Accueil Revues Revue Numéro Article

Documentaliste-Sciences de l'Information

2013/3 (Vol. 50)

  • Pages : 78
  • DOI : 10.3917/docsi.503.0062
  • Éditeur : A.D.B.S.

ALERTES EMAIL - REVUE Documentaliste-Sciences de l'Information

Votre alerte a bien été prise en compte.

Vous recevrez un email à chaque nouvelle parution d'un numéro de cette revue.

Fermer

Article précédent Pages 62 - 69 Article suivant
1

Actuellement, de grandes quantités de données font l’objet, en quelques fractions de seconde, de transactions commerciales intramuros, intracommunautaires et extracommunautaires. Comprendre l’importance des outils de protection de données à caractère personnel, leur nature, leur genèse et les reconsidérer dans un milieu caractérisé par un mouvement constant est au cœur de la présente contribution. Ces considérations sont de nature à éclairer les pratiques des professionnels de la communication mais aussi à nourrir la réflexion dans le domaine des sciences de l’information et de la communication. En outre, cette problématique d’actualité présente une forte dimension économique puisque, aujourd’hui, les « données sont devenues des marchandises » [8].

1 - Problématique

2

Que se passe-t-il avec nos données à caractère personnel quand nous embarquons dans un avion ? Quand nous ouvrons un compte bancaire ? Quand nous déposons une photo sur un réseau social ? Qui utilise ces données, et de quelle manière ? Comment cette information circule-t-elle ? Comment effacer de manière permanente les données à caractère personnel de notre profil créé dans un réseau social ? Les réseaux sociaux peuvent-t-ils vendre nos contacts, nos informations et nos photos à une entreprise ?

3

Pour les entreprises du XXIe siècle, la gestion de données à caractère personnel de clients potentiels constitue l’épicentre du système de marketing, de leur activité et de leur développement. L’enjeu est tel que, si ces données sont mal protégées, les conséquences pour l’image de la société elle-même [3] peuvent être très graves [1][1] Par exemple, dans l’affaire opposant le magasin Tati.... La commercialisation, et donc la diffusion, des données de l’utilisateur sur Internet peuvent elles aussi avoir des répercussions fâcheuses [2] pour ce même utilisateur.

4

Avec l’apparition de la « société numérique », la collecte, la gestion et le commerce desdites données sont monnaie courante pour certains acteurs économiques du Web [3]. Comme cela est aisément vérifiable, le développement rapide d’Internet s’est accompagné d’une très forte augmentation du nombre et du type de données auxquelles il est possible d’avoir accès dans le milieu professionnel, qu’il s’agisse du « courrier électronique, des sites web, des annuaires d’entreprise, des forums » [13], etc.

5

Leur collecte implique deux types de données : les données visibles comme les renseignements commerciaux, les fichiers clientèle, mais également les données enregistrées à l’insu de l’usager (ou données invisibles) comme les données de navigation et de connexion. Lors d’un paiement par CB, d’une simple commande ou de la réception d’une livraison, des données à caractère personnel sont mises en œuvre : nom, adresse, numéro de carte de crédit mais aussi nature de l’achat, types de produits et fréquence des achats.

6

Le croisement de toutes ces données peut aboutir à une exposition de l’individu - au détriment du respect de sa vie privée - au profit de l’administration, des opérateurs de télécommunications, des organismes de santé, des banques, des assurances, de la grande distribution et des entreprises de services.

Une règlementation européenne exemplaire mais inefficace hors ses murs

7

L’envol du Web 2.0 a généré de vastes préoccupations liées à la sécurité et à la protection de ces données à caractère personnel, se transformant en un défi majeur pour les états démocratiques modernes.

8

En ce sens, l’Union européenne a structuré une réglementation spécifique : l’obligation de conserver de manière confidentielle et sécurisée les données personnelles, l’interdiction de collecter ces données sans en avoir informé préalablement les personnes concernées et l’interdiction, au moins de principe, de les commercialiser avec des entreprises implantées dans des pays qui ne possèdent pas une réglementation de protection similaire à celle existante au sein de l’UE [2][2] Convention pour la protection des personnes à l’égard....

9

Ce dispositif européen a influencé certains États non membres qui ont compris l’enjeu démocratique du problème et se sont munis d’une réglementation spéciale, qu’il s’agisse d’Israël, de la Russie, de l’Argentine ou de l’Inde. D’autres comme la Chine, la Nouvelle-Zélande, l’Australie et les États-Unis (dans ce dernier pays, les données à caractère personnel sont présumées utilisables tant que la personne ne s’y est pas explicitement opposée) ne disposent d’aucune protection spécifique à ce jour. L’un des principaux problèmes aujourd’hui tient à l’absence d’une définition unifiée de ce qu’est une donnée personnelle et de sa protection juridique, qui est donc susceptible de varier selon les pays.

10

Selon une conception de réseau fermé, la réglementation communautaire possèderait tous les éléments pour assurer une protection efficace de la vie privée de l’internaute. Mais son respect sera exclusivement intramuros[3][3] Considérant les accords bilatéraux passés par l’Union.... Devant Internet, ouvert à tous, partout et à tout moment, cette tentative de régulation est, d’une part, vouée à l’échec et, d’autre part, révélatrice de l’incapacité des États-nations et des blocs d’intégration régionale à sauvegarder les données à caractère personnel et corrélativement la vie privée des citoyens, pourtant au cœur de la société démocratique.

11

Sur le Web n’existe aucune frontière et, aujourd’hui, grâce à l’informatique en nuage (le cloud), des données à caractère personnel peuvent être envoyées de Toulouse en Uruguay afin d’y être traitées, puis aux îles Kiribati pour y être conservées.

12

La situation résultant des caractéristiques techniques de la communication électronique bouleverse ainsi les règles traditionnelles de protection des données et invite à reconsidérer la notion de « donnée à caractère personnel » et à repenser les nouvelles formes de régulation de la communication [22]. Devant la « propagation des textes juridiques » [27] et l’incapacité matérielle des juges à faire respecter une réalité complexe, les États et les blocs d’intégration régionale se montrent démunis pour assurer une protection efficace.

Réinventer les règles du jeu

13

Dans ce contexte, le clair-obscur dans lequel se trouve de manière traditionnelle, et légale, la vie privée et l’importance dernièrement prise par les questions juridiques dans les « préoccupations des théoriciens et professionnels de la communication » [1] invitent à s’interroger sur une nouvelle articulation des mécanismes de protection.

14

La rigidité d’un droit hérité du XIXe siècle s’avère inadéquate. La finalité du droit consiste d’abord à réintroduire un équilibre dans les « structures désordonnées » [5]. Pour ne pas aboutir à un stade où « la protection de la vie privée deviendrait elle-même un marché » [9] à la charge du consommateur pour assurer la protection de ses propres données, un nouveau modèle global [8] doit être conçu.

15

Après avoir rappelé le contenu de la notion de donnée à caractère personnel et son lien avec « la vie privée » [21], on proposera une analyse des outils juridiques de protection qui permet d’établir leur incapacité à répondre à la finalité qui leur est assignée et impose de penser un nouveau type de protection.

2 - L’ordre des représentations: le nécessaire respect d’un droit fondamental

16

La protection de données à caractère personnel peut-elle être appréhendée comme un droit fondamental [20] ?

17

S’il est vrai que la Convention européenne des droits de l’homme et des libertés fondamentales, adoptée en 1950 par le Conseil de l’Europe, n’y fait pas référence, cette notion est bien qualifiée de droit fondamental par la Charte des droits fondamentaux de l’Union européenne dans son article 8 et par l’article 4 du Traité de Lisbonne.

18

Le texte de la Constitution de la Ve République ne prévoit pas spécifiquement la protection de la vie privée, pas davantage que le droit d’aller et venir ou l’inviolabilité du domicile. Mais le Conseil constitutionnel, grâce à une interprétation extensive de la notion de liberté individuelle, a dégagé une conception indirecte de protection [4][4] Décisions DC 83-164 de 1983, DC 84-184 de 1984, DC....

19

Cette notion de vie privée est liée dès sa naissance à la loi n° 70-643 du 17 juillet 1970 relative au renforcement des garanties des droits individuels des citoyens. À la suite de la forte réaction de la presse suscitée par le projet Safari [5][5] La révélation dans les années 70 d’un projet du gouvernement..., une commission, qui deviendra en 1978 Commission nationale Informatique et libertés (Cnil), fut créée afin de minorer son impact négatif. Le rôle de cette nouvelle commission a rapidement entraîné des conséquences importantes qui gouvernent toujours les modalités de la communication publique.

La loi Informatique et libertés

20

Huit ans après la loi de 1970, la France a reconnu la protection de la vie privée face aux atteintes liées à la nouvelle société de l’information [6][6] Par la loi n° 78-17 du 6 janvier 1978. Les professionnels de l’information et de la communication trouvent désormais les limites de leurs activités au regard précisément des limites concernant les données nominatives des personnes concernées. À cette époque, on pouvait penser que l’étendue de la protection était dotée d’une réelle efficacité, comme en témoigne la procédure sous deux aspects.

21

? En amont, la loi de 1978, dite loi Informatique et libertés, oblige le responsable du traitement, en cas de mise en œuvre de collecte de données à caractère personnel, à suivre une série de démarches et à respecter diverses obligations. L’établissement, par la loi n° 2004-801 du 6 août 2004 en accord avec la directive de 1995 [7][7] Directive n° 95/46/CE du 24 octobre 1995., d’un régime essentiellement déclaratif devant la Cnil [8][8] L’absence de déclaration entraîne la clandestinité... implique que toute modification substantielle après la déclaration ou l’autorisation du traitement doit être communiquée sans délai à celle-ci. Cette procédure permet à la Cnil de prendre connaissance de la nature des données traitées, de la finalité poursuivie et, par conséquent, de contrôler sa conformité avec la loi. Elle permet aussi aux personnes concernées d’exercer leurs droits en sachant qui détient des informations et d’engager, le cas échéant, la responsabilité de la personne en charge du traitement.

22

La légitimité du traitement est également déterminée par le consentement que la personne doit donner au responsable du traitement pour recueillir des données à caractère personnel la concernant. Cette obligation reflète deux principes imposés par la loi : le caractère loyal et licite de la collecte et du traitement des données. Le consentement exprès est toujours nécessaire dans le cas des données sensibles. Cependant, une fois le traitement mis en œuvre, le consentement de la personne, selon le type de traitement, ne suffit pas à assurer le respect de la protection de ses données. C’est pour cette raison que la loi Informatique et libertés a introduit en aval plusieurs droits au bénéfice de la personne concernée.

23

? En aval, lorsque le traitement est mis en œuvre, la loi crée, dans un souci de transparence, le droit de s’informer et d’accéder aux données. Ce droit se divise en deux éléments : d’abord, la personne a le droit de savoir si le responsable d’un traitement utilise des données à caractère personnel la concernant. Le refus non justifié, devant une demande correctement formulée, de donner cette information au requérant expose le responsable du traitement à une amende de 1 500 €. Ensuite, le droit de s’informer est complété par le droit d’accéder aux données traitées et d’obtenir, par conséquent, la communication d’un certain nombre d’informations permettant à la personne concernée de vérifier quelle est l’utilisation des données en cause [9][9] Sauf pour les cas exceptionnels prévus par la loi,.... Les informations demandées doivent être fournies de manière lisible.

24

Le responsable du traitement peut facturer le coût de la reproduction de données et décider de la possibilité de consulter les données sur place ou non. Grâce à ce droit d’accès, tout individu peut vérifier le caractère pertinent, adéquat et non excessif des données collectées et traitées au regard de la finalité poursuivie. De plus, la loi prévoit que la personne doit pouvoir comprendre la finalité retenue par le traitement. Ceci implique l’obligation de communiquer les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé.

25

Finalement, le dispositif encadré par l’article 39 de la loi Informatique et libertés, permettant le respect du principe de transparence, vient renforcer la protection : la reconnaissance du droit de rectification et même d’opposition est donnée à l’individu afin de pouvoir maîtriser les données traitées.

Quel lien entre données nominatives et identité ?

26

Le paysage règlementaire a été perturbé par l’adoption, dans la loi du 6 janvier 1978, du terme « données nominatives » et non « données à caractère personnel », ambivalence qui limitait dans la pratique la portée de ladite loi [10][10] CA Paris 27 avril 2007 et CA Paris 15 mai 2007. La modification des termes impliquait, non pas une modification du sens de la notion, mais un évitement d’éventuelles confusions. Cependant, il semblerait que ces termes fassent référence à la même réalité comme en attestent la Convention du Conseil de l’Europe du 28 janvier 1981 [11][11] Article 2 al 2 de la Convention pour la protection... ou la Directive de 1995 qui superposent les deux notions.

27

Dans ce contexte, comment évaluer le lien entre la donnée et l’identité ? En ce qui concerne le nom, le numéro de téléphone ou l’adresse, celui-ci est établi sans difficultés. Mais, pour le numéro NIR (numéro de sécurité sociale) ou celui du permis de conduire, la réponse n’est pas automatique. L’appréciation qui doit être faite du lien entre identité et donnée est marquée par de fortes différences d’interprétation manifestées par la Cnil, le Conseil d’État, la Cour de cassation et la Cour de justice de l’Union européenne (CJUE). L’opacité de la rédaction originale de l’article 4 de la loi de 1978 concernant cette notion de donnée nominative a été éclairée par sa modification de 2004 [12][12] Loi n° 2004-801 du 6 août 2004, qui prend en compte les données à caractère personnel. De cette manière, les données relatives à l’identité, à l’image, à la voix, à la santé et même au génome humain relèvent de ces données à caractère personnel opérant filiation avec la notion de vie privée.

28

Bien que la position des différentes instances précitées semble s’être harmonisée dans la pratique, la situation sur les données qui ne permettent qu’indirectement l’identification de la personne est plus complexe : le cas particulier de l’adresse IP en est le meilleur exemple. Sa reconnaissance par la Cnil et le Conseil d’État comme donnée à caractère personnel n’implique pas le même traitement par la Cour de cassation. Celle-ci ne s’est pas prononcée directement sur la question mais indirectement à travers deux décisions : l’une ne la reconnaît pas comme donnée à caractère personnel [13][13] CCassation crim., n°90-87555 du 23 mai 1991., l’autre lui accorde ledit caractère [14][14] CCassation crim., n°07-80267 du 4 avril 2007.. Finalement, la CJUE, par sa décision du 29 janvier 2008 [15][15] CJUE, n° C-275/06 du 29 janvier 2008., tranche la question en reconnaissant que l’adresse IP constitue bien une donnée indirectement nominative ou à caractère personnel au sens de la directive de 1995.

Des règlements européens pour accompagner l’évolution numérique

29

Les projets de directive [16][16] Projet de directive, COM(2012) 10 final, du 25/01/... et de règlement [17][17] Projet de règlement, COM(2012) 11 final, du 25/01/... européens sur l’utilisation de données à caractère personnel présentés le 25 janvier 2012 ont un double objectif. D’abord, tenir compte du fait que, depuis 1995, date de la dernière directive en la matière, l’environnement sociétal, économique et technologique a fortement changé : explosion d’Internet, multiplication des smartphones, utilisation de la géolocalisation, banalisation de la biométrie et de la vidéosurveillance, accumulation de l’information, diversification des modes de consommation qui mettent sérieusement en péril la protection des internautes. Ensuite, poser un cadre réglementaire adapté aux évolutions numériques et aux activités commerciales liées aux données à caractère personnel grâce auxquelles des entreprises comme Google, Twitter et Facebook ont bâti leur modèle économique. Cette initiative a reçu les compliments de Peter Hustinx, contrôleur européen de la protection des données.

30

Le projet de directive cherche à définir le cadre juridique de la protection des données à caractère personnel, traitées à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites, ainsi que d’activités judiciaires connexes ; quant au projet de règlement, qui abrogerait la directive de 1995, il définit un cadre juridique de protection des données à caractère personnel uniforme au sein de l’Union européenne et cherche à éviter des transpositions au sein de droits nationaux disparates [18][18] Le règlement a une portée générale. Il est obligatoire....

31

Selon le projet de règlement, la personne concernée devient quelqu’un d’identifiable y compris en utilisant des données géographiques ou un identifiant de connexion [19][19] Article 4 du projet de règlement.. Cette nouveauté fait entrer dans le champ de la vie privée l’adresse IP, les coordonnées GPS et l’adresse MAC, entre autres.

32

L’adoption de ces deux textes créera de fortes obligations, en renforcera d’autres, en même temps qu’elle facilitera le commerce des données à caractère personnel. De nouvelles règles du jeu s’imposeront aux entreprises : obtenir le consentement des personnes, en des termes clairs, pour recueillir leurs données à caractère personnel, leur expliquer comment ces données seront stockées, combien de temps et à quelles fins, et garantir le droit à l’oubli numérique [20][20] Articles 15 et 17 du projet de règlement. et le droit à la portabilité. Dans ce nouveau contexte, il est recommandé aux professionnels de la communication éditant des sites Internet de recruter des responsables chargés du respect de la protection desdites données.

33

En effet, les risques de dérive sont nombreux : capture frauduleuse de données, utilisation irréfléchie des outils sociaux, abus de certaines entreprises du Web, etc. L’exemple le plus avéré concerne Facebook qui convie ses utilisateurs à sacrifier leur vie privée en faveur de la communauté sociale. Google a aussi fait l’objet d’abondants débats : avec l’excuse de photographier les rues pour son service Street view, ses voitures récoltaient des informations privées sur les riverains via leurs réseaux wifi non sécurisés.

Un droit à l’oubli numérique

34

On constate donc l’apparition d’un droit à l’oubli numérique [3] dans l’ensemble des textes règlementant la collecte et la conservation des données personnelles [21][21] Article 17 du projet de règlement. Ses prémices étaient déjà présentes dans la loi française de 1978, qui entendait protéger la vie privée d’un individu contre le rappel intempestif de son passé douloureux.

35

Ce droit implique la non-dissémination des données à caractère personnel de la personne concernée qui pourra, en cas de dissémination publique, demander au responsable de traitement la suppression des informations ainsi que des copies et des liens pointant vers ces informations accessibles depuis tout moteur de recherche (protection implicite de l’e-réputation, actuellement objet de plusieurs colloques et débats [22][22] http://www.e-reputation-lecolloque.org).

36

Par ailleurs, le droit à la portabilité [23][23] Article 18 du projet de règlement de données à caractère personnel implique que la personne puisse disposer de ses données dans un format qui permette leur réutilisation sans que le responsable du traitement ne puisse s’y opposer. Cette disposition rend implicitement la propriété de ses données personnelles à l’utilisateur.

37

La proposition de règlement prévoit aussi des mesures en faveur des acteurs économiques du Web et de la commercialisation des données :

  • la simplification des démarches administratives et la mise en place d’un guichet unique pour les entreprises, qui dépendront uniquement de l’autorité de protection de la vie privée du pays où est installé leur siège européen [24][24] Article 51 du projet de règlement ;

  • la simplification de règles relatives aux transferts internationaux des données : dans le cas où le transfert est garanti par des règles contraignantes ou par des clauses contractuelles type de la Commission, l’autorisation préalable de l’autorité nationale compétente sera supprimée [25][25] Chapitre V du projet de règlement.

L’objectif de Bruxelles est clair : d’abord, éviter que les colosses d’Internet ne collectent des données à caractère personnel dans l’UE puis se soustraient à la législation communautaire en les stockant à l’étranger ; ensuite adapter la réglementation aux avances techniques en protégeant la vie privée des citoyens tout en assurant des règles propices aux activités des acteurs économiques du Web. La lutte contre le premier fléau (collecte des données sans se soumettre à la législation européenne) est la raison pour laquelle le champ d’application des droits et obligations a été étendu au-delà des frontières européennes [26][26] Article 2 du projet de règlement. Mais, paradoxalement, la protection qui en découle se caractérise par son efficacité limitée dans le contexte de la société de communication, paraissant ainsi illustrer la victoire de la communication sur le droit [23].

3 - L’ordre des pratiques: la permissivité découlant d’une protection définie par ses propres limites

38

Malgré les projets de directive et de règlement européens présentés en début d’année, diverses critiques montrent d’ores et déjà les contours des limites du succès d’une telle protection : « […] plusieurs aspects de la proposition ne répondent pas à l’exigence d’un niveau uniforme et élevé de protection des données » [11].

39

D’abord, le fait de centrer les pouvoirs de sanction dans le pays où se trouve le siège européen de l’entreprise irrespectueuse de la protection des données à caractère personnel. Cela signifierait, par exemple, que l’administration irlandaise traiterait aujourd’hui les dossiers de la plupart des géants du Web qui y ont installé leur siège européen à cause d’une fiscalité avantageuse, c’est-à-dire d’un manque d’harmonisation fiscale en matière d’impôts directs.

40

La règle de principe est claire : le texte des projets de directive et de règlement devra s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et qui proposent leurs services aux citoyens de l’Union. Mais que se passera-t-il si l’entreprise propose ses services dans l’Union européenne sans y être implantée ?

41

Ensuite, la volonté d’élargir le champ d’application des textes au-delà des frontières européennes a déjà montré ses limites et son inefficacité [24]. En réalité, cette « nouveauté », qui consiste à abolir la notion de frontière géographique dès lors qu’il s’agit de flux de données internationales pour permettre l’application de la norme juridique européenne, n’en est pas une. L’Union européenne a déjà mis en place un système analogue, toujours en vigueur, en matière de TVA applicable aux opérations internationales de téléchargements, qui s’est montré complètement inefficace [24].

42

En cas de litiges, les prestataires de services basés en dehors de l’Union européenne, comme certains réseaux sociaux, moteurs de recherche, sites de rencontre, etc., se retrancheront derrière les juridictions nationales parfois très laxistes à cause d’une régulation de protection des données faible voire inexistante. Comment maîtriser les activités des entreprises qui s’implantent dans un paradis de données à caractère personnel sans aucune représentation sur le sol européen ?

43

Finalement, le projet de règlement reconnaît aussi :

  • le droit à l’oubli numérique, qui obligerait les réseaux sociaux à supprimer les données à caractère personnel, photographies ou autres, des utilisateurs qui le demanderont ;

  • et le droit à la portabilité des données à caractère personnel qui doit permettre à la personne de gérer elle-même ses données en lui permettant de les porter d’un système à un autre : elle demeure propriétaire de ses données personnelles et, par conséquent, détient le contrôle des données déjà divulguées.

Une démarche inefficace

44

Mais quel sera l’impact d’une telle mesure devant Twitter, Google et Facebook ? Il est permis de douter de son efficacité.

45

À titre d’exemple, Facebook agit de telle façon qu’elle est propriétaire des données publiées et conserve de façon systématique sur ses serveurs toutes les données à caractère personnel alors même que la personne concernée ferme son compte : à tort pour le droit européen mais non pour le droit américain. Le respect du droit à l’oubli numérique et du droit à la portabilité des données à caractère personnel ne concerne que les acteurs communautaires ou les acteurs étrangers qui disposent d’une représentation dans l’Union européenne (et encore…).

46

L’apparition du cloud, exemple parfait de la victoire de la communication sur le droit, implique que les données à caractère personnel des particuliers ne soient plus concentrées sur un ordinateur privé mais sur des centres de données distants auxquels les usagers accèdent au travers d’Internet. C’est le prestataire de cloud, le plus souvent situé hors de l’Union européenne, qui garde un certain contrôle sur les traitements des données et qui se situe ainsi entre le responsable de traitement et le sous-traitant passif : il joue un rôle difficile à cadrer. Comment imaginer que ces entreprises se soumettront volontairement au droit européen de protection des données ?

47

L’utilisation d’un guichet unique devrait aider à déterminer l’autorité administrative compétente pour effectuer les démarches : celle du pays où se trouve l’établissement principal de l’entreprise. Mais l’utilisation d’un guichet unique a déjà dévoilé ses limites [24] et son application avec le prestataire de cloud s’avère inefficace : la notion d’établissement principal reste ambiguë. L’environnement technique et organisationnel produit par le cloud met en échec toute protection des données à caractère personnel transférées hors de l’UE. Des données peuvent être protégées dans un pays, voire même dans un groupe de pays (UE), et conjointement être privées de toute protection dans un autre (Paraguay par exemple) ou dans un autre groupe régional (Mercosur), ces territoires étant de fait transformés en paradis de données personnelles. Alors, « quel arbitrage établir quand la loi d’un pays contredit celle d’un autre pays ? » [18].

Un monde sans frontières

48

Internet permet que les opérations de collecte, d’utilisation et de commerce de données privées ne connaissent pas de frontières. La rapidité et les particularités de circulation des données favorisent cette internationalisation. Dans ce contexte, comment revendiquer la législation communautaire de manière légitime et efficace face au reste du monde ? Le Web conduit à s’interroger sur l’efficacité d’une régulation non adaptée en raison de l’architecture et du caractère planétaire de la circulation des données. Internet échappe au cadre de l’État-nation et des blocs d’intégration régionale. La Toile est le domaine par excellence du global, de l’extraterritorial et de l’immatériel, dépassant les dimensions territoriales des règles de droit nationales ou régionales.

49

Un autre facteur de perturbation réside dans le fait qu’Internet n’est administré par aucune autorité et qu’il traverse les frontières sans aucun contrôle, ou avec plusieurs contrôle(s). Le constat le plus problématique est qu’il y a pléthore de droits applicables. En effet, « le réseau n’a pas de centre fixe ou unique, d’où le principe de la mobilité des centres » [25]. Il y a donc un décalage important entre le droit tel qu’il a été conçu et la réalité du monde actuel [7] en ce qui concerne la protection des données personnelles sur les réseaux globaux. Le lien direct existant encore aujourd’hui entre les notions d’État, de souveraineté, de droit et de territoire est, évidemment, mis à mal de façon flagrante par avec la réglementation applicable en matière de protection de données à caractère personnel.

50

L’environnement électronique ne contient aucune référence géographique. Ceci est dû, d’une part, à la structure même d’Internet qui se caractérise par sa complexité : les ordinateurs sont reliés par l’utilisation du protocole de communication TCP/IP et chaque ordinateur possède une adresse IP, dynamique ou statique, qui l’identifie lors de ses connexions : qu’il s’agisse de l’identification et de la localisation du réseau auquel l’ordinateur de l’internaute est connecté ou des informations concernant l’identification dudit ordinateur ; et, d’autre part, à son fonctionnement : les « paquets » ou datagrammes, dont la fragmentation et la reconstitution sont effectuées par le protocole TCP, voyagent de façon indépendante grâce à l’action de routeurs qui les acheminent dans un ordre aléatoire en fonction du réseau du destinataire et non de l’adresse IP de l’ordinateur du destinataire, cette dernière ayant seulement pour mission de les faire arriver à destination.

51

Ce contexte technologique engendre des situations rebelles à toute protection de données à caractère personnel, en raison notamment des difficultés de rattachement à une réglementation déterminée, et la naissance corrélative de paradis de captation de ces données. Comment peut-on ne pas s’interroger sur la capacité de l’Union à protéger la vie privée des internautes ? Deux conceptions en outre s’opposent lorsqu’il s’agit d’envisager les modalités de protection des données personnelles. Aux États-Unis, certains souhaiteraient que l’on applique le copyright à ces fichiers alors qu’au sein de l’UE, ces données restent la propriété de la personne dont elles émanent, le créateur du fichier n’étant qu’un simple dépositaire. Ces divergences aggravent considérablement la possibilité d’un éventuel consensus en matière de protection de ces données.

La transition d’un paradigme à un autre

52

Les particularités techniques d’Internet impliquent alors la mise en œuvre d’une conception réglementaire qui déterritorialise les espaces physiques. Ainsi, le développement d’Internet a modifié en profondeur la protection de la vie privée des individus tant au niveau du protecteur (l’État) que des outils juridiques auxquels il avait recours. La situation actuelle se présente comme une période de crise, caractéristique d’un environnement de transition d’un paradigme à l’autre. Le « réseau des réseaux » met en cause la hiérarchie des valeurs de stabilité institutionnelle et permet d’apercevoir une nouvelle hiérarchie globale.

53

Comment lutter efficacement contre ce problème avec des outils - comme le droit national, communautaire ou international - conçus pour un monde limité par des frontières physiques ? Plusieurs formules ont certes été conçues : « […] la reconnaissance des capacités d’autorégulation des communautés locales et des capacités d’ordonnancement du collectif » [6] ; « […] une perspective de corégulation faible ou forte » [15] ; « […] l’enjeu d’une multirégulation » [16] ; « […] l’élaboration de solutions collectives de coordination » [4].

54

Cependant, ces alternatives ne prennent pas davantage en compte l’aspect planétaire du Web alors que la gouvernance du réseau exige une « approche procédurale de la régulation » [17 ; 26]. La nouvelle réalité créée par Internet rend possible les prémices d’un « droit sans territoire ». Un nouveau paradigme permettrait de repenser, selon une optique globale, les rapports entre l’État, les blocs d’intégration régionale et le droit de protection de la vie privée des individus. Il semblerait que de cette crise du modèle pyramidal classique émerge lentement un nouveau paradigme lié à l’idée de « droit en réseau » ou de « droit global ».

55

Pour être efficace, la protection des données à caractère personnel doit nécessairement revêtir une dimension transnationale : à un phénomène global doit correspondre une régulation globale. Sur le plan international cependant, la prise de conscience de l’importance d’un tel niveau de protection a été difficile :

  • l’OCDE a adopté un texte selon lequel elle édicte plusieurs « recommandations sous forme de lignes directrices » [19] ;

  • l’ONU, se basant sur des textes précédents, a élaboré les Principes directeurs pour la réglementation des fichiers informatiques contenant des données à caractère personnel[27][27] Adoptés par la résolution de l’assemblée générale n°... ;

  • le Conseil de l’Europe a établi, le 28 janvier 1981, la première convention d’envergure qui établit l’interdiction de la communication de données avec des États qui n’ont pas adopté une protection des données à caractère personnel ;

  • la Commission européenne a émis en 2010 une communication intitulée « Une approche globale de la protection des données à caractère personnel dans l’Union européenne » [28][28] http://ec.europa.eu/justice/news/consulting_public... ;

  • enfin, le Parlement européen s’est prononcé, par sa Résolution du 6 juillet 2011, en faveur d’une protection globale des données à caractère personnel [29][29] Résolution n°2011/2025. Considérant les dispositions établies dans l’article 16 du Traité sur le fonctionnement de l’Union européenne sur la reconnaissance de la protection des données à caractère personnel [30][30] Article 8. comme droit fondamental et du droit au respect de la vie privée en tant que droit autonome [31][31] Article 7, le Parlement européen s’engage officiellement dans une approche globale. Enfin, il invite la Commission européenne à renforcer les principes et les éléments en vigueur tels qu’ils sont énoncés dans la directive 95/46/CE - les principes de transparence, de consentement en connaissance de cause, préalable et explicite, de notification de violation des données et le droit des personnes concernées d’accéder aux données qui ont été collectées à leur sujet - en améliorant leur mise en œuvre en ce qui concerne l’environnement en ligne global.

La Commission européenne et le Parlement européen reconnaissent aussi la nécessité du caractère global des mesures protectrices et le besoin d’un renforcement des actions internationales avec les pays tiers, les organisations internationales (ONU, Union européenne, OCDE) et les organismes de normalisation (Comité européen de normalisation, Organisation internationale de normalisation, Consortium World Wide Web (W3C) et Internet Engineering Task Force). Cette approche cherche à encourager le développement de normes internationales (en accord avec la Déclaration de Madrid d’octobre 2009 et avec la Conférence internationale des commissaires à la protection des données et de la vie privée de Jérusalem en octobre 2010).

56

Dans la mesure où le droit n’offre pas encore de solution pour protéger efficacement les données à caractère personnel, on peut parler de phase d’apprentissage, ou d’ajustement. Le fait est que la technique progresse si rapidement que les solutions proposées ont toujours un temps de retard.

57

Quelle doit être désormais l’architecture règlementaire pour une protection efficace des données personnelles ? « Pour saisir ce défi, l’analogie avec un nouveau continent - le sixième continent - reste l’image la plus parlante : il faut penser, organiser et mettre en place dans l’espace numérique une gouvernance qui ne se conçoit, à terme, qu’au niveau de la communauté internationale » [14]. L’explosion d’Internet a ainsi changé la manière d’envisager le droit et en particulier la réglementation en matière de protection de données à caractère personnel. Selon Thomas Samuel Kuhn, un jour se produiront des anomalies, des faits d’observation qui ne cadreront plus avec le modèle explicatif et qui provoqueront la mise en cause du paradigme jusque là dominant. L’application de la théorie du changement de paradigme à la situation actuelle de crise identitaire de la réglementation en matière de protection de données à caractère personnel dans le nouveau contexte posé par Internet permet de mesurer les transformations de l’État, de la société et du droit [12] : « Désintégré sous la pression qui le force à s’ouvrir, le monde vécu doit se refermer, mais de telle façon que ses horizons s’en trouvent élargis »[10].


Références

  • 1 –  Muriel AMAR, Bruno MENON (sous la dir.). « Web sémantique, web de données… quelle nouvelle donne ? ». Dossier. Documentaliste-Sciences de l’information, 2011, vol. 48, n°4, p. 20-61
  • 2 –  Michèle BATTISTI. « Internet pour le droit ». Compte rendu : Sixième conférence internationale, ADBS-ADIJ-Juriconnexion-LexUM, Paris, 3-5 novembre 2004. Documentaliste-Sciences de l’information, 2005, vol. 42, n°1, p. 31-41
  • 3 –  Michèle BATTISTI, Michèle LEMU. « Idt/Net 2002 : sous le signe de l’information numérique ». Compte rendu. Documentaliste-Sciences de l’information, 2002, vol. 39, n°4-5, p. 219-226
  • 4 –  Éric BROUSSEAU. « Régulation de l’Internet. L’autorégulation nécessite-t-elle un cadre institutionnel ? » Revue économique, 2001, vol. 52, n° 1, p. 349-377
  • 5 –  Jean-Philippe CHALLINE. « Les techniques de modélisation de la connaissance dans le domaine du droit ». Documentaliste-Sciences de l’information, 2002, vol. 39, n°4-5, p. 182-188
  • 6 –  Michel C. DORF et Charles F. SAHEL. « A Constitution of Democratic Experimentalism ». Columbia Law Review, 1998, n°2, p. 267-473
    http://scholarship.law.cornell.edu/facpub/120
  • 7 –  Mélanie DULONG DE ROSNAY. « La diffusion des informations sur les réseaux : interaction entre droit et technique ». Documentaliste-Sciences de l’information, 2008, vol. 45, n°1, p. 28-29
  • 8 –  Bernadette FERCHAUD. « La diffusion des données publiques : état de l’art ». Compte rendu : Journée d’étude du GFII, Paris, 25 mars 2002. Documentaliste-Sciences de l’information, 2002, vol. 39, n°3, p. 134-137
  • 9 –  Bernadette FERCHAUD. « Quels modèles gagnants pour le marché de l’information sur Internet ? ». Compte rendu : Journée d’étude du GFII, Paris, 18 mai 2001. Documentaliste-Sciences de l’information, 2001, vol. 38, n°2, p. 132-135
  • 10 –  Jürgen HABERMAS. Après l’État-nation, une nouvelle constellation politique. Fayard, 2000, p. 81-82
  • 11 –  Peter HUSTINX. « Le CEPD se réjouit du renforcement du droit à la protection des données en Europe, mais regrette une nouvelle fois l’absence d’approche globale ». Europa.eu, 7 mars 2012
    http://europa.eu/rapid/press-release_EDPS-12-7_fr.htm
  • 12 –  Thomas S. KUHN ; trad. Laure Meyer. La structure des révolutions scientifiques. Flammarion, 1983, p. 82-83
  • 13 –  Philippe LEFÈVRE. « Les portails d’accès à l’information », Documentaliste-Sciences de l’information, 2001, vol. 38, n°3-4, p. 188-196
  • 14 –  Alain LE GOURRIEREC. « Internet : réseaux globaux, gouvernance internationale ». Les Cahiers du numérique, 2002, vol. 3, n°2, p. 185
  • 15 –  Volker LEIB. « Das Ende der Souveränität ? Politik und Internet zwischen Selbst-, Re- und Ko-Regulierung ». Conférence pour la première réunion du groupe d’étude ICANN, Leipzig, 30-31 mars 2000
    http://www.icann-studienkreis.net/conf/leipzig2000/vleib.htm
  • 16 –  Marc MAESSCHALCK, Tom DEDEURWAERDERE. « Procéduralisation des normes, téléorégulation et gouvernance de l’internet ». Les Cahiers du numérique, 2002, vol. 3, n°2, p. 58
  • 17 –  James G. MARCH. « Bounded Rationality, Ambiguity and the Engineering of Choice », Bell Journal of Économics, 1978, vol. 9, n°2, p. 587-608
    http://teaching.p-design.ch/2006/DADT/March1978.pdf
  • 18 –  Françoise MASSIT-FOLLÉA. « De la régulation à la gouvernance de l’internet ». Les Cahiers du numérique, 2002, vol. 3, n°2, p. 240
  • 19 –  OCDE. « Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel ». Recommandation, 23 septembre 1980.
  • 20 –  Yan PADOVA, Charles MOREL. « Droit des fichiers, droits des personnes. Seconde partie ». Gazette du palais, 2004, n°11 à 13, p. 2 et s.
  • 21 –  Étienne PICARD. « L’émergence des droits fondamentaux en France ». AJDA, 1998, n° spécial, p. 6 et s.
  • 22 –  Alain RALLET, Fabrice ROCHELANDET. « La régulation des données personnelles face au web relationnel : une voie sans issue ? ». Réseaux, 2011, vol. 3, n°167, p. 45
  • 23 –  Serge REGOURD. « Le droit aux risques de la communication ». In : Les théories de la communication. Télérama : CinémAction/SFIC, 1992, p. 97
  • 24 –  Nicolas TILLI. La taxation indirecte du commerce électronique direct. Éditions universitaires européennes, 2008
  • 25 –  Pierre TRUDEL. « L’exercice de la liberté d’expression dans le cyberespace : le défi d’assurer l’application effective des droits proclamés ». Intervention au colloque international « La liberté d’expression dans la société de l’information », organisé par la Commission française pour l’Unesco en coopération avec l’Unesco, Paris, 15 et 16 novembre 2002
  • 26 –  Amos TVERSKY, Daniel KAHNEMAN. « Rational Choice and the Framing of Decision ». The Journal of Business, 1986, vol. 59, n°4, pt 2, p. 251-278
    http://www.jstor.org/stable/2352759
  • 27 –  Michel VIVANT. « Internet et modes de régulation ». Cahiers du CRID, 1997, n°12, p. 215

Notes

[1]

Par exemple, dans l’affaire opposant le magasin Tati au webmestre du site Kiteto en février 2002.

[2]

Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, n° 108 du 28 janvier 1981.

[3]

Considérant les accords bilatéraux passés par l’Union européenne avec différents pays en matière de sécurité de données à caractère personnel comme par exemple l’Argentine.

[4]

Décisions DC 83-164 de 1983, DC 84-184 de 1984, DC 90-281 de 1990, DC 93-316 de 1993, DC 95-352 de 1995, DC 96-377 de 1996 et DC 97-389 de 1997.

[5]

La révélation dans les années 70 d’un projet du gouvernement (projet Safari) d’identifier chaque citoyen par un numéro et d’interconnecter tous les fichiers de l’administration créa une vive émotion dans l’opinion publique. Source : http://www.cnil.fr/vos-droits/histoire

[6]

Par la loi n° 78-17 du 6 janvier 1978

[7]

Directive n° 95/46/CE du 24 octobre 1995.

[8]

L’absence de déclaration entraîne la clandestinité du traitement (article 22 de la loi du 6 janvier 1978).

[9]

Sauf pour les cas exceptionnels prévus par la loi, relevant de la sûreté de l’État, la défense ou la sécurité publique (article 41 de la loi du 6 janvier)

[10]

CA Paris 27 avril 2007 et CA Paris 15 mai 2007

[11]

Article 2 al 2 de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, n° 108 du 28 janvier 1981

[12]

Loi n° 2004-801 du 6 août 2004

[13]

CCassation crim., n°90-87555 du 23 mai 1991.

[14]

CCassation crim., n°07-80267 du 4 avril 2007.

[15]

CJUE, n° C-275/06 du 29 janvier 2008.

[16]

Projet de directive, COM(2012) 10 final, du 25/01/2012.

[17]

Projet de règlement, COM(2012) 11 final, du 25/01/2012.

[18]

Le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre. La directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens.

[19]

Article 4 du projet de règlement.

[20]

Articles 15 et 17 du projet de règlement.

[21]

Article 17 du projet de règlement

[23]

Article 18 du projet de règlement

[24]

Article 51 du projet de règlement

[25]

Chapitre V du projet de règlement

[26]

Article 2 du projet de règlement

[27]

Adoptés par la résolution de l’assemblée générale n° 45/95 du 14 décembre 1990.

[29]

Résolution n°2011/2025

[30]

Article 8.

[31]

Article 7

Résumé

Français

Cette étude de Nicolas Tilli propose d’abord un état des lieux du cadre législatif européen et français qui entoure la gestion des données personnelles puis met en avant les préoccupations des théoriciens et professionnels de la communication en ce qui concerne la protection de ces données. L’arsenal règlementaire actuel semble en effet en inadéquation avec la réalité complexe de la libre circulation sur les réseaux des données à caractère personnel. L’auteur invite alors à s’interroger sur une nouvelle articulation des mécanismes de protection de celles-ci. Pour ne pas aboutir à la situation où la protection de la vie privée deviendrait elle-même un marché à la charge du consommateur, de nouvelles formes de régulation de la communication électronique doivent être envisagées. Car le processus résultant des caractéristiques techniques de la communication électronique bouleverse les règles traditionnelles de protection des données, et oblige à reconsidérer la notion même de donnée à caractère personnel et à repenser un modèle global qui réponde à une nouvelle logique de gouvernance du Web.

English

Personal data protectionThis study by Nicolas Tilli starts with a description of the European and French legislative framework for managing personal data and describes the concerns of both communication theorists and professionals regarding personal data protection. The current regulatory framework no longer meets the challenges presented by the complex reality of the free flow of data on personal data networks. The author opens the debate on new mechanisms for protecting personal data. New forms of electronic communication regulation are required if we are to avoid the development of a marketplace where the consumer pays the cost of protecting his own privacy, The process resulting from the technical nature of electronic communications have upset traditional rules of data protection, forcing us to reconsider the very notion of “data of a personal nature” and to find a new global model that is consistent with web governance.

Español

La protección de los datos tiene carácter personalEste estudio de Nicolas Tilli propone, en primer lugar, un inventario del marco legislativo europeo y francés que rodea a la gestión de los datos personales y destaca las preocupaciones de teóricos y profesionales de la comunicación en lo que respecta a la protección de estos datos. En efecto, el arsenal reglamentario actual parece inadecuado con respecto a la compleja realidad de la libre circulación en las redes de datos de carácter personal. El autor invita a preguntarse por una nueva articulación de los mecanismos de protección de los datos. Para no llegar a la situación en la que la propia protección de la vida privada se convirtiera en un mercado a cargo del consumidor, deben preverse nuevas formas de regulación de la comunicación electrónica. Porque el proceso resultante de las características técnicas de la comunicación electrónica revoluciona las normas tradicionales de protección de los datos y obliga a reconsiderar la noción misma de dato de carácter personal y a reconsiderar un modelo global que responda a una nueva lógica de control de la Web.

Deutsch

Datenschutz von personenbezogenen DatenDiese Studie von Nicolas Tilli stellt zunächst den Stand der europäischen und französischen rechtlichen Rahmenbedingungen dar,, die das Management personenbezogener Daten betrifft. Anschliessend beschreibt er die Sorgen der Theoretiker und der Experten der Kommunikation in Bezug auf den Schutz dieser Daten. In der Tat scheinen die derzeitigen regulierenden Texte nur bedingt geeignet, der komplexen Realität der freien Weitergabe personenbezogener Daten im Netz gerecht zu werden. Daher lädt der Autor dazu ein, sich mit einer neue Ausprägung ihrer
Schutzmechanismen zu beschäftigen. Neue Formen der Regulierung elektronischer Kommunikation müssen vorgesehen werden, damit es nicht zu einer Situation kommt, in der der Schutz des Privatlebens ein Markt wird, der zu Lasten des Verbrauchers geht. Denn die Prozesse, die sich aus den technischen Charakteristika der elektronischen Kommunikation ergeben, stossen die traditionellen Regeln des Datenschutzes um. Sie erfordern, dass der eigentliche Begriff von personenbezogenen Daten neu überdacht wird und ein globales Modell entwickelt wird, das der neuen Logik der Web Governance angepasst ist.

Plan de l'article

  1. 1 - Problématique
    1. Une règlementation européenne exemplaire mais inefficace hors ses murs
    2. Réinventer les règles du jeu
  2. 2 - L’ordre des représentations: le nécessaire respect d’un droit fondamental
    1. La loi Informatique et libertés
    2. Quel lien entre données nominatives et identité ?
    3. Des règlements européens pour accompagner l’évolution numérique
    4. Un droit à l’oubli numérique
  3. 3 - L’ordre des pratiques: la permissivité découlant d’une protection définie par ses propres limites
    1. Une démarche inefficace
    2. Un monde sans frontières
    3. La transition d’un paradigme à un autre

Pour citer cet article

Tilli Nicolas, « La protection des données à caractère personnel », Documentaliste-Sciences de l'Information, 3/2013 (Vol. 50), p. 62-69.

URL : http://www.cairn.info/revue-documentaliste-sciences-de-l-information-2013-3-page-62.htm
DOI : 10.3917/docsi.503.0062


Article précédent Pages 62 - 69 Article suivant
© 2010-2014 Cairn.info
back to top
Feedback