À l’occasion de l’European Data Governance Forum (EDGF), les CNIL européennes, réunies autour du « G29 » ont publié une déclaration commune sur l’importance de la protection des données personnelles à l’ère du numérique.
Après une introduction où les références à Snowden se mélangent à celles de la généralisation des infrastructures numériques, cette déclaration repose sur 16 points qui rappellent l’importance de la donnée personnelle et donc de sa protection. Le premier rappelle que la protection des données personnelles est un droit fondamental, la donnée ne pouvant être considéré « comme un seul objet de commerce, un actif économique ou un bien de consommation », mais au contraire doit se conjuguer avec d’autres normes de même rang. Il s’agit notamment de la prohibition de toute discrimination, la liberté d'expression, mais également les impératifs de sécurité.
La donnée personnelle doit se conjuguer avec des normes de même rang
Cette déclaration enfonce évidemment une porte ouverte lorsqu’elle rappelle que « la technologie est un moyen qui doit demeurer au service de l'homme » ou que ce n’est pas parce qu’une technologie permet de faire ceci ou cela que ce moyen est conforme au droit. Cette porte ouverte, elle adresse une piqure de rappel bienvenue aux services en ligne : le respect des règles est l’une des clefs de confiance dans l’économie numérique.
L’effectivité de cette piqure passe inévitablement par une meilleure éducation au numérique, où le chapitre de la protection des données ne peut être esquivée. Elle passe aussi par des normes adaptées, mieux cloisonnées, contrairement à ce qui a été dénoncé outre-Atlantique par Snowden et qui plonge aujourd’hui les grands acteurs du web dans une crise de confiance.
Les CNIL européennes rêvent d’ailleurs de voir partout en Europe la possibilité de lancer des actions collectives en cas de violation massive de ces données. On pourra à ce titre relire l’expérience initiée en Autriche contre Facebook.
Contre la surveillance secrète, massive et indiscriminée
Plusieurs dispositions concernent la sécurité. Le G29 considère illicite par nature « la surveillance secrète, massive et indiscriminée de personnes en Europe ». Il reprend à son compte les conditions posées notamment par la CJUE pour souligner que « l'accès et l'utilisation de données par les autorités nationales compétentes doivent être limitées à ce qui est strictement nécessaire et proportionné dans une société démocratique. Elles doivent être soumises à des garanties substantielles et effectives ».
Ce passage laisse cependant un peu songeur en France puisqu’on s’interroge toujours aujourd’hui de l’effet de l’invalidation de la directive sur les données personnelles par la CJUE. Le Conseil d’État, lui, a déjà tranché : il estime au titre de l’obligation de conservation systématique prévue par notre législation, de ne réserver l’accès à des fins de police judiciaire qu’aux crimes et aux délits d’une gravité suffisante. Il recommande aussi de réexaminer les régimes prévoyant l’accès de certaines autorités administratives pour des finalités autres que la sécurité intérieure (notamment la HADOPI, l’ANSSI, l’administration fiscale, l’AMF). Mais pour l’instant ces vœux sont restés lettre morte.
Le texte poursuit de plus belle en réclamant que « le traitement de données personnelles dans le cadre d'activités de surveillance ne peut avoir lieu que dans le cadre de garanties appropriées définies par la loi, conformément à l'article 8 de la Charte européenne des droits fondamentaux ». Cependant, si l’actuel projet de règlement européen prévoit d’étendre son champ d’application à toutes les données personnelles issues de ressortissants européens, il sera difficile de jauger de l’effectivité de cette politique face à l’appétit américain mis en lumière par Snowden. Pour parer à cette problématique, les CNIL européennes recommandent aux acteurs du net de stocker les données sur le territoire de l’Union. Seule cette proximité assure un contrôle effectif des traitements… mais il s’agit évidemment que d'un souhait.
La question du Safe Harbour : doit-on disqualifier les États-Unis ?
Autre chose, « aucune des dispositions figurant dans les instruments européens visant à encadrer les transferts internationaux de données entre parties privées ne peut servir de base légale à des transferts de données vers les autorités de pays tiers pour des finalités de surveillance massive et indiscriminée - que ce soit celles de la Sphère de sécurité (« Safe Harbor »), de règles d’entreprise contraignantes (« BCR ») ou des clauses contractuelles types » affirment encore les autorités de contrôle. Ce point doit être raccroché à l’action intentée encore par notre Autrichien mécontent de la porosité des serveurs Facebook avec les nez de la NSA. Devant la CJUE, il tente de disqualifier de « Safe Harbour » les États-Unis. Ceci devrait permettre aux États membres de s’opposer ou mieux encadrer, s’ils l’estiment judicieux, les transferts de données outre-Atlantique, alors qu'aujourd'hui, les vannes sont ouvertes à plein régime...
Le G29 a ouvert sa déclaration à commentaires (via edgf@cnil.fr). Il promet de tenir compte de ces retours en 2015.
