L'Europe au chevet de vos données personnelles

Jérémie Zimmermann pointe lui aussi le pouvoir d’influence des gros acteurs du web sur ce texte, regrettant « ce lobbying des entreprises qui veulent faire la politique du Parlement européen ». « Le principal argument pour saper la protection des données est la croissance et l’emploi. Mais c’est une vraie politique industrielle en Europe qui créerait les conditions d’un marché de services européens reposant sur la confiance ! » Face aux pressions des acteurs américains, la Quadrature rappelle que les citoyens s’étaient mobilisés pour Acta et qu’aujourd’hui ce sujet est tout aussi politique.

Le règlement veut en théorie garantir le libre flux des données en Europe, sous l’œil d’autorités de protection indépendantes, travaillant de manière plus coordonnée. Outre des informations censées être plus claires, il dépoussière le droit à être oublié, celui d’accès ou de rectification, etc. Et ce texte compte aussi encadrer le transfert des données personnelles à l’échelle internationale. Des dispositions ô combien sensibles pour tous les éditeurs de service cloud.

parlement européen

Cloud, entre confiance et méfiance

Au Parlement européen, Jean Gomié, responsable Privacy chez Microsoft EMEA, voudra rassurer : d’un les données ont toujours voyagé sur Internet, deux, l’important avant tout est de garantir la transparence pour susciter la confiance des utilisateurs. Pour le représentant du géant américain, qui fut autrefois enseignant et un des responsables de la CNIL, il faut promouvoir le transfert des données à l’âge du cloud tout en assurant cette dose de responsabilité et de transparence… Microsoft a ainsi élaboré un centre de confiance où on peut voir la localisation des données et la manière dont elles sont traitées. Les comptes Hotmail, assure-t-il, restent en Europe, spécialement en Irlande ou au Pays bas.

Face à lui, Jérémie Zimmermann sera nettement plus mesuré. « Le cloud, c’est faire confiance à quelqu’un d’autre pour faire votre travail. En réalité, personne ne sait comment tout cela marche ». Dans 10 ans, qui peut dire ce que fera Facebook de son océan de données glanées à coup de « J’aime » et de liens « d’amitié » ? questionne le cofondateur de la Quadrature, « tout ce qu’on pourrait faire, c’est leur faire confiance ? » Pour l’association, le mot transparence est trop souvent un écran de fumée dans la bouche de l'industrie pour éviter la réglementation. Cette industrie aurait ainsi tout intérêt à gommer au maximum les barrières: « Leur business modèle est de vous faire croire que vous êtes sur une sphère de confiance avec vos amis, alors qu’en réalité, tout le monde est sur Facebook… ». Des zones de confiance, en réalité des bulles où sont enfermées, traitées et exploitées vos goûts, vos relations, vos affections, vos divergences, etc. personnelles.

Ces questions de confiance rappellent aussi les lacunes dont souffre le secteur : par exemple, sur le fait de rendre publiques les éventuelles violations de données personnelles. « Il y a toute une pression de l’industrie pour diluer les obligations de notification des violations de sécurité » commente encore Jérémie Zimmeramn.

Un coup de poignard par devant

Dans le même sens, Joe McNamee (EDRI, European Digital Rights) prévient : « quand on ne dit pas tout, la transparence est un coup de poignard par devant ». Il souligne l’extrême puissance des outils du net en matière de profilage, inscrit à l’article 20 du projet de règlement : « Grâce aux « J’aime », Facebook peut savoir si on fume, nos orientations sexuelles, notre situation familiale ». Des questions qui deviennent d’autant plus épineuses lorsque les données brutes sont exportées loin de nos frontières, aux États-Unis. Un exemple. La fonctionnalité Facebook Search. Celle-ci permet à l'utilisateur de profiler l'ensemble de ses amis Facebook pour détecter par exemple parmi les hommes mariés, ceux qui « aiment » des pages de prostituées... Cette fonctionnalité n'est qu'un tout petit avant-goût des possibilités gigantesques dont dispose Facebook.

facebook graph search

Sur ce terrain, Kim Zorbas, représentant de l’IAB (Interactive Advertising Bureau), organisation des acteurs de la publicité sur internet) défend cette possibilité pour les acteurs de profiler les individus. Il regrette que des normes risquent d’exiger une demande de consentement trop globale avant tout traitement.

Des dispositions inquiètent les organisations citoyennes comme l’article 6.1.f) qui rend licite un traitement de données personnelles s’il est « nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement ». En clair, les entreprises peuvent se passer de consentement si elles ont l’impression que le traitement répond à leur intérêt, à leur besoin. Si les verrous suffisants ne sont pas apposés, on imagine sans mal les risques liés au transfert de ces mêmes informations à d’autres acteurs…

Portabilité des données personnelles

D’autres dispositions suscitent des questionnements. Le BEUC (European Consumer Organisation) constate pour sa part que le texte initial de la Commission européenne était plus protecteur que les versions proposées par les commissions au sein du Parlement européen. L’organisation, qui fédère les associations de consommateurs en Europe, regrette les trop nombreux cas d’obscurité, par exemple la nouvelle politique « Privacy » de Google, mise en œuvre sans que soient informées les autorités néerlandaises, ou encore ce réseau social allemand qui s’est arrêté cette année sans offrir aux personnes les moyens de récupérer leurs données

Les associations de consommateurs regardent d’un œil attentif le droit à la portabilité des données. « Ce nouveau droit permettra aux consommateurs de faire fonctionner la concurrence sur le marché. Si on utilise un réseau social, une plateforme où sont stockées nos photos, on doit avoir la possibilité de changer d’entreprise ». Ce droit « existe dans le secteur des télécoms, il a donné des effets concurrentiels positifs, il faut le préserver dans le texte règlement ! ». Ce pouvoir est également défendu par l’EDRI (European Digital Rights) qui conteste les arguments des industriels selon lesquels la portabilité serait difficile, coûteuse et mettrait à mal le secret des affaires.

par Marc Rees Publiée le 20/05/2013 à 16:23