Viviane Reding vient de dévoiler les premières orientations choisies pour la révision de la directive sur les données personnelles.
La commissaire européenne à la Justice et vice-présidente de la Commission européenne dresse ainsi les grandes lignes de la problématique actuelle : « alors que les sites de réseaux sociaux et les services de partages de photos ont apporté d’importants changements dans notre façon de vivre, les nouvelles technologies ont également suscité de nouveaux défis. Il est aujourd’hui plus difficile de détecter quand vos données personnelles sont collectées. Des outils sophistiqués autorisent la collecte automatique de donnée. Et ces données sont ensuite utilisées par des sociétés pour mieux cibler les individus ».
Le secteur privé n’est pas le seul mis à l’index : « les autorités publiques utilisent elles aussi de plus en plus les données personnelles dans une grande variété d’objectifs, y compris la prévention et la lutte contre le terrorisme et les faits criminels graves. »
La problématique qui se pose à l’échelle européenne se résume en quelques mots : comment la Commission européenne veillera-t-elle à la garantie des droits protégeant la vie privée ? Avant de dessiner quatre « piliers » pour assurer cet équilibre, Reding dit croire fermement à la nécessité d'améliorer le contrôle des individus sur leurs propres données.
La transparence : on doit être informé des données collectées et de la finalité du traitement. Il faut également identifier l'autorité à contacter en cas de violation de ces droits. En outre, les individus doivent être informés des risques liés au traitement afin qu’ils ne perdent pas le contrôle sur leurs données. Sur les réseaux sociaux, on pense à Facebook. Les informations doivent être énoncées de manière claire et intelligible, facile à comprendre, facile à trouver.
La vie privée par défaut : ceci touche aux paramètres de confidentialité, et doit aussi être une valeur à prendre en compte lorsqu’on soupçonne un traitement déloyal de données. Le cas typique est l’utilisation de ces données à des fins autres que celles pour lesquelles une personne avait initialement donné son consentement. Dans ces cas, il est nécessaire de solliciter le consentement explicite de l’individu.
La protection indépendamment de l'emplacement des données : on touche ici à la territorialité. Des normes protégeant les citoyens européens doivent s'appliquer indépendamment de la localisation géographique du prestataire, même s’il est basé aux États-Unis (Google, Facebook, etc.) Une société qui opère sur le marché UE ou qui s'adresse aux consommateurs de l'UE doit donc se conformer aux règles de l'UE. Et cette considération doit se trouver renforcée par des pouvoirs d’enquête accordés aux CNIL européennes.
En plus de ces quatre principes, Viviane Reding annonce que le futur texte encadrera la conservation des données aux fins d'enquêtes de police (virements bancaires, achat d'un billet d'avion, enregistrement et contrôles de sécurité aux aéroports, surfer sur Internet, envoyer des emails et des appels téléphoniques). Cette collecte est habituellement effectuée par des entreprises privées, à des fins commerciales et contractuelles, mais « peut alors être utilisées aussi par les pouvoirs publics dans le but d'enquêter sur le terrorisme et la criminalité grave » (voir le cas en France). Reding demande l’encadrement de ces mesures, qui doivent être définies et proportionnelles.
La collaboration des CNIL : l'exemple de Street View
Enfin, la Commissaire européenne souhaite renforcer l'indépendance, harmoniser les pouvoirs et la collaboration de toutes les CNIL européennes. Le cas des services comme Google Street View est évoqué : « ces derniers mois, vous avez probablement entendu parler des préoccupations dans de nombreux États membres de l'UE relatives aux services de cartographie en ligne, y compris des photos de rues et les maisons des gens. Une approche plus coordonnée au niveau de l'UE est nécessaire pour traiter de tels cas, d'une manière cohérente et efficace ». Pour la suite, des propositions législatives seront présentées cet été pour passer de la déclaration de principes au droit.
La commissaire européenne à la Justice et vice-présidente de la Commission européenne dresse ainsi les grandes lignes de la problématique actuelle : « alors que les sites de réseaux sociaux et les services de partages de photos ont apporté d’importants changements dans notre façon de vivre, les nouvelles technologies ont également suscité de nouveaux défis. Il est aujourd’hui plus difficile de détecter quand vos données personnelles sont collectées. Des outils sophistiqués autorisent la collecte automatique de donnée. Et ces données sont ensuite utilisées par des sociétés pour mieux cibler les individus ».
Le secteur privé n’est pas le seul mis à l’index : « les autorités publiques utilisent elles aussi de plus en plus les données personnelles dans une grande variété d’objectifs, y compris la prévention et la lutte contre le terrorisme et les faits criminels graves. »
La problématique qui se pose à l’échelle européenne se résume en quelques mots : comment la Commission européenne veillera-t-elle à la garantie des droits protégeant la vie privée ? Avant de dessiner quatre « piliers » pour assurer cet équilibre, Reding dit croire fermement à la nécessité d'améliorer le contrôle des individus sur leurs propres données.
Le droit à l'oubli : « les gens ont le droit - et pas seulement la "possibilité" - de retirer leur consentement au traitement des données ». Et c’est à celui qui traite vos données personnelles de prouver qu’il a besoin de les conserver plutôt qu’aux individus de démontrer que la collecte de leurs données n'est pas nécessaire. On relira ici le cas jugé en France de cette institutrice, ex actrice de film porno, qui a réclamé le retrait de son nom sous les résultats Google...
La transparence : on doit être informé des données collectées et de la finalité du traitement. Il faut également identifier l'autorité à contacter en cas de violation de ces droits. En outre, les individus doivent être informés des risques liés au traitement afin qu’ils ne perdent pas le contrôle sur leurs données. Sur les réseaux sociaux, on pense à Facebook. Les informations doivent être énoncées de manière claire et intelligible, facile à comprendre, facile à trouver.
La vie privée par défaut : ceci touche aux paramètres de confidentialité, et doit aussi être une valeur à prendre en compte lorsqu’on soupçonne un traitement déloyal de données. Le cas typique est l’utilisation de ces données à des fins autres que celles pour lesquelles une personne avait initialement donné son consentement. Dans ces cas, il est nécessaire de solliciter le consentement explicite de l’individu.
La protection indépendamment de l'emplacement des données : on touche ici à la territorialité. Des normes protégeant les citoyens européens doivent s'appliquer indépendamment de la localisation géographique du prestataire, même s’il est basé aux États-Unis (Google, Facebook, etc.) Une société qui opère sur le marché UE ou qui s'adresse aux consommateurs de l'UE doit donc se conformer aux règles de l'UE. Et cette considération doit se trouver renforcée par des pouvoirs d’enquête accordés aux CNIL européennes.
L'encadremement des enquêtes de police
En plus de ces quatre principes, Viviane Reding annonce que le futur texte encadrera la conservation des données aux fins d'enquêtes de police (virements bancaires, achat d'un billet d'avion, enregistrement et contrôles de sécurité aux aéroports, surfer sur Internet, envoyer des emails et des appels téléphoniques). Cette collecte est habituellement effectuée par des entreprises privées, à des fins commerciales et contractuelles, mais « peut alors être utilisées aussi par les pouvoirs publics dans le but d'enquêter sur le terrorisme et la criminalité grave » (voir le cas en France). Reding demande l’encadrement de ces mesures, qui doivent être définies et proportionnelles.
La collaboration des CNIL : l'exemple de Street View
Enfin, la Commissaire européenne souhaite renforcer l'indépendance, harmoniser les pouvoirs et la collaboration de toutes les CNIL européennes. Le cas des services comme Google Street View est évoqué : « ces derniers mois, vous avez probablement entendu parler des préoccupations dans de nombreux États membres de l'UE relatives aux services de cartographie en ligne, y compris des photos de rues et les maisons des gens. Une approche plus coordonnée au niveau de l'UE est nécessaire pour traiter de tels cas, d'une manière cohérente et efficace ». Pour la suite, des propositions législatives seront présentées cet été pour passer de la déclaration de principes au droit.
