité de Lisbonne a d’autant plus renforcé le régime applicable dans le sens de la protection en ajoutant l’article 16 du TFUE (Traité sur le fonctionnement de l’Union européenne) qui définit que :
1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes.
Ce simple aperçu du cadre légal global permet de se rendre compte que les outils législatifs sont complexes, nombreux et assez éparses (comme le sont les instances européennes). La commission a donc chargé des organes consultatifs de produire des recommandations visant à simplifier ce cadre (pour éviter la répétition), et ainsi identifier la loi applicable en matière de données à caractère personnel à l’heure de la mondialisation et des récentes évolutions technologiques.
Le groupe de travail 29
Le groupe de travail a été établi en vertu de l’article 29 de la directive 95/46/CE par référence à l’article de la directive européenne qui l’institue. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée. Il produit des recommandations globalement très équilibrées. Mais on ne peut s’empêcher de se poser des questions sur la mise en application de ces recommandations, notamment à cause du caractère international des réseaux sociaux alors que les directives européennes ne concernent que le marché intérieur. Le groupe 29 travaille d’ailleurs à fournir un avis sur le droit applicable.
La commission réaffirme que les principes de base et le cadre juridique de la directive 95/46/CE sont plus que jamais d’actualité mais qu’il s’agit d’en préciser, renforcer et moderniser les dispositions et d’en améliorer l’efficacité.
Même si c’est souvent le traitement des données personnelles pour des problèmes liés à la sécurité qui est mis en avant, les recommandations concernent aussi pour la plupart les réseaux sociaux.
Le Contrôleur européen de la protection des données (CEPD)
Le CEPD est une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l'UE. À cet effet, il remplit les tâches suivantes:
En revanche, il n’en est pas de même aux États-Unis alors que les discussions entre Américains et Européens semblent avancer à pas de fourmis.
Bien qu’il ne s’applique pas seulement à la question des données privées, le rapport cosigné par le président Bill Clinton et Al Gore (« A Framework For Global Electronic Commerce ») est particulièrement éclairante pour mieux comprendre la façon dont les américains abordent ces problèmes. Le rapport proposait cinq principes comme bases « de discussion internationales ou d’accords pour faciliter la croissance du commerce sur Internet »:
En particulier, dans le chapitre consacré au secret des données, le rapport recommandait que l’utilisateur (de façon intéressante identifié dans le rapport au « consommateur ») soit mis au courant des informations recensées à son sujet et en préconisait la limitation. Mais d’une façon générale, c’est seulement en ultime recours que le gouvernement considère son intervention nécessaire, et seulement en cas de consensus massif (en suivant la logique très américaine des class-actions).
Leur approche du « problème » européen ne pourrait être plus claire : « les États-Unis vont continuer les discussions politiques avec les nations de l’UE et la Commission européenne pour mieux faire comprendre l’approche américaine sur la vie privée ainsi que pour s’assurer que les critères qu’ils utilisent pour évaluer l’adéquation avec leur politique soit suffisamment flexibles pour tenir compte de notre approche. »
Les États-Unis semblent donc assez peu enclins à légiférer plus durement sur les données privées, alors que l’Europe considère toujours comme inaliénable le droit à la protection des données personnelle.
Pour autant, certains indicateurs semblent encourageants pour espérer des jours meilleurs en matière de collaboration mondiale :
La Commission européenne, vient de définir un "Digital agenda for Europe" pour l'horizon 2020. Ce rapport avance sept grandes stratégies présentées comme autant de moyens « de sortir de la crise et de préparer l’économie de l’Union européenne aux nouveaux défis de la prochaine décennie. ». Le but est de "maximiser le potentiel économique et social des nouvelles technologies". En réalité, toutes les stratégies invoquées concernent seulement le développement économique du marché numérique. Il ne s’agit aucunement de favoriser quelque régulation que ce soit. Un seul chapitre a trait à la sécurisation des données personnelles mais le besoin n’est pas de préserver des dérives possibles liées notamment aux réseaux sociaux. Il s’agit plutôt de lutter contre la cyber-criminalité qui apparaît comme un frein potentiel au développement et à l’acceptation du paiement bancaire et des données médicales numériques. Un chapitre concerne l’éducation mais il s’agit avant tout de développer les compétences techniques en ingénierie liées au marché numérique et d’améliorer les compétences numériques des gens les moins à l’aise avec les outils numériques. « Tous les citoyens doivent avoir les compétences nécessaires pour participer à la société numérique.» L’avenir dira quelle part sera consacrée à l’éducation des futures générations aux risques qu’implique la manipulation de leurs propres données personnelles.
Il est peut-être dommage de ne pas avoir tenté de mener une vraie réflexion sur ce que des incitations fortes à l’usage des technologies auraient pu offrir, à savoir assurer des garanties aux citoyens européens tout en valorisant notre potentiel technologique.
On aurait ainsi pu imaginer des axes du type :
L’impression générale que l’on a en parcourant les textes est que l’Union Européenne est dotée d’un cadre légal, de déclarations et de directives qui résistent incroyablement bien au temps grâce à des textes indépendants des technologies. De nombreux groupes de travail proposent des recommandations qui paraissent vraiment pertinentes, permettant de lier les directives européennes aux technologies d’aujourd’hui, d’uniformiser et de simplifier les dispositions légales et les recours, ainsi que de travailler à la création d’un cadre légal mondial en matière de protection des données à caractère personnelles (notamment pour les réseaux sociaux).
Mais comment ne pas se poser la question de l’applicabilité de ces recommandations ? En mettant explicitement l’accent sur les questions de développement et en occultant les questions de régulation, l’agenda 2020 pourrait modifier le paradigme européen de la protection des données privées. Même sans parler de régulation, il aurait certainement été à propos de faire explicitement rentrer les problématiques liées aux réseaux sociaux dans les priorités à traiter. Ainsi, une réflexion sur le développement possible d’outils permettant aux citoyens européens de mieux se protéger aurait assurément été bienvenue. De plus en plus d’observateurs soulignent que « penser protection des données personnelles » n’est pas nécessairement un frein au développement de l’économie numérique mais peut au contraire être un vecteur d’innovation et un levier technologique formidable.
D’après le groupe 29 : « Les personnes concernées devraient disposer d’informations précises sur l’utilisation des informations collectées et sur la logique sous-jacente au traitement. Cette collecte d’informations devrait uniquement être limitée, si nécessaire, à des cas individuels, pour ne pas compromettre les enquêtes et pour une durée limitée. Les droits d’accès et de rectification des personnes concernées devraient être pris en compte dans un contexte transfrontalier pour éviter que ces personnes ne perdent le contrôle de leurs données. »
D’après le groupe 29 : « le responsable du traitement des données est l’acteur clé qui veille au respect des principes et obligations visant à garantir la protection des données à caractère personnel des personnes physiques. La directive, de manière implicite mais également explicite en de nombreux points, impose au responsable du traitement de respecter les principes de protection des données et de se conformer à certaines obligations spécifiques25. Il doit par exemple adresser une notification aux autorités nationales et vérifier préalablement auprès d’elles la légalité des opérations de traitement des données. »
Les investissements des sociétés chinoises à l’international dans les médias et l’audiovisuel proviennent essentiellement des géants du numérique, les BATX. Prudents, ils s’appuient d’abord sur leur marché domestique, où ils ont testé leurs innovations et restructuré les médias classiques.