Protection de vos données personnelles : le droit face à l'appétit des moteurs de recherche
Dans son rapport d’activité pour l’année 2012, la CNIL constate un nombre historique de plaintes, témoignant de l’intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question.
A l’occasion de la publication de son rapport d’activité pour l’année 2012, la CNIL vient de constater un nombre historique de plaintes reçues, témoignant de l’intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question. Le développement du numérique augmente corrélativement la crainte des individus qui ne souhaitent pourtant pas renoncer à ses services. Ils craignent de ne pas maîtriser leurs traces, la mise en place d’une société de contrôle et de surveillance et finalement de voir cette modernité se retourner contre eux. L’affaire du « bug » de Facebook en septembre 2012 est une confirmation des risques inhérents à la communication de données personnelles sur le Net. La généralisation de la Timeline avait fait penser aux utilisateurs que des messages anciens devenaient visibles, ce qui n’était finalement qu’une confusion.
De l’autre côté pour les entreprises
dont l’activité est essentiellement numérique, les données personnelles
qu’elles utilisent, par exemple pour dresser des fichiers clients, peuvent
constituer une valeur commerciale voire un actif financier, et un avantage
concurrentiel. Il en va de leur responsabilité sociale de respecter les règles
fixées par la CNIL en la matière.
Actuellement, la loi Informatique et
libertés ainsi que la directive européenne 95/46CE, considèrent que les données
sont la propriété de l’entreprise qui les détient. Tout le reste du texte
contient des dispositions encadrant la façon dont les entreprises peuvent utiliser ces données.
La
protection des données prend alors tout son sens. Sur des
réseaux sociaux, les mises en ligne d’images ou de vidéos à l’insu d’une
personne ont déjà conduit à des incidents désastreux. Relevant d’une liberté fondamentale, les
données personnelles mises en ligne par les utilisateurs, que ce soit
volontairement par le biais de réseaux sociaux, ou involontairement dans le cas
d’informations données sur des sites internet doivent être protégées
d’utilisations frauduleuses. Les entreprises doivent respecter les droits protégeant
les données des utilisateurs et des salariés des entreprises.
La CNIL recense que l’opposition à
figurer dans un fichier, tout secteur confondu constitue le principal motif de
plaintes (46 % soit 2767 plaintes pour l’année 2012 ce qui représente environ 7
plaintes par jour (!)). Au-delà de ce volume important, l’année 2012 a
confirmé la tendance observée en 2011 :
la majorité des plaines est relative au secteur Internet/Télécom (31 % soit 1050
plaintes).
Pour faire face à cet accroissement des
plaintes et au développement d’Internet, c’est l’Union européenne qui s’attaque
à la refonte du système juridique de protection des données qu’elle avait déjà
développé dans les années 1990. La voie règlementaire a été choisie, celui-ci
devrait entrer en vigueur en 2014. En effet, la directive 95-46 de 1995 avait
naturellement laissé subsister des disparités d’application entre les États
membres.
Le projet vise donc tout d’abord à harmoniser
les politiques de protection des données ce qui facilitera le travail des
entreprises internationales. Cela conduira probablement à une plus grande
efficacité des mesures. Tout en assurant une juste protection des données
personnelles, les règles ne doivent pas enrayer le formidable développement du
numérique notamment dans la sphère économique.
La CNIL est fortement impliquée dans ce projet. Elle a participé à l’orientation de la discussion des institutions européennes dans la formation du G29 regroupant les CNIL européennes, notamment sur les questions de la définition d’une donnée à caractère personnel, de la notion de consentement et de la reconnaissance du droit à l’oubli.
La
définition de données à caractère personnel
Pour l’instant, la notion est définie par l’article 2§2 de la loi du 6 janvier 1978 dite « Informatique et Libertés » comme toute donnée permettant d’identifier directement ou indirectement une personne physique. Le traitement de ces données par les entreprises doit notamment faire l’objet d’une déclaration pour autorisation à la CNIL (Article 226-16 du Code pénal : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. ». Le non-respect de la finalité du traitement, la non communication des informations aux personnes et une durée excessive de conservation des données sont également sanctionnées pénalement. Les données recueillies sont donc protégées mais la disparité des systèmes européens rend difficile l’application des sanctions.
Parmi les
données directement personnelles, on compte le nom, le prénom, la photo mais
aussi les empreintes digitales ou toute autre donnée biométrique. Les données indirectement
personnelles sont des informations qui permettent d’identifier une
personne indirectement, c’est-à-dire par référence à un numéro d’identification
comme par exemple le numéro de sécurité sociale, un numéro client ou un numéro
d’employé. Plus largement, dès qu’il est possible de rattacher
une information à une personne, même par le biais d’un cryptage ou d’un numéro
d’identification, cette information constitue une donnée à caractère personnel,
et elle est à ce titre protégée par la loi.
La protection de ces données contre un
traitement informatique constitue une liberté fondamentale à la croisée
d’autres droits fondamentaux notamment le droit de propriété, le droit au
respect de la vie privée et la liberté d’expression. La notion de donnée
personnelle est entendue largement, le champ couvert est donc extrêmement
large, allant de l’adresse IP à une photo, en passant par les préférences
alimentaires ou un relevé bancaire.
Le
consentement à l’utilisation des données devra désormais être explicite
C’est ce qui est prévu dans les nombreux rapports sur le Règlement européen pour renforcer les droits des personnes d’une part et encadrer les conditions dans lesquelles les entreprises peuvent traiter et échanger les données à caractère personnel d’autre part.
La reconnaissance du droit à l’oubli
Le point le plus
important du règlement, qui est toutefois controversé, est la reconnaissance du
droit à l’oubli. C’est celui selon lequel une personne mise ne cause dans une
actualité quelconque, judiciaire, people ou autre ont droit à ce que les
données les concernant soient effacées ou archivées. Cela peut notamment passer
par un déréférencement sur Google. Alors que ce droit semblait abandonné par la Cour de cassation (Cass. 1re civ.,
20 nov. 1990, Dame Monanges c/ Kern et autres : JCP G 1992, II,
21908, note J. Ravanas ; Gaz. Pal. 1991, 1, pan. jurispr. p. 62
et p. 80), il
a finalement été retenu pour forcer Google à supprimer certains référencements.
Mais en réalité, du fait de la puissance des moteurs de recherche, il est
quasiment impossible de rattraper une vidéo diffusée sur le Web. Aller en
justice pour faire valoir un droit à l’oubli est en réalité inopérant voire
néfaste.
Autrement
dit, le rapport de la CNIL fait ressortir l’ampleur de la tâche du Règlement
européen qui devra à la fois de protéger les individus sans enrayer le
développement du numérique : un défi européen que nous ne manquerons pas
de suivre de près.