Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Jessica Eynard
Mission commune d'information sur la gouvernance mondiale de l'Internet — Réunion du 15 avril 2014 à 14h35
Audition sous forme de table ronde de mmes céline castets-renard professeur à l'université toulouse i capitole co-directrice du master 2 « droit et informatique » jessica eynard docteur en droit auteur de les données personnelles quelle définition pour un régime de protection efficace ? 2013 et valérie peugeot vice-présidente du conseil national du numérique présidente de l'association vecam et prospectiviste à orange labs et de M. Francesco Ragazzi chercheur associé au centre d'études et de recherches internationales ceri de sciences po paris et maître de conférences à l'université de leiden pays-bas.
Les données personnelles, sur lesquelles je centrerai mon propos, sont devenues un moteur de l'économie. Ce sont souvent les actifs les plus valorisés au sein des entreprises. C'est dire qu'autant il serait illusoire de militer pour une interdiction de leur exploitation, autant il importe d'encadrer leur utilisation, et d'autant plus que le contenu de ce que l'on appelle les données personnelles a beaucoup évolué. Quand, dans les années 1970, il ne s'agissait que de données d'état civil, les informations susceptibles d'être aujourd'hui collectées donnent une appréhension de plus en plus large des éléments constitutifs de la personne - données biométriques, physiologiques, mais aussi comportementales, grâce au prélèvement de traces qui servent à créer un profil dans lequel on enferme l'individu, et qui peut servir à fonder des décisions graves, ainsi que vient de le rappeler Francesco Ragazzi en évoquant les algorithmes par lesquels la NSA dresse des liste cibles militaires potentielles.
Cette évolution s'est accompagnée d'une perte de la maîtrise intellectuelle des individus sur l'information les concernant. Chacun a une empreinte génétique, mais ne la comprend pas pour autant, pas plus que l'on ne comprend les données présentes dans nos cookies ou les fichiers de nos logs. Comment protéger soi-même ce que l'on ne comprend pas ? C'est bien là la faille du système : on fait reposer le régime de protection sur un individu qui est incapable de connaître et de comprendre les données recueillies à son sujet. Comment faire jouer un droit de rectification face à un algorithme ? Comment prouver qu'une adresse IP n'est pas la sienne ?
C'est la raison pour laquelle il me semble que si l'individu doit conserver son rôle dans la protection, il ne peut plus en être le centre, et que d'autres acteurs, capables d'appréhender les données traitées et disposant d'outils spécifiques de protection, doivent prendre le relai. L'Europe a là un rôle à jouer. Il s'agit de renforcer de tels acteurs et de les doter d'outils opérationnels.
Quels peuvent être ces acteurs de la protection ? On pense bien sûr, en premier lieu, aux autorités de contrôle. Cependant, leurs pratiques restent encore très hétérogènes, et mériteraient d'être harmonisées - le projet de règlement va, de ce point de vue, dans le bon sens. Il importe également de leur assurer une réelle indépendance, y compris à l'égard des pouvoirs publics, et de revoir leur mode de financement, afin que le contrôle soit effectif quel que soit le responsable de traitement.
Ces autorités, enfin, ne peuvent agir seules, eu égard à la multiplicité des données et des moyens de collecte et de traitement. Elles ont besoin de s'appuyer sur un acteur de proximité. C'est le rôle, en France, du délégué à la protection des données ou du correspondant informatique et libertés. Doit-il être obligatoire, pour les entités traitant des données personnelles, de désigner un tel correspondant ? Le débat demeure. Pour les uns, un tel mécanisme ne sera efficace que s'il reste un engagement volontaire des responsables de l'entité concernée. Pour les autres, dont je suis, il faut clairement le rendre obligatoire - chose d'autant plus aisée que le régime, qui autorise mutualisation et temps partiel, est flexible - contrairement à ce que retient le projet de règlement, qui prévoyant des seuils et distinguant selon la nature de l'information traitée, limite les cas où cette désignation serait rendue obligatoire. Pour s'assurer de l'efficacité de cet acteur, il faut en outre qu'existe un contrôle des moyens qui lui sont conférés pour exercer sa mission.
Le bilan de la CNIL, qui constate que les structures dotées d'un correspondant sont plus respectueuses des règles de la loi informatique et libertés plaide en faveur de cette généralisation.
Un rôle devrait également être reconnu aux associations de protection représentatives de personnes dont les données sont traitées. L'individu est seul face aux professionnels de la collecte. Que des associations puissent l'aider dans ses démarches ne saurait être que bénéfique.
Au plan international, les choses sont plus complexes. On se trouve face à un patchwork d'entités et de textes peu contraignants, peu protecteurs ou qui n'ont été ratifiés que par peu de pays. Pour avoir du poids, l'Europe doit parler d'une seule voix et militer, dans les enceintes internationales, pour que la Convention 108 du Conseil de l'Europe soit plus largement ratifiée ou pour que soit adopté un instrument international plus contraignant, respectueux des principes fondateurs de sa législation. Elle gagnerait, dans cette perspective, à se rapprocher des Etats dépourvus de régime de protection ou faiblement protégés, afin d'exporter son modèle. Il existe déjà une association francophone des autorités de protection ; il faudrait faire de même au niveau européen.
Les outils à promouvoir doivent être à la fois juridiques et techniques. Les outils juridiques doivent reposer sur un texte intelligible, appliqué de façon large et homogène. C'est pourquoi le projet de règlement européen, dont la négociation piétine depuis deux ans, doit être adopté sans tarder. Car comment imposer nos principes si nous ne sommes pas même capables de nous entendre ?
Reste le problème du contrôle hors Union européenne. Le contrôle en ligne, tel qu'autorisé par la loi sur la consommation, est peut-être un début de réponse. Il a permis à la CNIL d'effectuer des contrôles, qui, certes, ne peuvent être très approfondis, mais qui permettent de faire un tri.
Les contrôles, enfin, doivent aboutir à des sanctions qui, pour être dissuasives, mériteraient d'être alourdies. Cela exige aussi d'homogénéiser des pratiques qui demeurent très disparates en Europe. Ainsi, la CNIL, qui ne sanctionne qu'en dernier recours, par souci de pédagogie, reste plus frileuse que d'autres autorités, qui sanctionnent plus vite. L'obligation de publication des décisions, très dissuasive en ce qu'elle nuit à l'image de l'entreprise, est aussi une arme à ne pas négliger. Google n'a guère apprécié de devoir publier sa condamnation sur sa page d'accueil...
Les autres outils juridiques envisagés, enfin, posent encore une série de problèmes : les codes de conduite seront-ils ou non contraignants ? Les labels ? Ils exigent de développer de multiples référentiels.
J'en viens aux outils techniques, qui trouvent un nouvel essor avec le principe de privacy by design, protection à la conception, qui consiste à concevoir les technologies, les produits, les traitements, les services, en considération des règles protectrices de la vie privée. Ainsi peut-on imaginer des systèmes de purge automatique des données. Le principe est intéressant, car il ne repose pas sur l'individu mais sur le concepteur. Mais on peine à voir comment il se matérialisera. Mettra-t-on en place des référentiels ou chacun pourra-t-il agir à sa guise ? Il reste encore, sur ce sujet, un gros travail à effectuer.
