Protection de vos données personnelles : le droit face à l'appétit des moteurs de recherche

Dans son rapport d’activité pour l’année 2012, la CNIL constate un nombre historique de plaintes, témoignant de l’intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question.

A l’occasion de la publication de son rapport d’activité pour l’année 2012, la CNIL vient de constater un nombre historique de plaintes reçues, témoignant de l’intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question. Le développement du numérique augmente corrélativement la crainte des individus qui ne souhaitent pourtant pas renoncer à ses services. Ils craignent de ne pas maîtriser leurs traces, la mise en place d’une société de contrôle et de surveillance et finalement de voir cette modernité se retourner contre eux. L’affaire du « bug » de Facebook en septembre 2012 est une confirmation des risques inhérents à la communication de données personnelles sur le Net. La généralisation de la Timeline avait fait penser aux utilisateurs que des messages anciens devenaient visibles, ce qui n’était finalement qu’une confusion.
De l’autre côté pour les entreprises dont l’activité est essentiellement numérique, les données personnelles qu’elles utilisent, par exemple pour dresser des fichiers clients, peuvent constituer une valeur commerciale voire un actif financier, et un avantage concurrentiel. Il en va de leur responsabilité sociale de respecter les règles fixées par la CNIL en la matière.

Actuellement, la loi Informatique et libertés ainsi que la directive européenne 95/46CE, considèrent que les données sont la propriété de l’entreprise qui les détient. Tout le reste du texte contient des dispositions encadrant la façon dont les entreprises peuvent utiliser ces données.
La protection des données prend alors tout son sens. Sur des réseaux sociaux, les mises en ligne d’images ou de vidéos à l’insu d’une personne ont déjà conduit à des incidents désastreux.  Relevant d’une liberté fondamentale, les données personnelles mises en ligne par les utilisateurs, que ce soit volontairement par le biais de réseaux sociaux, ou involontairement dans le cas d’informations données sur des sites internet doivent être protégées d’utilisations frauduleuses. Les entreprises doivent respecter les droits protégeant les données des utilisateurs et des salariés des entreprises.

La CNIL recense que l’opposition à figurer dans un fichier, tout secteur confondu constitue le principal motif de plaintes (46 % soit 2767 plaintes pour l’année 2012 ce qui représente environ 7 plaintes par jour (!)). Au-delà de ce volume important, l’année 2012 a confirmé la tendance observée en 2011 : la majorité des plaines est relative au secteur Internet/Télécom (31 % soit 1050 plaintes).
Pour faire face à cet accroissement des plaintes et au développement d’Internet, c’est l’Union européenne qui s’attaque à la refonte du système juridique de protection des données qu’elle avait déjà développé dans les années 1990. La voie règlementaire a été choisie, celui-ci devrait entrer en vigueur en 2014. En effet, la directive 95-46 de 1995 avait naturellement laissé subsister des disparités d’application entre les États membres.
Le projet vise donc tout d’abord à harmoniser les politiques de protection des données ce qui facilitera le travail des entreprises internationales. Cela conduira probablement à une plus grande efficacité des mesures. Tout en assurant une juste protection des données personnelles, les règles ne doivent pas enrayer le formidable développement du numérique notamment dans la sphère économique.

La CNIL est fortement impliquée dans ce projet. Elle a participé à l’orientation de la discussion des institutions européennes dans la formation du G29 regroupant les CNIL européennes, notamment sur les questions de la définition d’une donnée à caractère personnel,  de la notion de consentement et de la reconnaissance du droit à l’oubli.

La définition de données à caractère personnel

Pour l’instant, la notion est définie par l’article 2§2 de la loi du 6 janvier 1978 dite « Informatique et Libertés » comme toute donnée permettant d’identifier directement ou indirectement une personne physique. Le traitement de ces  données par les entreprises doit notamment faire l’objet d’une déclaration pour autorisation à la CNIL (Article 226-16 du Code pénal : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. ». Le non-respect de la finalité du traitement, la non communication des informations aux personnes et une durée excessive de conservation des données sont également sanctionnées pénalement. Les données recueillies sont donc protégées mais la disparité des systèmes européens rend difficile l’application des sanctions.

Parmi les données directement personnelles, on compte le nom, le prénom, la photo mais aussi les empreintes digitales ou toute autre donnée biométrique. Les données indirectement personnelles sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification comme par exemple le numéro de sécurité sociale, un numéro client ou un numéro d’employé. Plus largement, dès qu’il est possible de rattacher une information à une personne, même par le biais d’un cryptage ou d’un numéro d’identification, cette information constitue une donnée à caractère personnel, et elle est à ce titre protégée par la loi.
La protection de ces données contre un traitement informatique constitue une liberté fondamentale à la croisée d’autres droits fondamentaux notamment le droit de propriété, le droit au respect de la vie privée et la liberté d’expression. La notion de donnée personnelle est entendue largement, le champ couvert est donc extrêmement large, allant de l’adresse IP à une photo, en passant par les préférences alimentaires ou un relevé bancaire.

Le consentement à l’utilisation des données devra désormais être explicite 

C’est ce qui est prévu dans les  nombreux rapports sur le Règlement européen pour renforcer les droits des personnes d’une part et encadrer les conditions dans lesquelles les entreprises peuvent traiter et échanger les données à caractère personnel d’autre part.

La reconnaissance du droit à l’oubli

Le point le plus important du règlement, qui est toutefois controversé, est la reconnaissance du droit à l’oubli. C’est celui selon lequel une personne mise ne cause dans une actualité quelconque, judiciaire, people ou autre ont droit à ce que les données les concernant soient effacées ou archivées. Cela peut notamment passer par un déréférencement sur Google. Alors que ce droit semblait abandonné par la Cour de cassation (Cass. 1re civ., 20 nov. 1990, Dame Monanges c/ Kern et autres : JCP G 1992, II, 21908, note J. Ravanas ; Gaz. Pal. 1991, 1, pan. jurispr. p. 62 et p. 80), il a finalement été retenu pour forcer Google à supprimer certains référencements. Mais en réalité, du fait de la puissance des moteurs de recherche, il est quasiment impossible de rattraper une vidéo diffusée sur le Web. Aller en justice pour faire valoir un droit à l’oubli est en réalité inopérant voire néfaste.
Autrement dit, le rapport de la CNIL fait ressortir l’ampleur de la tâche du Règlement européen qui devra à la fois de protéger les individus sans enrayer le développement du numérique : un défi européen que nous ne manquerons pas de suivre de près.