L'Europe au chevet de vos données personnelles

Toutes ces questions reposent sur une problématique préalable : qu’est-ce qu’une donnée personnelle ? Une donnée avec un nom ou une donnée avec des éléments permettant d’identifier quelqu’un ? C’est la pseudonymisation. Des entreprises voudraient ainsi que si vous n’utilisez pas votre vrai nom, la protection soit moins musclée. « Nous pensons que la protection doit être la même entre le nom et le pseudonyme » rétorque le CEDP qui appuie la version « forte » de la Commission européenne.

Données personnelles EU Justice

Crédit image : Prends le contrôle de tes données personnelles par UE Justice

De vraies sanctions, un consentement lié au degré d'intrusion dans la vie privée

Richard Szostak (commission européenne) rappelle qu’« aujourd’hui, une entreprise active dans toute l’Union européenne doit traiter avec 27 délégués à la protection des données personnelles, c’est compliqué ! Aujourd’hui, la Commission préfère que les entreprises soient en contact avec le responsable du traitement situé dans le pays du siège. » Autre impératif : que les autorités de contrôle disposent d’un arsenal pour faire appliquer des règles. « Les sanctions doivent représenter plus que 10 minutes d’activités d’une entreprise ! »

Les auteurs du règlement l’affirment : « nous n’allons pas révolutionner le fond. Pour le principe du consentement, certains nous disent que dès l’ouverture d’un PC, des pop-up vont surgir pour exiger le consentement de l’individu. Ce n’est pas le cas ! Tout dépendra du degré d’intrusion dans la vie privée. Si cette intrusion n’est pas importante, le consentement explicite ne sera pas nécessaire » Timothy Kirkhope (rapporteur fictif) estime pour sa part qu’« il faut une proportionnalité, une clarté juridique, un système qui rende le pouvoir aux autorités de contrôles, des procédures de notifications, des demandes d’information, et des garanties de délais acceptables pour les contrôleurs ! ».

Se souvenir du droit à l'oubli

Sur le droit à l’oubli numérique, la Commission veut rassurer : « les entreprises qui se sont vues confier des données personnelles devront répondre aux demandes d’effacement quand ces données ne lui sont plus nécessaires ». Cependant, le droit à l’oubli ne viendra pas amoindrir la liberté d’expression, assure-t-on. L’article 80 de la directive prévoit ainsi plusieurs exceptions notamment pour les traitements de données menées dans le cadre du journalisme ou de la propriété littéraire...

« Il ne s’agira pas d’effacer des articles de presse en ligne ». Dans le même sens, quand des entreprises s’échangent des données, le droit à l’effacement devra rester possible et transparent. Mais des questions persistent : comment s’articulera le droit à l’oubli et les entrées Wikipedia par exemple ? Où placer le curseur ? « Peut-on effacer l’histoire ? » ira jusqu’à demander un des participants au colloque face aux intervenants. Sur ce point, on sait aussi le combat mené par la CNIL en France qui milite pour un droit à l’oubli sur les moteurs de recherche (voir notre interview).

Cloud, vie privée et FISA Act

Sophie int veld ALDE (rapporteur « fictif » ou shadow-rapporteur) rappelle pour sa part qu’aujourd’hui plus qu’hier encore, les autorités de police utilisent des données collectées à des fins non policières (banque, télécom, voyage…). Elles compilent les données aspirées par d’autres. Il faut aussi être très prudent sur le transfert international des données. « De l’autre côté de l’atlantique, notre allié américain est très intéressé par les données à des fins policières et judiciaires. Il y a une soif de données personnelles par les autorités américaines. Assurons-nous que l’accord commercial transatlantique visant à mettre sur pied une zone de libre-échange ne soit pas utilisé pour faciliter ce transfert de données… ». Un accord souvent évoqué dans nos colonnes pour la partie liée à la propriété intellectuelle.

FISA act FISAA

Ces problématiques dépassent le stade des simples intérêts commerciaux des acteurs du net, qu'ils soient géants ou start-up. Un rapport du Parlement européen sur la lutte contre le cybercrime et la protection de la vie privée dans le cloud souligne la toute-puissance du FISAA ou Foreign Intelligence Surveillance Amendment Act (p.33 du rapport).

Récemment reconduite, cette loi offre aux États-Unis une capacité d’analyse et de surveillance inédite sous le couvert habituel de la sécurité et de la lutte contre le terrorisme. L’article 1881a permet spécialement aux autorités de fouiller les données fournies par des personnes vivant en dehors des États-Unis à des services de cloud installés dans la juridiction américaine. Dans un tel contexte, les flux envoyés vers les nuages de Google, Amazon, Apple, ou Microsoft seront des mines d’information.

par Marc Rees Publiée le 20/05/2013 à 16:23