1. Introduction
1.1. Préparation du
rapport
1. Après avoir soumis une proposition relative au respect
de la vie privée et la gestion des informations à caractère personnel
sur l'internet et d’autres médias en ligne
,
j’ai été nommée rapporteur par la commission de la culture, de la
science et de l’éducation le 8 décembre 2009. Ayant exercé les fonctions
de ministre de la Culture de la Slovénie de 2000 à 2004, les politiques
relatives aux médias ainsi que les nouveaux médias sont des thèmes
auxquels je suis sensible.
2. La sous-commission des médias a organisé le Forum ouvert du
Conseil de l’Europe sur la vie privée et la liberté de l’internet
dans le cadre du Forum des Nations Unies sur la gouvernance de l’internet,
qui s’est tenu à Vilnius (Lituanie) le 15 septembre 2010. Ce forum
ouvert a permis aux experts invités et aux parties prenantes au
Forum sur la gouvernance de l’internet d’exprimer leurs avis sur
ce thème au début de la préparation du présent rapport
.
3. Je tiens à saluer en particulier les contributions de Mme
Maud de Boer-Buquicchio, Secrétaire Générale adjointe du Conseil
de l’Europe, de Mme Catherine Pozzo di Borgo, vice-présidente du
Comité consultatif de la Convention pour la protection des personnes
à l’égard du traitement automatisé des données à caractère personnel
(STE no 108, ci-après «Convention no 108») et commissaire adjointe
du gouvernement auprès de la Commission nationale de l’informatique
et des libertés (CNIL, Paris), de M. Richard Allan, directeur des Questions
réglementaires européennes pour Facebook (Londres), de Mme Katitza
Rodríguez, directrice, chargée des questions liées aux droits internationaux
à l'Electronic Frontier Foundation et membre du conseil consultatif
de Privacy International (San Francisco), et de M. Peng Hwa Ang,
professeur à l’université technologique de Nanyang à Singapour.
4. Mme Cécile de Terwangne et M. Jean-Noël Colin, professeurs
à l’université de Namur (Belgique), ont été invités à préparer,
selon les axes thématiques convenus avec moi-même, un rapport général
sur les défis techniques et juridiques posés à la vie privée et
à la protection des données dans le cyberespace d’aujourd’hui. Ils
ont présenté leur rapport commun à la commission de la culture,
de la science et de l’éducation à Paris le 18 mars 2011. Le présent
exposé des motifs s’appuie largement sur ce rapport et je tiens
à remercier chaleureusement ses auteurs.
5. Le 18 mars 2011, la commission a également entendu sur ce
thème Mme de Terwangne et M. Colin, ainsi que Mme Pozzo di Borgo,
qui s’exprimait au nom du Comité consultatif de la Convention no
108, M. Michael Donohue, analyste principal des politiques, de la
sécurité de l’information et de la protection des renseignements
personnels de l’OCDE, et M. Olivier Matter, juriste au Services
des affaires européennes et internationales (CNIL), Paris. Les présentations
faites pendant l’audition ont enrichi le présent rapport.
6. Les représentants de la Commission européenne et de la Chambre
de commerce internationale n'ont pas pu assister à l’audition du
18 mars 2011. J’ai donc envoyé à ces deux institutions l’avant-projet
de résolution afin qu’elles soumettent leurs observations.
7. Le commissaire à la protection des données du Conseil de l’Europe,
le M. Karel Neuwirt, a également donné un avis sur le projet de
rapport. Je le remercie de son avis positif et j’ai tenu compte
de ses propositions dans mon rapport final.
8. Compte tenu des initiatives internationales ambitieuses lancées
par des autorités indépendantes de protection des données, j’ai
envoyé l’avant-projet de résolution à la Commission nationale de
l’informatique et des libertés (CNIL, Paris) et àl’Institut fédéral d’accès à l’information
et de protection des données de Mexico, qui accueillera en 2011
la Conférence des commissaires à la vie privée et à la protection
des données.
9. Je remercie tous ceux qui m’ont aidée avec le présent rapport.
J’espère qu’il contribuera à l’élaboration de normes communes sur
la protection de la vie privée et des données à caractère personnel
dans les pays européens et non européens, à l’ère du cyberespace.
1.2. Concepts de base
10. Le développement spectaculaire des technologies de
l’information et de la communication (TIC) offre de grandes possibilités
et de nombreux avantages. Le recours aux réseaux de communication
et en particulier à l'internet a permis le déploiement de services
jusqu'alors inimaginables, tout en accroissant l’efficacité et l’accessibilité
des services classiques.
11. L’utilisation de ces technologies présente toutefois aussi
de nouveaux dangers pour la vie privée et les libertés individuelles.
Données recueillies à l’insu des personnes, données réutilisées
pour des finalités inavouées, données conservées des mois, voire
des années, données transmises à des tiers, données confidentielles
diffusées: la réalité concernant le sort des données à caractère
personnel sur l'internet a bien des faces noires. Les individus
faisant usage du réseau et de toute la variété de services en ligne
existant désormais perdent dans une grande mesure la maîtrise de
leurs données. Ils ne savent pas ce qui est fait de leurs données,
ils ne peuvent contrôler à distance qui y accède. Une série d’acteurs
de l’internet et des nouveaux médias, en revanche, connaissent leurs
goûts, leurs centres d’intérêt, leurs mouvements, les endroits et
les personnes qu’ils fréquentent, etc. Cette réalité met en cause
le droit au respect de la vie privée ainsi que le droit à la protection
des données.
12. La vie privée, dans ce contexte, ne doit pas se comprendre
de façon traditionnelle comme une sphère intime à protéger, contenant
un ensemble d’informations privées, voire confidentielles, que l’on
souhaite garder cachées, mais plutôt comme le droit à l’autodétermination,
à l’autonomie et à la capacité de chacun de faire des choix existentiels
. Il
s’agit ici, plus précisément, de l’autodétermination informationnelle,
c’est-à-dire du droit de chacun «de savoir ce que l’on sait de lui»,
de connaître les informations stockées le concernant, de contrôler
la manière dont elles sont communiquées et d’en empêcher toute violation
abusive. La vie privée ne se réduit donc pas à une quête de confidentialité;
ce qui est en jeu est la maîtrise par chacun de son image informationnelle
.
13. La protection des données est une émanation du droit au respect
de la vie privée pris dans la dimension de droit à l’autodétermination
qui y est liée. C’est le droit pour chacun de contrôler ses propres
données, qu’elles soient privées, publiques ou professionnelles.
2. Protection
de la vie privée et des données personnelles en Europe
2.1. Normes juridiques
14. La présente section examine les textes juridiques
contraignants adoptés au niveau du Conseil de l’Europe. Il est indiqué
ensuite que le Pacte international relatif aux droits civils et
politiques (PIDCP) est le seul instrument universel contraignant
en matière de vie privée. Enfin, les dispositions de l’Union européenne
sont étudiées dans la mesure où 27 Etats membres du Conseil de l’Europe
sur 47 sont aussi des Etats membres de l’Union européenne. La même
démarche est utilisée à l’égard de la liste des normes de politique
figurant ci-dessous.
2.1.1. Article 8 de la
Convention européenne des droits de l’homme
15. L’article 8 de la Convention européenne des droits
de l’homme (STE no 5, ci-après «la Convention») garantit à chacun
le droit au respect de sa vie privée et familiale. Des exceptions
à ce droit sont admises pourvu qu’elles soient prévues par la loi
et qu’elles soient nécessaires dans une société démocratique (c’est-à-dire qu’elles
respectent le principe de proportionnalité tel que précisé par la
jurisprudence de la Cour européenne des droits de l’homme («la Cour»)
pour sauvegarder les intérêts légitimes figurant dans la liste de
l’article 8, paragraphe 2.
16. La Cour a expressément élargi le champ de la vie privée à
celui de la protection des données. Elle a ainsi signalé que la
protection des données à caractère personnel joue un rôle fondamental
pour l’exercice du droit au respect de la vie privée consacré par
l’article 8. Pour la Cour, l’article 8 impose que le droit interne ménage
des garanties appropriées pour empêcher toute utilisation impropre
et abusive de données à caractère personnel. La législation nationale
doit également garantir que les données sont pertinentes et non excessives
par rapport aux finalités pour lesquelles elles sont enregistrées,
et qu’elles ne sont conservées sous une forme permettant l’identification
des personnes que pendant la durée nécessaire aux finalités pour lesquelles
elles sont enregistrées
.
2.1.2. Convention no 108
17. Née du souci de renforcer la protection de la vie
privée et des autres droits de l’individu face aux développements
des technologies de l’information, la Convention no 108 pour la
protection des personnes à l’égard du traitement automatisé des
données à caractère personnel a été adoptée le 28 janvier 1981.
18. Cette convention contient les principes de base de la protection
des données. Ces principes ont été repris dans la plupart des textes
nationaux et internationaux en la matière et sont toujours d’actualité aujourd’hui,
même s’ils nécessitent sans doute certains compléments. Ces principes
sont les suivants:
- principe
de loyauté et licéité de la collecte;
- principe de finalité (données enregistrées pour des finalités
déterminées et légitimes et pas utilisées de manière incompatible
avec ces finalités);
- principe de qualité des données (pertinentes, adéquates,
à jour, conservées pour une durée limitée);
- régime spécifique réservé aux données sensibles;
- exigence de sécurité;
- droits d’accès, de rectification et de recours;
- possibilité de dérogations au nom d’intérêts publics ou
privés prépondérants.
19. En 2001, un protocole additionnel portant sur les autorités
de contrôle et les flux transfrontières de données (STE no 181)
est venu compléter la Convention no 108.
20. Le comité consultatif établi dans le cadre de la Convention
no 108 examine actuellement les lacunes juridiques éventuelles de
la convention résultant des progrès technologiques rapides accomplis
dans le monde des technologies de l’information et de la communication
(TIC). Le rapport analytique préparé pour le comité consultatif
par M. Jean-Marc Dinant, Mme de Terwangne et M. Jean-Philippe Moiny,
de l’université de Namur (Belgique) est centré sur les défis technologiques
que posent la géolocalisation, les cookies et la traçabilité, et les
met en relation avec les normes juridiques visées par la Convention
no 108
.
21. Le comité consultatif a également poursuivi une consultation
publique sur la modernisation possible de la Convention no 108 jusqu’en
mars 2011.
2.1.3. Convention sur
la cybercriminalité
22. La Convention sur la cybercriminalité (STE no 185),
adoptée le 23 novembre 2001, a été élaborée par le Conseil de l’Europe,
mais elle est ouverte à la signature de tous les Etats dans le monde
. Elle impose aux Etats signataires
d’ériger en infraction pénale le fait de porter atteinte à la confidentialité
des données, via l’accès non autorisé ou l’interception illégale
de données, ou le fait de porter atteinte à l’intégrité des données, en
les altérant ou en les supprimant, ou à l’intégrité du système.
Les Etats parties doivent aussi sanctionner pénalement les faux
informatiques et les fraudes informatiques, pour lutter contre les
manipulations de données malintentionnées.
23. Par ailleurs, les parties doivent permettre à leurs autorités
d’imposer la conservation rapide des données, y compris les données
de trafic, afin d’en disposer pour des enquêtes. Un dispositif d’entraide
entre parties permet de faire conserver et d’obtenir la divulgation
de données par un autre Etat signataire de la convention.
2.1.4. Convention sur
les droits de l’homme et la biomédecine
24. Les données à caractère personnel relatives à la
santé font partie des données les plus sensibles sur le plan personnel.
La protection de la vie privée et des données à caractère personnel
est donc réglementée dans l’article 10 de la Convention sur les
droits de l’homme et la biomédecine (STE no 164) et l’article 16
du Protocole additionnel à cette convention relatif aux tests génétiques
à des fins médicales (STCE no 203).
25. Le droit de chacun à la protection des données à caractère
personnel relatives à la santé doit inclure le droit d’être informé
de toute collecte et traitement de ces données et d’y consentir
ou non.
2.1.5. Article 17 du Pacte
international relatif aux droits civils et politiques
26. L’article 17 du Pacte international relatif aux droits
civils et politiques, signé à New York le 16 décembre 1966, stipule
que «1. Nul ne sera l’objet d’immixtions arbitraires ou illégales
dans sa vie privée, sa famille, son domicile ou sa correspondance,
ni d’atteintes illégales à son honneur et à sa réputation; 2. Toute
personne a droit à la protection de la loi contre de telles immixtions
ou de telles atteintes». Cette disposition est la seule disposition
contraignante qui protège la vie privée à un niveau universel.
2.1.6. Articles 7 et 8
de la Charte des droits fondamentaux de l’Union européenne
27. Depuis l’entrée en vigueur du Traité de Lisbonne,
la Charte des droits fondamentaux de l’Union européenne
est
juridiquement contraignante. Si l’article 7 de ce texte consacre
classiquement la protection du droit au respect de la vie privée,
l’article 8 présente l’originalité de garantir au sein d’un catalogue
général de droits fondamentaux un droit autonome à la protection
des données à caractère personnel. Cet article 8 dispose que toute
personne a droit à la protection des données à caractère personnel
la concernant; que les données doivent être traitées loyalement,
à des fins déterminées, sur la base d’un fondement légitime (consentement
ou autre fondement prévu par la loi); et que toute personne a un
droit d’accès et de rectification de ses données. Le respect de
ces principes doit être soumis au contrôle d’une autorité indépendante.
2.1.7. Directive 95/46/CE
de l’Union européenne sur la protection des données
28. La Directive 95/46/CE du 24 octobre 1995 relative
à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces
données
a repris,
en les détaillant et les précisant, les principes contenus dans
la Convention no 108. Elle présente toutefois un régime de protection
enrichi sur plus d’un point. Elle a établi les critères qui rendent
le traitement des données légitime. Le catalogue des droits reconnus
à la personne concernée est étoffé. Le droit d’accès englobe le
droit de connaître l’origine des données et la logique qui sous-tend
le traitement des données. Le droit de s’opposer au traitement de
ses données et le droit de ne pas être soumis à une décision entièrement
automatisée sont consacrés. En outre, un devoir d’information est
mis à charge du responsable du traitement des données. Actuellement,
une réforme de la législation de l’Union européenne concernant la
protection des données est en cours.
2.1.8. Directive 2002/58/CE
de l’Union européenne sur la vie privée et les communications électroniques
29. La Directive 2002/58/CE du 12 juillet 2002 concernant
le traitement des données à caractère personnel et la protection
de la vie privée dans le secteur des communications électroniques
est une directive spécifique qui
s’ajoute à la Directive générale (95/46/CE) pour réglementer la
protection des données dans le secteur des communications électroniques.
Elle proclame l’obligation de confidentialité des communications
électroniques ainsi que des données de trafic et des données de
localisation, moyennant certaines exceptions. Elle instaure un devoir
de sécurité des données, allant désormais de pair avec l’obligation
d’informer des «violations de données» graves survenues. Cette obligation
ne pèse cependant que sur les fournisseurs de services de communications
électroniques accessibles au public. Ce texte règle aussi le recours
aux cookies et l’envoi de communications non sollicitées (spam).
2.1.9. Directive 2006/24/CE
de l’Union européenne sur la conservation des données
30. La Directive 2006/24/CE du 15 mars 2006 exige que
les fournisseurs de services de communication (internet, téléphonie
fixe et mobile, télécopie) conservent systématiquement les données
concernant la localisation et le trafic des communications pendant
une durée de six mois à deux ans
. Cette directive est en
train d’être modifiée.
31. La conservation des données et l’accès à ces données par les
autorités de police sont devenus un aspect politiquement important
de la lutte contre la criminalité et le terrorisme. A cet égard,
la Convention relative au blanchiment, au dépistage, à la saisie
et à la confiscation des produits du crime et au financement du
terrorisme (STCE no 198) et la Convention sur la cybercriminalité
pourraient servir de références juridiques, ainsi que la Convention
concernant l’assistance administrative mutuelle en matière fiscale
(STE n o 127 et STCE n o 208).
2.2. Normes en matière
d’élaboration de politiques
Résolution 428 (1970) de l’Assemblée
portant déclaration sur les moyens de communication de masse et
les droits de l’homme
32. Dans sa
Résolution
428 (1970) portant déclaration sur les moyens de communication
de masse et les droits de l’homme, l’Assemblée parlementaire a établi
il y a déjà plus de quarante ans que «lorsque des banques régionales,
nationales ou internationales de données informatiques sont instituées,
l’individu ne doit pas être rendu totalement vulnérable par l’accumulation
d’informations concernant sa vie privée. Ces centres doivent enregistrer
uniquement le minimum de renseignements nécessaires».
33. Cette résolution donnait suite à la
Recommandation 509 (1968) relative
aux droits de l’homme et aux réalisations scientifiques et technologiques
modernes, qui appelait le Comité des Ministres à
«étudier et faire rapport sur la
question de savoir, au regard de l’article 8 de la Convention [européenne]
des droits de l’homme, si la législation nationale des Etats membres
assure une protection adéquate du droit à la vie privée contre des violations
qui pourraient être commises par l’utilisation de méthodes techniques
et scientifiques modernes».
34. La résolution a été adoptée conjointement avec la
Recommandation 582 (1970) relative
aux moyens de communication de masse et droits de l’homme, qui renouvelait
le premier appel en recommandant au Comité des Ministres d’envisager
la «mise au point d’une interprétation commune du droit au respect
de la vie privée garanti par l’article 8 de la Convention européenne
des droits de l’homme, par la conclusion d’un protocole ou de tout
autre instrument, de façon à préciser que l’exercice de ce droit
est effectivement protégé contre toute ingérence non seulement des
pouvoirs publics, mais aussi des personnes privées ou des moyens
de communication de masse».
Résolution 1165 (1998) de l’Assemblée
sur le droit au respect de la vie privée
35. Dans sa «Déclaration sur les moyens de communication
de masse et les droits de l’homme» contenue dans la
Résolution 428 (1970),
l’Assemblée avait défini le droit au respect de la vie privée comme
«le droit de mener sa vie comme on l’entend avec un minimum d’ingérence».
Près de trente ans plus tard, l’Assemblée a précisé dans la
Résolution 1165 (1998) que
«pour tenir compte de l’apparition des nouvelles technologies de la
communication permettant de stocker et d’utiliser des données personnelles,
il convient d’ajouter à cette définition le droit de contrôler ses
propres données».
36. La résolution de 1998 contient des lignes directrices destinées
à compléter les régimes nationaux de protection de la vie privée,
portant sur les différentes actions en justice et sanctions à mettre
à disposition des personnes ayant subi des atteintes à leur vie
privée.
Résolution 1797 (2011) de l’Assemblée
sur la nécessité de mener une réflexion mondiale sur les implications de
la biométrie pour les droits de l’homme
37. L’Assemblée a récemment adopté une
Résolution 1797 (2011) sur
la nécessité de mener une réflexion mondiale sur les implications
de la biométrie pour les droits de l’homme, qui invite en particulier
les Etats membres à «promouvoir le principe de proportionnalité
en matière d’utilisation de données biométriques, notamment en limitant
au strict nécessaire l’évaluation, le traitement et le stockage
de ces données, en d’autres termes, en limitant ces processus aux
cas où le gain en termes de sécurité ou de protection de la santé publique
ou des droits d’autrui serait plus important qu’une éventuelle ingérence
dans les droits de l’homme, et si le recours à d’autres techniques
moins intrusives est insuffisant».
Recommandation (73) 22 du Comité
des Ministres relative à la protection de la vie privée des personnes
physiques vis-à-vis des banques de données électroniques dans le
secteur privé
38. Le Comité des Ministres a élaboré le premier ensemble
de principes politiques dans sa Résolution (73) 22 relative à la
protection de la vie privée des personnes physiques vis-à-vis des
banques de données électroniques dans le secteur privé
.
En adoptant cette résolution le 26 septembre 1973, le Comité des Ministres
a considéré qu’il était urgent, en attendant l’élaboration éventuelle
d’un accord international, de prendre des mesures pour empêcher
que d’autres divergences n’apparaissent entre les lois des Etats membres
dans ce domaine.
39. La Résolution (73) 22 définissait notamment ceci: «les informations
concernant l’intimité des personnes ou celles pouvant être à la
source de discrimination ne doivent pas, en règle générale, être
enregistrées, ou du moins diffusées; des règles devront être établies
pour déterminer la période de temps au-delà de laquelle certaines
catégories d’informations ne pourront plus être conservées ou utilisées;
les informations ne peuvent, sans autorisation appropriée, être
utilisées à d’autres fins que celles pour lesquelles elles ont été
enregistrées, ni communiquées à des tiers; en règle générale, la
personne concernée a le droit de connaître les informations enregistrées
sur elle, la fin pour laquelle les informations ont été stockées
et les communications effectuées; toute diligence doit être faite
pour corriger les informations inexactes et pour effacer les informations
périmées ou obtenues de façon illicite; les banques de données électroniques
doivent être équipées de systèmes de sécurité empêchant les personnes
n’ayant pas le droit d’obtenir les informations d’y avoir accès
et permettant de détecter les détournements d’informations, intentionnels
ou non». De telles normes semblent encore pertinentes, même avec
le niveau de développement des TIC aujourd’hui.
Résolution (74) 29 du Comité
des Ministres relative à la protection des personnes physiques vis-à-vis
des banques de données électroniques dans le secteur public
40. La Résolution (73) 22 a été complétée un an plus
tard par la Résolution (74) 29 relative à la protection des personnes
physiques vis-à-vis des banques de données électroniques dans le
secteur public. Outre un ensemble de normes comparables, la Résolution
(74) 29 disposait ceci: «[p]articulièrement lorsque des banques
de données électroniques traitent des informations concernant l’intimité
de la vie privée des personnes, ou lorsque le traitement des informations
peut être à l’origine de discriminations; a) leur création doit
être prévue par la loi ou par une réglementation spéciale ou leur
existence doit être rendue publique dans une déclaration ou un document,
en conformité avec le système juridique de chaque Etat membre; b)
ces loi, réglementation, déclaration ou document doivent préciser
la finalité de l’enregistrement et de l’utilisation de telles informations
ainsi que les conditions dans lesquelles elles peuvent être communiquées
à l’intérieur du secteur public ou à des personnes ou organismes
privés; c) les informations enregistrées ne doivent pas être utilisées
à d’autres fins que celles qui ont été définies, à moins qu’une
dérogation ne soit expressément autorisée par la loi ou accordée
par une autorité compétente ou que les règles régissant l’utilisation
de la banque de données électroniques ne soient modifiées».
Recommandation no R (99) 5 du
Comité des Ministres sur la protection de la vie privée sur internet
41. La Recommandation no R (99) 5 s’adresse aux utilisateurs
et aux fournisseurs de services sur l'internet. Elle contient des
Lignes directrices pour la protection des personnes à l’égard de
la collecte et du traitement de données à caractère personnel sur
les «inforoutes», destinées à être intégrées dans des codes de conduite. Ces
lignes directrices énoncent les principes d’une conduite loyale
à observer en matière de protection de la vie privée et des données
lors des communications et échanges sur l'internet.
Recommandation CM/Rec(2010)13
du Comité des Ministres sur la protection des personnes à l’égard
du traitement automatisé des données à caractère personnel dans
le cadre du profilage
42. Adoptée le 23 novembre 2010, la Recommandation CM/Rec(2010)13
propose un encadrement du phénomène très répandu du profilage (voir
les sections 3.2 et 4.2 ci-dessous). L’annexe à la recommandation contient
les principes devant conduire à un profilage loyal et licite. Une
liste des cas dans lesquels le profilage est licite est établie.
Le responsable est tenu de limiter les risques d’erreurs, d’adopter
des mesures de sécurité et d’informer les personnes concernées de
ses activités de profilage. Sauf exceptions, les individus ont le
droit d’accéder aux données, de les corriger, de connaître le but
du profilage ainsi que la logique utilisée pour leur attribuer un
profil, et enfin, de s’opposer à l’utilisation de leurs données
ou à une décision prise sur la seule base du profilage.
Résolution no 3 de la Conférence
des ministres européens de la Justice sur la protection des données
et la vie privée au troisième millénaire
43. Dans la Résolution no 3, adoptée le 26 novembre 2010
lors de leur 30e conférence ministérielle à Istanbul, les ministres
de la Justice du Conseil de l’Europe marquent leur soutien à la
modernisation de la Convention n o 108 afin de trouver les solutions
pour garantir la protection des droits de l’individu face aux nouveaux
défis de la technologie et de la mondialisation de l’information.
Cette modernisation devrait répondre aux préoccupations exprimées
par les ministres sur les questions de transparence, d’exercice
effectif des droits, de violation de la sécurité des données, de
compétence territoriale et de droit applicable en présence de relations
virtuelles et transfrontières (dans lecloud
computing et les réseaux sociaux, par exemple), et de responsabilité.
44. Les ministres signalent que la Convention n o 108 est à ce
jour le seul instrument juridiquement contraignant de portée potentiellement
universelle en la matière. Ce texte pourrait donc devenir l’instrument universel
réclamé par les autorités nationales de protection des données.
Les ministres invitent en conséquence les acteurs en marge du Conseil
de l’Europe à participer au processus de modernisation.
Principes directeurs des Nations
Unies pour la réglementation des fichiers informatisés contenant
des données à caractère personnel, adoptés par l’Assemblée générale
des Nations Unies le 14 décembre 1990
45. L’Assemblée générale des Nations Unies a adopté le
14 décembre 1990 des principes directeurs concernant les fichiers
informatisés contenant des données à caractère personnel
.
46. Ces principes directeurs sont la seule norme politique établie
par les Nations Unies depuis l’entrée en vigueur de l’article 17
du PIDCP. Ils énoncent que les données concernant les personnes
ne doivent pas être utilisées «à des fins contraires aux buts et
aux principes de la Charte des Nations Unies».
Lignes directrices de l’OCDE
de 1980 sur la protection de la vie privée et les flux transfrontières
de données à caractère personnel
47. Les lignes directrices de l’OCDE de 1980
contiennent
des «principes d’information équitables». Ces principes de base
de la protection des données sont presque identiques à ceux contenus
dans la Convention no 108. Mais à la différence de ces derniers,
ils ne sont pas juridiquement contraignants.
48. L’OCDE examine actuellement ses lignes directrices sur la
protection des données en vue de les moderniser. La plupart des
Etats membres de l’OCDE sont juridiquement contraints par la législation
de l’Union européenne et/ou la Convention n o 108.
Résolution de Madrid de 2009
adoptée par les commissaires à la protection des données et à la
vie privée
49. La Résolution de Madrid
de
2009 est issue d’un travail conjoint des autorités de protection
des données de 50 pays sous la houlette de l’Agence espagnole de
la protection des données. Elle vise à offrir un modèle reprenant
les standards universels de la protection des données. Elle réalise
donc l’intégration des valeurs et principes de protection des données
garantis sur les cinq continents.
50. Outre les aspects classiques de la protection des données,
cette résolution contient des éléments nouveaux, par exemple des
mesures proactives (procédures visant à prévenir et détecter les
failles de sécurité, désignation d’un correspondant à la protection
des données, réalisation d’études d’impact pour la vie privée, etc.)
ainsi que le principe de responsabilité qui prévoit l’obligation
de mettre en place des mécanismes internes permettant de démontrer
que le responsable s’est conformé aux règles de protection.
Résolution de Jérusalem de 2010
adoptée par les commissaires à la protection des données et à la
vie privée
51. A leur 32e Conférence internationale, organisée à
Jérusalem du 27 au 29 octobre 2010, les autorités de protection
des données ont adopté une résolution appelant à l’organisation
d’une conférence intergouvernementale en vue d’élaborer un instrument
international contraignant sur la vie privée et la protection des
données à caractère personnel
.
52. Donnant suite à cette initiative, les ministres de la Justice
du Conseil de l’Europe ont adopté, lors de leur 30e conférence,
la Résolution n o 3 sur la protection des données et la vie privée
au troisième millénaire (voir ci-dessus), qui invitait les Etats
non européens à adhérer à la Convention n o 108 et appuyait sa modernisation.
3. Défis technologiques
pour la vie privée et la protection des données
53. La puissance de calcul et de stockage toujours plus
importante, et la connectivité toujours plus étendue rendent possible
le développement de nouvelles technologies et applications qui constituent
de véritables défis pour la vie privée et la protection des données.
Elles impliquent bien souvent une collecte massive de données personnelles
sur les citoyens, acheteurs en ligne, utilisateurs de réseaux sociaux,
etc., parfois à leur insu; l’utilisation de plus en plus répandue
d’identifiants permettant de lier un utilisateur à ses actions,
sa position géographique ou ses données (tels l’adresse IP, l’identifiant
présent sur un tag RFID, un numéro de session dans un cookie). De
plus, ces informations peuvent être analysées et corrélées pour
en déduire d’autres, à des fins de profilage par exemple. Enfin,
le stockage et la diffusion des informations collectées ou inférées échappent
de plus en plus fréquemment au contrôle de la personne concernée,
qui se retrouve impuissante devant l’utilisation parfois abusive
qui en est faite.
54. Les conséquences en sont des risques accrus de fuites d’information
et de traçage des personnes, mettant ainsi à mal la vie privée de
celles-ci. Il est donc nécessaire de passer en revue une série de technologies
émergentes ou en mutation, en décrivant d’une manière générale leurs
applications et leur fonctionnement, mais aussi les menaces potentielles
qu’elles présentent pour la vie privée et la protection des données.
55. La Commission européenne avait commandé une étude comparative
sur les différentes approches relatives aux défis que représentent
les progrès technologiques pour la vie privée. Cette étude, qui
a été présentée le 20 janvier 2010 par ses auteurs, LRDP Kantor
Ltd. (Cambridge/London/Oxford), proposait de moderniser la
Directive 95/46/CE
de l’Union européenne relative à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données
.
3.1. Convergence des
moyens de communication
56. L’évolution des systèmes de communication et des
services de diffusion et de partage d’information conduit à une
convergence de plus en plus importante entre ces différents systèmes,
avec pour conséquence un manque de plus en plus important de transparence
quant aux véritables outils utilisés, et surtout une perte de contrôle
de la diffusion de l’information qui circule, est agrégée, remise
en forme ou réexpédiée.
57. Ainsi, le téléphone, doté d’une puissance de calcul et de
stockage, devient par là «intelligent» (smartphones); l’ordinateur
permet de téléphoner; la vidéoconférence est disponible sur des
baladeurs mp3; un numéro de télécopie est en fait une façade pour
une adresse électronique; les appels vers un téléphone mobile peuvent
être redirigés vers un poste fixe, avant d’échouer sur la boîte
vocale d’un service de type VoIP (Voice Over IP – téléphonie sur
réseau IP) consultée sur un PC. Ces exemples montrent à quel point
il devient très compliqué pour un utilisateur de déterminer le type
de moyen de communication utilisé, et surtout où vont et d’où proviennent
les informations envoyées ou reçues.
58. Il convient de mentionner également à ce sujet des développements
tels que «Outlook Social Connector» de Microsoft, qui permet aux
destinataires d’un courriel d’obtenir le statut Facebook de l’expéditeur.
Cela montre la confusion de plus en plus grande entre des sphères
qui jusqu’ici étaient clairement distinctes, et les risques de diffusion
d’information non souhaitée que cela permet.
3.2. Exemples de nouvelles
technologies
Traçabilité des utilisateurs
59. Contrairement à ce que l’on pense, la navigation
sur l'internet laisse bien davantage de traces que déambuler et
agir dans la vie réelle. Les actions que l’on effectue sur l'internet
laissent entre les mains de différentes personnes des traces de
ce que l’on a fait (adresse IP, fournisseur d’accès, page d’où l’on
vient, historique de la navigation, etc.). Les outils comme l’adressage
IPv6 et les cookies (voir ci-dessous) permettent d’individualiser
un ordinateur et dès lors son utilisateur. A l’inverse de ce qui
se passe dans le monde physique réel, il n’est pas question de se
promener sur les inforoutes, d’entrer dans les magasins virtuels,
de lire le journal, d’être intéressé par une annonce commerciale,
sans que cela se sache. On ne peut manquer de s’interroger sur cette
transparence permanente qui ne serait sans doute pas tolérée dans
le monde réel.
Adressage IPv6
60. En raison de la prolifération des systèmes connectés
à l'internet, la plage d’adresses définie par la norme IPv4
est
épuisée, ce qui menace l’expansion d’internet. La norme IPv6, créée
pour répondre aux nouveaux besoins d’adressage, permet d’obtenir
un très grand nombre d’adresses distinctes
.
A titre d’illustration, IPv6 donnerait à chaque individu sur terre
la possibilité de disposer de plusieurs dizaines de milliards d’adresses
pour son usage personnel.
61. L’assignation d’une adresse IPv6 à un équipement peut être
réalisée de différentes manières, dont l’une utilise l’adresse physique
(adresse MAC) de l’appareil pour générer l’adresse IPv6, ce qui
permet alors de lier le trafic à une machine, voire de conduire
à une personne. D’autres modes permettent d’éviter cette situation, en
générant des adresses de manière pseudo-aléatoire ou en recourant
à un serveur d’adresses qui les assigne de manière automatique
.
62. Le caractère identifiant ou non de l’adresse IPv6 dépendra
donc soit des paramètres de configuration par défaut du système
utilisé, soit de la compétence de l’utilisateur.
Cookies
63. Le mécanisme des cookies est défini par le protocole
de navigation web (http) et permet à un serveur web de transmettre
au navigateur de l’internaute une série d’informations que celui-ci
lui retournera lors des visites ultérieures (vers ce site uniquement).
Le cookie a une durée de vie limitée, soit liée à la fermeture du navigateur,
soit à une date d’expiration. Les cookies sont donc stockés localement
par le navigateur, en général sur le disque dur de l’utilisateur.
64. Les cookies sont utilisés par les serveurs web à des fins
de gestion de session et de personnalisation, mais ils peuvent aussi
servir comme moyen de traçage. De plus, il faut noter que lors de
la visite d’un site, le navigateur peut recevoir des cookies provenant
de sites tiers, cela étant dû à l’inclusion dans le site consulté originellement
de contenu provenant de ces sites tiers. Cette technique est fréquemment
utilisée pour la mesure d’audience ou le profilage publicitaire.
65. Bien que les navigateurs les plus répandus permettent aux
internautes de gérer voire de bloquer les cookies, ces fonctions
sont rarement utilisées, soit par méconnaissance, soit plus simplement
parce que le blocage des cookies rendrait la navigation internet
impraticable.
Réseaux de distribution intelligents
66. On assiste à une évolution des réseaux de distribution
d’énergie vers une forme intelligente (réseau intelligent) dans
laquelle sont incorporées des technologies informatiques afin d’optimiser
la production et la distribution, l’objectif étant d’ajuster au
mieux la production et la consommation, conduisant ainsi à des économies
d’énergie, l’évitement de pannes de courant, etc. Un réseau intelligent
est composé de compteurs intelligents équipés de capteurs et liés,
via un réseau, à un système qui collecte, agrège et analyse les
données de consommation.
67. Les compteurs intelligents transmettent à l’opérateur des
données relatives à la consommation en temps réel, ce qui permet
de déterminer le profil de l’utilisateur, son absence ou sa présence
dans le bâtiment, l’utilisation d’appareils possédant une «signature
énergétique», etc.
68. De plus, à l’intérieur même du bâtiment, des appareils peuvent
aussi être connectés au compteur intelligent, l’informant de la
consommation instantanée, mais aussi lui permettant d’agir sur celle-ci,
par exemple en adaptant automatiquement la température d’un thermostat
ou en désactivant l’air conditionné lors d’un pic de consommation.
69. On assiste là encore à une collecte massive d’informations
pouvant être liées à une personne ou un groupe de personnes, permettant
d’en déduire des caractéristiques et des comportements de manière
très ciblée. Lorsqu’en plus ces informations sont collectées par
des tiers, comme c’est le cas pour le système PowerMeter
de
Google, le risque de les voir diffusées sans contrôle est encore
plus grand.
- RFID et l’Internet
des objets
70. La technologie RFID (Radio-Frequency Identification) est une
technique d’identification qui se base sur trois composants:
- l’étiquette, ou tag, qui est
collée ou intégrée à l’objet à identifier;
- le lecteur, utilisé pour interroger le tag lorsque celui-ci
est à sa portée;
- le système d’information, qui reçoit l’information du
lecteur et la traite.
71. Le tag est composé d’une antenne et d’une puce électronique,
qui contient, au minimum, un identifiant. Lorsque le tag est interrogé
par un lecteur (par l’utilisation d’ondes magnétiques), il transmet
son identifiant au lecteur. La structure du tag, très simple, autorise
une production de masse à un coût qui permet une utilisation à grande
échelle, soit quelques centimes d’euro
.
La lecture du tag ne nécessite pas de contact entre celui-ci et
le lecteur; en fonction du type de tag, la distance de lecture peut
varier entre quelques centimètres ou quelques dizaines de centimètres,
voire au-delà.
72. Les tags RFID sont utilisés dans la gestion des stocks et
de l’approvisionnement, pour les péages routiers, dans la grande
distribution pour la gestion de l’inventaire, des caisses ou du
service après-vente, dans les aéroports pour le suivi des bagages
ou comme moyen de marquage des animaux. Dans certains cas, les tags
peuvent être implantés chez des êtres humains, par exemple pour
assurer la sécurité d’enfants ou de personnes âgées, ou, dans un
registre plus léger, pour surveiller l’accès ou gérer les commandes
de consommations dans une discothèque. L’identifiant étant spécifique
à un tag, la lecture de celui-ci permet donc de suivre ses déplacements,
d’après la position du lecteur, et donc ceux de l’objet ou de la
personne qui le porte. La lecture se faisant à distance, l’utilisateur
n’est pas nécessairement conscient de celle-ci, ce qui peut conduire
à des fuites d’information ou un traçage à son insu. L’interrogation
simultanée d’un grand nombre de tags permet d’identifier très rapidement
les objets ou personnes marquées dans un environnement proche, et donc
là aussi aboutir à un profilage du porteur.
73. Différentes solutions techniques existent (et d’autres continuent
d’être développées) qui permettent de limiter les possibilités d’utilisation
malveillante des technologies RFID. Mais bien souvent leur mise
en œuvre fait augmenter significativement le coût de fabrication,
rendant difficile leur utilisation à large échelle. Récemment, le
groupe de travail «Article 29» sur la protection des données de
l'Union européenne a approuvé un cadre d’évaluation de l’impact
sur la vie privée pour les demandes RFID
.
74. L’Internet des objets (Internet of Things) pousse l’idée de
l’internet et de l’identification un (grand) pas plus loin, en décrivant
un monde où tout est interconnecté: les personnes, mais aussi les
objets. L'internet sort donc du monde strictement virtuel pour intégrer
les objets du monde réel, physique, en utilisant des technologies
telles que la RFID, les communications sans fil à courte portée
(NFC – Near Field Communication, ou Communication en champ proche),
la géolocalisation et les réseaux de capteurs. Dans ce scénario,
les objets connectés agissent avec un haut degré d’autonomie, capables
d’acquérir et de transmettre des informations collectées au travers
de capteurs, de les traiter, et d’interagir avec les utilisateurs
et leur environnement.
75. Bien que l’Internet des objets soit encore une discipline
récente, dont les utilisations scientifiques et commerciales en
restent encore à leurs balbutiements, il est cependant évident qu’il
se base sur des collectes et des traitements massifs d’information,
pour la plupart pouvant être liées directement ou indirectement
à des individus, et par là même, menacer leur vie privée.
Robots d’indexation
76. Un robot d’indexation (webcrawler ou webspider) est un logiciel écrit
pour explorer le web de manière automatique, afin d’indexer le contenu
visité et alimenter ainsi les moteurs de recherche pour permettre
une recherche plus efficace et donc un accès plus aisé à l’information.
Il fonctionne par analyse des pages visitées, en suivant récursivement
les hyperliens.
77. Certains robots malveillants analysent les pages pour en extraire
les adresses de courrier électronique afin de constituer des listes
de diffusion pour l’envoi de messages intempestifs (spams). D’autres
peuvent aussi parcourir des pages, afin d’agréger et de corréler
les informations collectées et en inférer d’autres.
Données biométriques
78. Des moyens biométriques, c’est-à-dire liés à des
caractéristiques physiologiques de l’individu telles que ses empreintes
digitales, son empreinte rétinienne, son empreinte vocale ou son
ADN, sont de plus en plus utilisés pour authentifier une personne
(vérifier son identité), que ce soit dans le domaine des paiements électroniques,
du contrôle aux frontières, du contrôle d’accès, la reconnaissance
faciale, etc.
79. Les données biométriques doivent d’abord être collectées,
avant de pouvoir être confrontées à celles fournies lors de l’authentification
et ainsi valider celle-ci. Cela implique le stockage d’une grande
quantité de données à caractère personnel, dont certaines, telles
que l’ADN, sont une intrusion dans l’intimité de l’individu, y compris
celle de son ascendance et de sa descendance.
80. L’Assemblée a adopté récemment la
Résolution 1797 (2011) et la
Recommandation 1960 (2011) sur
la nécessité de mener une réflexion mondiale sur les implications
de la biométrie pour les droits de l’homme. Ces textes visaient
précisément la protection des données à caractère personnel et la
vie privée.
Respect de la vie privée dès
la conception
81. Le terme anglais «privacy by design», ou respect
de la vie privée dès la conception, fait référence à un ensemble
de principes élaborés pour être utilisés lors de la conception,
du développement et de l’exploitation de systèmes d’information,
afin de garantir que les dimensions «vie privée» et «protection
des données» ont été correctement prises en compte dès la conception,
et que dès lors ces systèmes sont en conformité avec les exigences
légales et réglementaires en la matière.
82. Mme Ann Cavoukian, commissaire à l’information et la vie privée
de la province d’Ontario (Canada), est à l’origine de cette initiative
fondée sur le respect de l’utilisateur, la transparence à son égard
pour ce qui concerne la collecte et le traitement des données, et
le refus de compromis dans lesquels la vie privée serait sacrifiée
au profit d’autres objectifs. Les principes de base sont le caractère
proactif des mesures de sécurité, le fait que, par défaut, la protection
des données est assurée, toute dérogation devant avoir l’approbation
de la personne concernée, le fait que la protection des données
doit être considérée comme partie intégrante des fonctions du système
d’information, plutôt qu’une fonctionnalité annexe, et qu’elle doit
être maintenue tout au long du cycle de vie de l’information collectée.
83. Ces principes sont applicables aussi bien au domaine de la
technologie de l'information, qu’à celui des pratiques métiers et
de l’infrastructure physique. Un portail internet est consacré à
cette approche
,
qui outre une présentation générale, démontre l’applicabilité de
la démarche au travers de nombreux cas d’études, montrant ainsi
qu’il est possible de concevoir des systèmes efficaces et répondre
aux exigences-métier sans pour autant sacrifier la protection des
données.
Cloud computing
84. Le cloud computing est
un paradigme IT récent. Le terme fait référence à la fois aux services
accédés et délivrés via l'internet, et aux systèmes d’information
et à l’infrastructure matérielle et logicielle qui fournit ces services.
85. Le cloud permet une
grande flexibilité dans la gestion et l’allocation des ressources,
où le modèle d’investissement s’oriente plus vers un modèle de facturation
à l’usage, ainsi qu’une grande souplesse dans l’intégration de services,
de manière intra- ou interorganisationnelle, indépendamment de l’implantation géographique.
86. Les services de type
cloud peuvent
être offerts à différents niveaux; on distingue généralement trois modèles
différents:
- les services offerts
sont de type «infrastructure» (IaaS), soit principalement du matériel
et du logiciel de base, ainsi que de la connectivité; la gestion
de cette infrastructure est laissée au client;
- les services offerts prennent la forme d’une plate-forme
opérationnelle (PaaS), composée de l’infrastructure, mais aussi
de l’environnement logiciel permettant au client de développer ou
d’exploiter ses propres applications; la gestion de l’ensemble est
donc partagée entre le fournisseur de service et son client;
- le fournisseur offre ici une solution applicative complète
à son client (SaaS), en prenant en charge à la fois l’infrastructure,
mais aussi l’application. De tels services sont offerts par exemple
par salesforce.com, pour la gestion commerciale, ou par Google,
au travers de ses services mail, documents, agenda, etc.
87. Le cloud computing constitue
donc une extension du périmètre de sécurité vers l'internet, où
il est fort compliqué d’effectuer un contrôle efficace. Le stockage
de ses données est confié par l’utilisateur à un tiers, le fournisseur
de services, qui les héberge et les traite dans des conditions bien
souvent inconnues de l’utilisateur. Cela nécessite une réelle relation
de confiance entre l’utilisateur et le fournisseur de services.
Cette confiance peut être renforcée par des garanties contractuelles.
Les défis principaux se situent autour de la protection des données
confiées au cloud, de la préservation
de leur intégrité et du maintien d’un contrôle d’accès approprié.
Inspection en profondeur du
trafic
88. L’information circulant sur un réseau est classiquement
transmise sous forme de paquets, formés d’un en-tête et d’un corps;
l’en-tête contient l’information nécessaire pour permettre aux équipements
réseaux traversés de mener le paquet jusqu’à sa destination.
89. Le filtrage du trafic réseau, opéré principalement par des
pare-feux (firewalls), se
base, pour autoriser ou non le transit, sur les informations de
routage présentes dans l’en-tête des paquets, soit principalement l’origine
et la destination du message. L’inspection en profondeur du trafic (deep packet inspection) se base en
plus sur des critères de contenu, en analysant non seulement l’en-tête,
mais aussi le corps du message, c’est-à-dire son contenu.
90. La technique est évidemment plus coûteuse en temps et en ressources.
Elle permet d’améliorer la sécurité des systèmes d’information,
en détectant et filtrant le contenu malicieux. Mais elle peut aussi
être détournée à des fins de surveillance ou de censure.
4. Défis liés à l’usage
4.1. Traitement de données
Par les autorités publiques
91. Le développement de l’«e-gouvernement» à partir de
l’utilisation des TIC conduit à une organisation en réseau des autorités
publiques. Cette évolution se base essentiellement sur le partage
de données entre autorités, la création de fichiers de référence
et de vastes entrepôts de données et l’interconnexion de bases de
données autrefois indépendantes. Ce modèle suscite d’importantes
interrogations relatives à la protection de la vie privée. Le modèle
antérieur de l’administration «en silos», chaque entité disposant
d’informations propres, isolées, destinées à réaliser la mission
légale de l’entité, était présenté comme la garantie contre un Etat
omniscient à l’égard duquel le citoyen serait totalement transparent.
L’«obscurité pratique» était la clé de l’équilibre dans la relation
administration-administrés. Cette garantie a disparu au nom de l’efficacité.
On doit aujourd’hui impérativement poser la question de la maîtrise
par chacun des informations collectées à son propos, de la transparence
des échanges et de la proportionnalité des traitements.
92. Le recours aux identifiants uniques servant d’instruments
d’interconnexion et d’accès transversal aux données d’un individu
augmente encore les risques de perte de contrôle et de non-respect
de la proportionnalité. Les inquiétudes face aux traitements de
données personnelles par les autorités publiques sont accentuées
par le fait que ces traitements servent de base à la prise de décisions
telles l’octroi d’une pension, la reconnaissance d’un statut particulier,
l’établissement de l’impôt, l’ouverture d’enquêtes pénales, etc.
93. Martin Scheinin, rapporteur spécial des Nations Unies pour
la protection et la promotion des droits de l’homme et des libertés
fondamentales dans la lutte contre le terrorisme, condamne, dans
son rapport à la 13e session du Conseil des droits de l’homme de
l’ONU, l’érosion de la vie privée du fait des mesures adoptées pour
lutter contre le terrorisme
.
De nombreux Etats ont considérablement élargi leurs pouvoirs en
invoquant la sécurité nationale et la sûreté publique, notamment
la surveillance ouverte ou secrète, l’interception des communications
et le profilage des personnes.
94. La Convention du Conseil de l’Europe sur l’accès aux documents
publics (STCE no 205) s’efforce de trouver un équilibre entre le
droit à l’information et la protection de la vie privée et des données
à caractère personnel.
Par les entités commerciales
95. Les données personnelles représentent une valeur
économique. Cette valeur est importante à trois niveaux:
- pour les fournisseurs de services
internet car connaître le profil des internautes intéressés par
les produits ou services et pouvoir détailler très précisément leur
intérêt (pages web lues, liens cliqués, fréquence des visites, etc.)
permet de configurer l’offre de manière optimale;
- pour les utilisateurs commerciaux des bases de données
contenant des informations à caractère personnel, car la collecte
de données tous azimuts permet de constituer de très riches bases
de données exploitables et revendables pour des activités de communication
et de publipostage;
- pour le fonctionnement réel du web, car la gratuité de
la plupart des services offerts sur le web n’est que de façade.
L’exposition publicitaire des utilisateurs finance l’offre. Le modèle
économique repose sur le marketing. Celui-ci sera d’autant plus
rentable que le profil des destinataires est précis et permet de cibler
efficacement les messages publicitaires .
96. Dans ces trois schémas, la collecte et le croisement d’informations
conduisant à dessiner les profils des utilisateurs deviennent des
opérations cruciales. Ces opérations se font toutefois dans de trop
nombreux cas à l’insu des personnes concernées. Elles impliquent
souvent une utilisation des données au-delà des finalités originelles.
Et la quantité des données collectées pose inévitablement la question
de la proportionnalité. Est-il nécessaire ou tout simplement normal,
par exemple, que les moteurs de recherche (comme Google) conservent
durant des mois tous les mots introduits par une personne (individualisée
grâce à un cookie) ? Cet ensemble de mots est le plus souvent incroyablement
révélateur de ses centres d’intérêts, ses activités, ses projets,
etc.
97. La Commission nationale de l’informatique et des libertés
(CNIL) surveille et punit les violations de la vie privée et de
la protection des données en France depuis 1974. Dans le passé,
90 % des cas traités par la CNIL étaient des violations commises
par le secteur public. Désormais, c’est le secteur privé qui représente
90 % des cas. De 2005 à 2009, le nombre des cas a triplé. Dans sa
décision 2011-35 du 17 mars 2011, la CNIL a prononcé une amende
de 100 000 euros à l’encontre de Google-France pour avoir collecté
et traité secrètement un grand nombre de données à caractère personnel
résultant de ses réseaux Wi-Fi et des services Google Location Server
pendant la captation d’images prises par des caméras mobiles pour
les services Google Map et Google Street View
.
Par les employeurs
98. Les TIC ont mis entre les mains des employeurs des
outils de surveillance inimaginables autrefois. Les cartes magnétiques
d’accès aux locaux disent à l’opérateur du réseau qui se trouve
où et à quelle heure, alors que les clés classiques étaient muettes
à ce sujet. Les réseaux de caméras permettent de surveiller les visiteurs
aussi bien que le personnel. La surveillance du personnel s’effectue
également par le contrôle de la navigation sur l'internet et l’usage
du courrier électronique mis à la disposition des travailleurs.
Pour les employés qui travaillent hors des murs de l’entreprise,
les systèmes de localisation et de suivi géographique permettent
de gérer à distance les flottes de taxis, les véhicules en panne
ou les véhicules en circulation, et de surveiller leurs déplacements
en temps réel.
99. Les TIC représentent aussi des instruments de connaissance.
Bon nombre d’employeurs utilisent l’internet pour se renseigner
sur les candidats à l’embauche. Google et Facebook, notamment, jouent
ainsi le rôle d’indicateurs et révèlent au futur patron des facettes
des candidats qui ne se trouvent pas sur leurs CV.
100. Il existe de nombreux cas de violations de la vie privée par
les employeurs, l’un des plus célèbres, et des plus graves, étant
celui de Deutsche Telekom. En 2005 et 2006, des hauts dirigeants
de Deutsche Telekom (Bonn, Allemagne) avaient embauché un détective
privé pour enquêter sur des allégations de fuites au sein de la
société. Deutsche Telekom avait utilisé secrètement des données
qui provenaient des téléphones mobiles et des ordinateurs de membres
du personnel et de journalistes. A la suite de la révélation de
ce scandale dans les médias en 2008, le parlement allemand et le
procureur de Bonn ont commencé leur enquête. Deutsche Telekom a
ensuite créé le poste de commissaire interne à la protection des
données et réclamé des dommages-intérêts aux dirigeants licenciés.
101. Le Comité consultatif de la Convention no 108 analyse actuellement
la nécessité de réviser la Recommandation no R (89) 2 concernant
la protection des données à caractère personnel utilisées à des
fins d’emploi.
Un rapport
préparé pour le comité consultatif par M. Giovanni Buttarelli, superviseur
adjoint de la protection des données à l’Union européenne, formule
des propositions pour réviser cette recommandation du Conseil de
l'Europe. Il suggère qu’«il serait souhaitable de décourager plus
explicitement les activités impliquant, même de manière discontinue,
le traitement de données à caractère personnel visant directement et
principalement à opérer une surveillance à distance (physique ou
virtuelle) de l’activité professionnelle et d’autres activités personnelles.
L’employeur devrait s’abstenir d’utiliser les résultats de tels
traitements illicites, même si les travailleurs en ont été informés»
.
Par les individus eux-mêmes
102. Dans bien des cas, les individus ne prennent pas
la pleine mesure de la portée de leurs actions sur l’internet. Le
Web 2.0 leur a donné la possibilité d’interagir, d’apporter des
commentaires, de diffuser eux-mêmes du contenu, de partager en continu
savoirs, photos, vidéos, informations, états d’âme, etc. Cependant, la
propagation des informations sur l'internet dépasse parfois considérablement
ce que l’on pourrait attendre. L’exemple des informations tirées
des pages publiques de Facebook et jointes automatiquement, à l’insu
de la personne concernée, par un logiciel de courrier électronique
aux courriels envoyés a déjà été cité ci-dessus. La puissance des
robots «ratisseurs» qui alimentent les moteurs de recherche permet
de faire remonter des informations trouvées à des endroits épars,
publiées à l'attention d'un public qu'on croyait restreint. Ce qui
est émis dans un certain cercle (par exemple un commentaire déposé
sur un forum de discussion) risque donc de réapparaître, sorti de
son contexte et juxtaposé à d’autres informations.
103. Une fois l’information (texte, image, vidéo) diffusée, on
ne peut plus contrôler son parcours. L’effacer du site initial n’empêchera
pas qu’elle perdure dans les lieux où elle a été copiée ou téléchargée
avant son effacement. Et il est illusoire de vouloir contrôler que
l’usage qui est fait de l’information (notamment aux antipodes et
par des inconnus) respecte la finalité de sa diffusion première.
104. Cette perte de contrôle est d’autant plus inquiétante qu’elle
s’accompagne d’un «effet d’éternité». A l’inverse de la mémoire
humaine, la mémoire électronique n’efface rien d’une manière involontaire.
Des éléments peuvent remonter éternellement du passé tant qu’on
n’a pas pris la décision, le temps et l’énergie de les supprimer
(là où il est possible de les supprimer).
105. Des actes individuels malveillants peuvent aussi susciter
des inquiétudes. Diffuser une information diffamatoire ou confidentielle
sur Facebook, poster une vidéo intime ou humiliante sur YouTube,
ou créer un faux article sur quelqu’un dans Wikipedia peut causer
des dommages d’une ampleur sans précédent dans la vie «off line».
4.2. Profilage
106. Le Comité des Ministres du Conseil de l’Europe a
adopté l’an dernier la Recommandation CM/Rec(2010)13 sur la protection
des personnes à l’égard du traitement automatisé des données à caractère personnel
dans le cadre du profilage
.
Le profilage consiste à appliquer des algorithmes à des quantités d’informations
agrégées, pour mettre au jour des corrélations entre les données
et faire surgir des profils. Ces derniers sont appliqués à un individu,
pour décider du traitement à lui réserver (le considérer ou non
comme fraudeur fiscal, ou comme cible de marketing de tel produit,
ou comme voyageur terroriste potentiel, etc.). Motivé par un intérêt
économique (voir ci-dessus), sécuritaire ou autre, le profilage
est facilement réalisable à partir des informations disponibles
à grande échelle (traces, mots introduits dans les moteurs de recherche, etc.)
et, notamment, du recours aux cookies.
107. Le profilage répond à des besoins ou intérêts légitimes de
la société: analyse du risque, identification des fraudes, segmentation
des marchés, ajustement de l’offre à la demande, etc. Toutefois,
il peut amener à priver des individus de manière injustifiée de
l’accès à certains services. L’existence de profils conduit à ce
que l’information offerte est filtrée, triée, sélectionnée en fonction
du destinataire. Cela vaut aujourd’hui massivement pour les informations
commerciales. Sera-ce demain le cas pour toutes les informations?
Le profilage risque aussi d’être un instrument de discrimination.
Comment contester l’élaboration d’un profil ou son application inappropriée?
La plupart du temps, l’existence des profils échappe à la connaissance
des individus concernés et la compréhension de leurs critères d’élaboration
échappe à ceux qui les appliquent. Enfin, l’activité de profilage
suscite de graves préoccupations concernant la proportionnalité.
Les quantités de données collectées et la durée de leur conservation
sont dans bien des cas totalement excessives.
4.3. Rétention des données
108. Les données liées à l’utilisation de l'internet et
des nouveaux moyens de communication représentent une mine de renseignements
précieux pour les activités de recherche policière et de lutte contre
la criminalité. Depuis les attentats du 11 septembre 2001, des textes
ont été votés au niveau européen pour harmoniser les situations
dans lesquelles des données relatives au contenu ou des données
de trafic ou de localisation sont conservées pour être tenues à
la disposition des autorités pénales. Ces données portent sur la
durée, la date, les destinataires, le lieu de toutes les communications,
le volume des SMS/textos et des courriels, etc.
109. Il est intéressant de voir la progression de ces textes. La
Convention sur la cybercriminalité de 2001 prévoit que les Etats
peuvent imposer la conservation rapide de telles données, à la demande
d’une autorité, pour des données spécifiées et pour un maximum de
quatre-vingt-dix jours. La
Directive 2006/24/CE
sur la conservation de données, quant à elle, impose aux fournisseurs
de services de communication (internet, téléphone, mobiles, télécopie)
la rétention des données de trafic et de localisation de tout le
monde, de façon systématique et pour une durée entre six mois et
deux ans. L'évaluation de cette directive est en cours.
5. Conclusions
5.1. Autorégulation
110. Si la technologie suscite des inquiétudes, elle offre
aussi des solutions. La conception technique des outils peut veiller
à la minimisation des données collectées. L’exercice des droits
(d’accès, rectification, opposition) peut être facilité en prévoyant
une modalité électronique en ligne. La configuration par défaut
des options de diffusion des données peut être restrictive plutôt
que maximaliste. Le secteur privé peut donc, par application du
principe de «respect de la vie privée dès la conception» (privacy by design), apporter une réponse
aux préoccupations évoquées dans ce rapport. Il peut aussi adopter
ou inviter les internautes à utiliser les «technologies renforçant
la vie privée» (PET). La régulation du secteur privé ne se limite
toutefois pas aux technologies mais devrait également couvrir les
usages et pratiques en place dans ce secteur et évoquées ci-dessus.
111. Une étude sur les avantages économiques des technologies renforçant
la vie privée, préparée par la société de conseil London Economics
en juillet 2010 pour la Commission européenne, analyse les possibilités offertes
par ces technologies pour les sociétés privées et les individus
.
112. Une des faiblesses de l’autorégulation est qu’elle dépend
de l’initiative et de la bonne volonté des personnes concernées.
Il est clair qu’une plus grande sensibilisation collective met la
pression sur ces personnes et peut accroître leur motivation pour
des raisons liées à leur image ou celle de tout un secteur industriel.
Une autre faiblesse tient au fait qu’à la différence de la législation,
l’autorégulation n’est pas le fruit d’une confrontation de points
de vue devant aboutir à un équilibre. Les règles établies étant
la plupart du temps issues d’une seule catégorie d’acteurs, elles
ne reflètent que la prise en compte des préoccupations par ces seuls
acteurs et leur perception de l’équilibre socialement et économiquement
admissible.
113. Les mesures d’autorégulation devraient compléter et soutenir
les règles légales. Elles renforceraient très certainement leur
efficacité. Elles devraient être largement encouragées mais, étant
donné leurs faiblesses, ne devraient pas se substituer à l’action
du législateur national ou international. Pour qu’il réussisse, un
bon programme d'autorégulation devrait: apporter une valeur supplémentaire
et contribuer à une mise en œuvre appropriée des principes et des
règles inscrits dans le cadre légal, prenant en compte les caractéristiques
spécifiques des différents secteurs; impliquer toutes les parties
prenantes concernées, y compris les autorités de protection de données,
dans leur phase préparatoire et d'une façon transparente; prévoir
des mécanismes vigoureux de contrôle et d'exécution, qui favoriseraient
la confiance des individus; mettre en place, enfin, un mécanisme
pour sa révision et son amélioration régulières.
114. Cela étant, une amélioration de l’efficacité passera en outre
impérativement par une plus grande sensibilisation des usagers.
5.2. Droit international
115. Les législations existantes pèchent par un manque
d’efficacité et par des lacunes quant au contenu du régime de protection.
Tant la Convention no 108 que la Directive de l’Union européenne
sur la protection des données ont été conçues avant l’avènement
de l'internet. La dimension globalisée des services d’information, le
contexte virtuel et transfrontière n’ont pas pu être pris en compte
lors de l’élaboration de ce régime de protection. L’opacité terriblement
généralisée du système et les pernicieuses possibilités de surveillance
n’ont pu être anticipées.
116. Une opération de modernisation des textes s’impose assurément,
qui devrait conduire à intégrer de nouveaux principes tels celui
de la minimisation des données, du renforcement de la responsabilité,
du renforcement de la sécurité (incluant des obligations liées aux
violations de la sécurité des données). Les droits des individus
devraient être renforcés (droit d’opposition devant permettre notamment
de s’opposer à une décision automatisée, droit à la suppression
des données). Des obligations de transparence devraient être consacrées
ou réaménagées.
117. Le respect des législations pourrait être amélioré notamment
en renforçant les pouvoirs des autorités de contrôle et en instaurant
un droit d’action collective en justice. Un mécanisme de contrôle
des législations nationales préalablement à la ratification de la
Convention no 108 pourrait aussi être mis en place.
118. La Convention no 108 est le seul ensemble de normes avancées
existant dans ce secteur sous l’angle du droit international public.
Il est donc nécessaire d’encourager le plus grand nombre d’Etats
possible au niveau mondial à y adhérer et de commencer à rédiger
un nouveau protocole à cette convention afin d’adapter les normes
établies aux nouveaux défis.