Prism, données personnelles : l’UE veut restaurer la confiance dans le Net

Le projet de règlement sur les données personnelles sera examiné aujourd’hui en Commission « Libertés civiles, justice et affaires intérieures ». Après examen des 4000 amendements déposés sur ce dispositif encadrant la manipulation de ces informations sensibles dans toute l’Europe, un texte sera voté en vue d’un compromis avec l’ensemble des États membres de l’Union. Pour l'eurodéputée Françoise Castex, l'enjeu est maintenant de restaurer la confiance dans l'Internet.

Le débat sur le règlement des données personnelles touche de plein fouet à la manipulation de ce pétrole du numérique, ces masses de données qui permettent aux gros acteurs notamment américains de profiler l’internaute et donc d’optimiser leurs retombées publicitaires. Gestion des cookies, mis en œuvre ou non du consentement préalable avant traitement, déploiement des outils de type Google Street View, big data, cloud et exportation des données hors UE… ces sujets portent aussi sur les données indirectement nominatives scrutant de près les pratiques de chaque particulier. Cet été, Joe McNamee (EDRI, European Digital Rights) décrivait en quelques mots la puissance d’analyse de ces aspirateurs à vie plus ou moins privée : « Grâce aux « J’aime », Facebook peut savoir si on fume, nos orientations sexuelles, notre situation familiale ».

Jusqu’à présent, l’encadrement de ces informations a été surtout géré à l’échelle locale par chacun des États membres rendant complexe la mise en forme d’une politique commune. Ces différences normatives ont aussi permis aux géants du net de profiter des brèches de ces législations pour s’implanter là où la météo juridique était la plus clémente.

Ces acteurs suivent le sujet comme le lait sur le feu. Lorsque le chantier du règlement sur les données personnelles a été lancé, très tôt a été dénoncée l’action de lobbying des acteurs américains qui craignent pour leur business plan. Des amendements issus de ces mêmes acteurs ont ainsi été portés servilement par des eurodéputés. Plusieurs sites ont comparé sans mal les versions proposées et celles effectivement déposées par les parlementaires, pareilles en tout point…

Restaurer la confiance

Depuis, les débats ont avancé, mais surtout a éclaté l’affaire Prism qui montre jour après jour comment les États-Unis sont en capacité de capter des wagons d’informations personnelles, au nez et à la barbe des CNIL européennes. L’affaire de trop pour l’eurodéputée Françoise Castex qui appelle à remuscler le dispositif face à l’hégémonie américaine : « après les scandales successifs de ces derniers mois, le Parlement européen doit restaurer la confiance des citoyens dans l'Internet. Pour ce faire, nous demandons que "le consentement explicite" du consommateur soit la règle et l'intérêt légitime de l'entreprise à collecter les données l'exception ! ».

« Le consentement devrait demeurer l'élément clé de l'approche de la protection des données de l'Union européenne, puisqu'il s'agit du meilleur moyen pour que les personnes puissent contrôler les activités de traitement des données. L'information communiquée aux personnes concernées devrait être présentée de façon simple et compréhensible, notamment au moyen de logos et d'icônes normalisées » expose dans son document de travail (PDF) la Commission Libé.

L’actuel projet de rapport propose par exemple que « l'utilisation d'options par défaut que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases précochées, n'est pas l'expression d'un libre consentement. »

Droit à l'oubli, droit à l'effacement

Le même texte veut également épauler le « droit à l'oubli » prévu par le texte initial avec un droit « à l'effacement numérique », principe dont on a vu dans l’émission 14h42 et dans notre dossier, les complexités de mises en œuvre notamment au regard de la presse. Avec lui, le propriétaire d’une donnée personnelle pourra en exiger la suppression et même l’effacement dans les moteurs de recherche afin de se refaire une virginité juridique. Ce droit à l'effacement est préconisé par la CNIL, mais critiqué par les acteurs du web.

Le texte veut permettre également aux citoyens de pouvoir récupérer gratuitement les données, cependant il se satisfait d’« un format électronique couramment utilisé, interopérable et, si possible, libre ». Il marque une certaine timidité encore lorsqu’il dit que « les réseaux sociaux devraient être encouragés, autant que possible, à stocker les données de façon à permettre une portabilité efficace des données pour les personnes concernées ». Ce droit à la portabilité devrait théoriquement permettre quiconque à récupérer les données stockées chez les acteurs du Net, afin notamment de contrôler les activités.

Sur le profilage, le projet soumis au vote de la Commission Libé, pose le principe selon lequel « toute personne physique devrait avoir le droit de ne pas être soumise à un profilage ou à des mesures fondées sur le profilage par traitement automatisé ». Cependant, il laisse la porte ouverte quand ces mesures sont autorisées par la loi ou surtout par contrat, « ou si la personne concernée y a donné son consentement ». Il faudra voir en pratique comment se déroule le recueillement du consentement du propriétaire de la donnée personnelle ou l’inclusion de ce dispositif dans des CGU que peu de personnes ne lisent.

Contrôle tes données

Pour aider à la compréhension de ces débats d’une complexité rare, la Quadrature du Net a lancé un site de sensibilisation, Controle-tes-données.net, afin d’informer quiconque sur les enjeux soulevés par ces questions juridiques. Face aux travaux de la commission LIBE et du rapporteur Jan Philipp Albrecht (Allemagne - Verts/ALE), la Quadrature rappelle que « le résultat de ce vote sera déterminant pour le contenu de la législation protégeant la vie privée des citoyens européens contre les pratiques prédatrices des géants de l'Internet et les programmes de surveillance mis en place par les services secrets ».

L’initiative invite aussi tous les citoyens à contacter leurs députés siégeant en Commission afin d’« exiger un débat transparent et la mise en place de solides protections pour leur vie privée ». Elle souligne enfin l’existence de son PiPhone qui permet « à tous d'appeler gratuitement les députés européens et de faire entendre sa voix ».