Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'Europe au chevet de vos données personnelles

Sanction, droit à l'oubli, et FISA à l'oeil

Toutes ces questions reposent sur une problématique préalable : qu’est-ce qu’une donnée personnelle ? Une donnée avec un nom ou une donnée avec des éléments permettant d’identifier quelqu’un ? C’est la pseudonymisation. Des entreprises voudraient ainsi que si vous n’utilisez pas votre vrai nom, la protection soit moins musclée. « Nous pensons que la protection doit être la même entre le nom et le pseudonyme » rétorque le CEDP qui appuie la version « forte » de la Commission européenne.

 

Données personnelles EU Justice

Crédit image : Prends le contrôle de tes données personnelles par UE Justice

De vraies sanctions, un consentement lié au degré d'intrusion dans la vie privée

Richard Szostak (commission européenne) rappelle qu’« aujourd’hui, une entreprise active dans toute l’Union européenne doit traiter avec 27 délégués à la protection des données personnelles, c’est compliqué ! Aujourd’hui, la Commission préfère que les entreprises soient en contact avec le responsable du traitement situé dans le pays du siège. » Autre impératif : que les autorités de contrôle disposent d’un arsenal pour faire appliquer des règles. « Les sanctions doivent représenter plus que 10 minutes d’activités d’une entreprise ! »

 

Les auteurs du règlement l’affirment : « nous n’allons pas révolutionner le fond. Pour le principe du consentement, certains nous disent que dès l’ouverture d’un PC, des pop-up vont surgir pour exiger le consentement de l’individu. Ce n’est pas le cas ! Tout dépendra du degré d’intrusion dans la vie privée. Si cette intrusion n’est pas importante, le consentement explicite ne sera pas nécessaire » Timothy Kirkhope (rapporteur fictif) estime pour sa part qu’« il faut une proportionnalité, une clarté juridique, un système qui rende le pouvoir aux autorités de contrôles, des procédures de notifications, des demandes d’information, et des garanties de délais acceptables pour les contrôleurs ! ».

Se souvenir du droit à l'oubli

Sur le droit à l’oubli numérique, la Commission veut rassurer : « les entreprises qui se sont vues confier des données personnelles devront répondre aux demandes d’effacement quand ces données ne lui sont plus nécessaires ». Cependant, le droit à l’oubli ne viendra pas amoindrir la liberté d’expression, assure-t-on. L’article 80 de la directive prévoit ainsi plusieurs exceptions notamment pour les traitements de données menées dans le cadre du journalisme ou de la propriété littéraire...

 

« Il ne s’agira pas d’effacer des articles de presse en ligne ». Dans le même sens, quand des entreprises s’échangent des données, le droit à l’effacement devra rester possible et transparent. Mais des questions persistent : comment s’articulera le droit à l’oubli et les entrées Wikipedia par exemple ? Où placer le curseur ? « Peut-on effacer l’histoire ? » ira jusqu’à demander un des participants au colloque face aux intervenants. Sur ce point, on sait aussi le combat mené par la CNIL en France qui milite pour un droit à l’oubli sur les moteurs de recherche (voir notre interview).

Cloud, vie privée et FISA Act

Sophie int veld ALDE (rapporteur « fictif » ou shadow-rapporteur) rappelle pour sa part qu’aujourd’hui plus qu’hier encore, les autorités de police utilisent des données collectées à des fins non policières (banque, télécom, voyage…). Elles compilent les données aspirées par d’autres. Il faut aussi être très prudent sur le transfert international des données. « De l’autre côté de l’atlantique, notre allié américain est très intéressé par les données à des fins policières et judiciaires. Il y a une soif de données personnelles par les autorités américaines. Assurons-nous que l’accord commercial transatlantique visant à mettre sur pied une zone de libre-échange ne soit pas utilisé pour faciliter ce transfert de données… ». Un accord souvent évoqué dans nos colonnes pour la partie liée à la propriété intellectuelle.

 

FISA act FISAA

 

Ces problématiques dépassent le stade des simples intérêts commerciaux des acteurs du net, qu'ils soient géants ou start-up. Un rapport du Parlement européen sur la lutte contre le cybercrime et la protection de la vie privée dans le cloud souligne la toute-puissance du FISAA ou Foreign Intelligence Surveillance Amendment Act (p.33 du rapport).

 

Récemment reconduite, cette loi offre aux États-Unis une capacité d’analyse et de surveillance inédite sous le couvert habituel de la sécurité et de la lutte contre le terrorisme. L’article 1881a permet spécialement aux autorités de fouiller les données fournies par des personnes vivant en dehors des États-Unis à des services de cloud installés dans la juridiction américaine. Dans un tel contexte, les flux envoyés vers les nuages de Google, Amazon, Apple, ou Microsoft seront des mines d’information.

Cloud, confiance et poignard

Jérémie Zimmermann pointe lui aussi le pouvoir d’influence des gros acteurs du web sur ce texte, regrettant « ce lobbying des entreprises qui veulent faire la politique du Parlement européen ». « Le principal argument pour saper la protection des données est la croissance et l’emploi. Mais c’est une vraie politique industrielle en Europe qui créerait les conditions d’un marché de services européens reposant sur la confiance ! » Face aux pressions des acteurs américains, la Quadrature rappelle que les citoyens s’étaient mobilisés pour Acta et qu’aujourd’hui ce sujet est tout aussi politique.

 

Le règlement veut en théorie garantir le libre flux des données en Europe, sous l’œil d’autorités de protection indépendantes, travaillant de manière plus coordonnée. Outre des informations censées être plus claires, il dépoussière le droit à être oublié, celui d’accès ou de rectification, etc. Et ce texte compte aussi encadrer le transfert des données personnelles à l’échelle internationale. Des dispositions ô combien sensibles pour tous les éditeurs de service cloud.

 

parlement européen

Cloud, entre confiance et méfiance

Au Parlement européen, Jean Gomié, responsable Privacy chez Microsoft EMEA, voudra rassurer : d’un les données ont toujours voyagé sur Internet, deux, l’important avant tout est de garantir la transparence pour susciter la confiance des utilisateurs. Pour le représentant du géant américain, qui fut autrefois enseignant et un des responsables de la CNIL, il faut promouvoir le transfert des données à l’âge du cloud tout en assurant cette dose de responsabilité et de transparence… Microsoft a ainsi élaboré un centre de confiance où on peut voir la localisation des données et la manière dont elles sont traitées. Les comptes Hotmail, assure-t-il, restent en Europe, spécialement en Irlande ou au Pays bas.

 

Face à lui, Jérémie Zimmermann sera nettement plus mesuré. « Le cloud, c’est faire confiance à quelqu’un d’autre pour faire votre travail. En réalité, personne ne sait comment tout cela marche ». Dans 10 ans, qui peut dire ce que fera Facebook de son océan de données glanées à coup de « J’aime » et de liens « d’amitié » ? questionne le cofondateur de la Quadrature, « tout ce qu’on pourrait faire, c’est leur faire confiance ? » Pour l’association, le mot transparence est trop souvent un écran de fumée dans la bouche de l'industrie pour éviter la réglementation. Cette industrie aurait ainsi tout intérêt à gommer au maximum les barrières: « Leur business modèle est de vous faire croire que vous êtes sur une sphère de confiance avec vos amis, alors qu’en réalité, tout le monde est sur Facebook… ». Des zones de confiance, en réalité des bulles où sont enfermées, traitées et exploitées vos goûts, vos relations, vos affections, vos divergences, etc. personnelles.

 

Ces questions de confiance rappellent aussi les lacunes dont souffre le secteur : par exemple, sur le fait de rendre publiques les éventuelles violations de données personnelles. « Il y a toute une pression de l’industrie pour diluer les obligations de notification des violations de sécurité » commente encore Jérémie Zimmeramn.

Un coup de poignard par devant

Dans le même sens, Joe McNamee (EDRI, European Digital Rights) prévient : « quand on ne dit pas tout, la transparence est un coup de poignard par devant ». Il souligne l’extrême puissance des outils du net en matière de profilage, inscrit à l’article 20 du projet de règlement : « Grâce aux « J’aime », Facebook peut savoir si on fume, nos orientations sexuelles, notre situation familiale ». Des questions qui deviennent d’autant plus épineuses lorsque les données brutes sont exportées loin de nos frontières, aux États-Unis. Un exemple. La fonctionnalité Facebook Search. Celle-ci permet à l'utilisateur de profiler l'ensemble de ses amis Facebook pour détecter par exemple parmi les hommes mariés, ceux qui « aiment » des pages de prostituées... Cette fonctionnalité n'est qu'un tout petit avant-goût des possibilités gigantesques dont dispose Facebook.

 

facebook graph search

 

Sur ce terrain, Kim Zorbas, représentant de l’IAB (Interactive Advertising Bureau), organisation des acteurs de la publicité sur internet) défend cette possibilité pour les acteurs de profiler les individus. Il regrette que des normes risquent d’exiger une demande de consentement trop globale avant tout traitement.

 

Des dispositions inquiètent les organisations citoyennes comme l’article 6.1.f) qui rend licite un traitement de données personnelles s’il est « nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement ». En clair, les entreprises peuvent se passer de consentement si elles ont l’impression que le traitement répond à leur intérêt, à leur besoin. Si les verrous suffisants ne sont pas apposés, on imagine sans mal les risques liés au transfert de ces mêmes informations à d’autres acteurs…

Portabilité des données personnelles

D’autres dispositions suscitent des questionnements. Le BEUC (European Consumer Organisation) constate pour sa part que le texte initial de la Commission européenne était plus protecteur que les versions proposées par les commissions au sein du Parlement européen. L’organisation, qui fédère les associations de consommateurs en Europe, regrette les trop nombreux cas d’obscurité, par exemple la nouvelle politique « Privacy » de Google, mise en œuvre sans que soient informées les autorités néerlandaises, ou encore ce réseau social allemand qui s’est arrêté cette année sans offrir aux personnes les moyens de récupérer leurs données

 

Les associations de consommateurs regardent d’un œil attentif le droit à la portabilité des données. « Ce nouveau droit permettra aux consommateurs de faire fonctionner la concurrence sur le marché. Si on utilise un réseau social, une plateforme où sont stockées nos photos, on doit avoir la possibilité de changer d’entreprise ». Ce droit « existe dans le secteur des télécoms, il a donné des effets concurrentiels positifs, il faut le préserver dans le texte règlement ! ». Ce pouvoir est également défendu par l’EDRI (European Digital Rights) qui conteste les arguments des industriels selon lesquels la portabilité serait difficile, coûteuse et mettrait à mal le secret des affaires.

Un réglement, une directive, beaucoup de lobbying

Profilage des internautes, droit à l’oubli, transferts des données personnelles hors du territoire de l’UE… Les questions soulevées par le chantier du règlement et de la directive sur les données personnelles sont d’une importance capitale. Le Parlement européen a organisé un colloque cette semaine. PC INpact, seul média français sur place, vous en propose un compte rendu.


undefined

 

« En 1995, Mark Zuckerberg avait 11 ans et les téléphones portables avaient des antennes de 15 cm de long ! » Ce rappel historique de Richard Szostak, responsable de la Protection des données à la Commission européenne, marque la formidable évolution d’Internet depuis lors. Démocratisation de l’accès, essor du web 2.0, explosion des réseaux sociaux, emprise des moteurs de recherche, avènement du cloud, etc. Autant d’avancée, mais également de menaces face à ces aspirateurs à données. Ce constat souligne la question de l’encadrement du traitement de ces informations que les internautes livrent aujourd’hui par pelletées dans l’estomac des Google, Amazon, Facebook et autres géants, trop souvent sans le savoir.

 

La réglementation en Europe est actuellement assurée par une directive vieille de 18 ans épaulée par une décision-cadre du Conseil de 2008 pour la partie coopération policière et judiciaire en matière pénale. Début 2012, la Commission européenne a néanmoins introduit une réforme de la directive de 1995 par l’introduction d’un « paquet », composé d’un projet de règlement européen et d’une directive. Objectif affiché ? Redonner aux utilisateurs le contrôle sur leurs données tout en garantissant un développement des activités en ligne. Un équilibre délicat.

Directive -> règlement, décision-cadre -> directive

Une première réponse est déjà apportée par le choix de l’outil pour cette réforme. La directive de 95 va être remplacée par un règlement, la décision-cadre, par une directive.

 

Pourquoi ? La directive de 1995 a fixé des normes minimales à transposer dans les 27 législations différentes selon leurs spécificités. Certaines ont été transposées docilement, d’autres ont été enrichies lors de l’intégration dans le droit interne. Faute de coopération renforcée, c’est une jungle normative qui a été sécrétée faute de coordination entre les États membres. « Aujourd’hui le système actuel permet aux régulateurs de faire à peu près ce qu’ils veulent » assure Hielke Hijmans, représentant du Contrôleur aux données personnelles. Un exemple, parmi d’autres ? Certains États membres ont accepté Google Street View, d’autres non.

 

En remplaçant cette directive par un règlement, la Commission européenne veut unifier les règles sur tout le territoire européen sans divergence possible. Ce corps de règles identiques devrait aussi faciliter la vie des entreprises. Imaginons un citoyen suédois, armé d’un iPhone qui utilise une application Facebook ou surfe sur Google… À chaque strate, son lot de règles. Une même réglementation, c’est donc moins de paperasse, moins de viscosité administrative. Les études d’impact évoquent une économie de 2,3 milliards d’euros, dont 130 millions pour la seule réduction de la bureaucratie...

 

Des chiffres à manipuler avec précaution, mais le choix du règlement colmatera aussi et surtout les cas de « forum shopping » : exploiter les brèches d’un pays donné, car le climat réglementaire y est plus serein pour manipuler la donnée personnelle à pleins gaz.

Le lobbying entre dans la danse...

Le règlement est accompagné par une directive sur les questions pénales qui viendra remplacer la décision-cadre. Ces deux textes ont été introduits le 25 janvier 2012 par la Commission européenne puis transmis aux eurodéputés. Entre janvier et mars 2013, ces deux propositions ont été examinées par les commissions au Parlement européen. C’est la commission LIBE (liberté publique) qui est saisie au fond, mais d’autres commissions, dont JURI, affaires juridiques, ont été sollicitées pour proposer des amendements.

 

Ces travaux font maintenant l’objet de pourparlers entre les groupes politiques, l’enjeu étant d’obtenir un accord aussi large que possible. Avant les vacances d’été, un vote donnera mandat au rapporteur afin d’aller négocier avec le Conseil. La prochaine étape sera cette instance composée des 27 ministres des États membres. La procédure est celle d’une codécision : la réforme passera si les trois piliers sont d’accord, sinon on basculera dans une procédure de conciliation. Au plus tôt, le texte entrera en vigueur fin 2015.

 

facebook

 

Cette gestation législative est un chantier d’ampleur, mais surtout le terrain privilégié pour le lobbying. Les chiffres font tourner la tête : 3999 amendements déposés sur le règlement, 771 sur la directive. Des centaines de réunion informelle ont été organisées dans les bureaux feutrés des eurodéputés. Très sollicités, ces parlementaires sont la cible évidente pour les géants du secteur, au hasard les géants américains. On le comprend : une norme, favorable ou non, aura des répercussions immédiates sur l’exploitation de ce pétrole numérique qu’est la donnée personnelle. Des normes trop contraignantes, ce sont des flux de données qui ralentissent et des retombées publicitaires qui n’explosent pas.

 

« Il y a une grande tentation des lobbys et au sein du Parlement d’exclure certains secteurs du champ d’application de la réglementation » constate sans détour Hielke Hijmans qui cite le secteur financier, « mais nous sommes contre ! La protection des données doit s’appliquer partout pareil ! » Dimitrios Droutas (S&D, rapporteur pour la directive) regrettera pour sa part qu’au fil des pressions des gros acteurs du web au Parlement européen, on bascule doucement de la protection des données personnelles à celle du monde des affaires.

... parfois avec des études « complètement délirantes »

Jan Philipp Albrecht (Vert, rapporteur général) s’agace : « beaucoup d’entreprises rêvent de revenir en arrière. Mais si ces entreprises ne veulent pas respecter le droit communautaire, ce n’est pas à nous de nous adapter à leur comportement ! » Quant à Sophia In’t Veld (Alde, Shadow rapporteur), elle sait inévitables ces actions de lobbys. De nombreuses ONG sont d’ailleurs actives et ont contribué aux débats, tout comme des citoyens à l’instar du dossier Acta. « C’est aux parlementaires de prendre leur décision en leur âme et conscience ». S’ils décident de plier, « ils devront rendre des comptes ». La même eurodéputée rapporte d’ailleurs que les autorités américaines ont été impliquées de façon très étroite à ces réflexions « y compris lors de la rédaction du texte, ce qui me semble déplacé », commente-t-elle.

 

Ces pressions prennent plusieurs formes, directes ou indirectes. Jan Philippe Albrecht évoque par exemple ces études « complètement délirantes » menées sur l’impact de cette législation. Ainsi, une étude américaine a chiffré le coût du droit à l’oubli dans ce futur règlement à près de 4500 dollars par foyer…

 

données personnelles

 

L’initiative LobbyPlag avait pour sa part comparé de manière synthétique les amendements portés par les eurodéputés avec les versions rédigées par plusieurs grandes entreprises comme Amazon, Digital Europe (Microsoft, Apple, RIM, etc. ), EUROIspa (FAI, Google, etc.), eBay, la Chambre du commerce américain, etc. Les copies, parfois serviles, permettent ainsi à ces géants de cimenter leurs futurs revenus publicitaires (notre actualité).

0 commentaire
Il n'est plus possible de commenter cette actualité.