La CNIL voit loin
Entre les sites de réseautage sociaux et les moteurs de recherches qui récoltent les données d’utilisateurs, difficile de ne pas être méfiant. C'est là qu'interviennent les autorités de protections des données personnelles européennes.
Le 3 décembre 2010, des négociations entre l'Europe et les États Unis ont débuté concernant la protection des données personnelles échangées dans le cadre d'une coopération de police ou judiciaire. Ces accords ont une applicabilité restreinte et ne concernent pas la majorité des usagers. Toutefois, leur retentissement pourrait être important et dépasser largement leur champ d'application immédiat.
En effet les autorités européennes souhaiteraient que cet accord serve d'"accord parapluie", et permette donc de couvrir les accords existants et à venir. Les autorités nationales profitent de l'occasion pour rappeler que cet accord doit à tout prix respecter les bases de la protection des données personnelles en Europe (non seulement la directive 95/46/CE, mais aussi la charte européenne des droits fondamentaux).
Les autorités nationales craignent que l'accord futur ne serve de base pour les échanges de données entre les états membres de l'Union Européenne et les États-unis ; or il serait plus souhaitable qu'il se borne à gouverner les principes généraux de la protection de données. Les Commissions ont de quoi s'inquiéter au vu de l'échec des négociations sur le TFTP II (Transfer of Financial messaging data from the european union to the united states for purposes of the Terrorist finance tracking Program) qui permettait aux États-Unis d'accéder à des informations sur les transferts bancaires internationaux (la fameuse affaire SWIFT).
Il sera donc nécessaire de prévoir des gardes barrières pour ce nouvel accord, dont :
- la possibilité pour tout individu, de faire valoir ses droits, incluant réparations administratives ou judiciaires.
- des règles strictes pour les transferts depuis l'UE vers d'autres pays (ou les services US non membres du Safe Harbour) qui ne respectent pas la loi.
- un système d'évaluation et d'avis conjoints à la fois du futur accord en question, et des accords bi-latéraux et multi-latéraux en découlant.
Les deux premiers gardes fous s'appliquent aussi bien aux accords internationaux qu'au monde de l'entreprise. Qu'il s'agisse de relation entre entreprises, avec des clients ou même de relations internes à l'entreprise, les usages des données personnelles sont très nombreux. Souvent ils peuvent paraître banaux. Pour autant, ils nécessitent une certaine rigueur et dans la plupart des cas une intervention de la CNIL.
En France, la CNIL multiplie les efforts pour assurer la protection des données personnelles. Elle tente même de sensibiliser les jeunes usagers de l'Internet au problème par la création d'un site qui leur est destiné : www.jeunes.cnil.fr/. On y retrouve des quizz, des modules de formations, et même un jeu (www.2025exmachina.net)... tout y est mis en oeuvre pour faire comprendre aux jeunes utilisateurs les dangers de communiquer ses données personnelles.
Outre cette volonté de sensibiliser le jeune public, la CNIL propose de nouveaux services en ligne pour améliorer la protection des données personnelle. Le site internet s'étoffe : depuis juin dernier il est possible de « signaler le non-respect, par un responsable de fichier (ex. : votre employeur, votre banquier, votre médecin, votre CAF, etc.), [du] droit d'obtenir communication [de ses données personnelles] (droit d'accès). [Le site] permet aussi de faire respecter [son] droit d'opposition à recevoir de la publicité nominative. » Ce service permet donc à l'usager de déposer une plainte en ligne si il estime que le droit d'accès à ses données personnelles ou celui de ne pas recevoir de la publicité, n'est pas respecté.
Depuis quelques mois, le service s'est doté d'une véritable nouveauté. Il est à présent possible de déposer une plainte en ligne afin d'obtenir la suppression de données personnelles. Toutefois il faudra que l'utilisateur se soit adressé en premier lieu directement au responsable du traitement, et qu'il n'ait pas obtenu satisfaction dans un délai de deux mois.
Dans ces conditions, il est nécessaire pour toute entreprise (au sens large, et incluant donc aussi les associations et entrepreneurs) de se soucier du traitement qu'elle apporte aux données personnelles. Ne pas s'en soucier c'est courir le risque (de plus en plus important) d'avoir à affronter une plainte auprès de la CNIL.
Une telle plainte peut aboutir à une sanction pécuniaire, de 150.000€ maximum, ou à une injonction de cesser le traitement. En cas de récidive, les sanctions seront bien évidemment augmentées.
En tout état de cause, une sanction même minime, pourrait largement porter atteinte à l'image de l'entreprise. En effet les problématiques « données personnelles » étant de plus en plus médiatisées, l'entreprise pointée du doigt par la CNIL perdra nécessairement la confiance de ses clients.