Depuis les révélations d’Edward Snowden sur la surveillance de masse pratiquée par la NSA dans le monde, la protection des données est devenue un véritable enjeu social et politique. Pourtant, rares sont ceux à savoir à quoi correspondent précisément les données, à quoi elles servent et comment les protéger.
Les données personnelles, ce sont des informations qui, recoupées entre elles, permettent de former une cartographie d’un individu. Nom, prénom, âge, adresse mail mais aussi informations relatives à la santé, à la consommation, à la vie sexuelle et familiale… Ces informations sont récoltées, vendues, échangées, revendues, sans que l’on sache précisément qui possède quoi, pour combien, et dans quel but. Elles peuvent être récoltées grâce aux inscriptions sur des sites webs (marchands par exemple), grâce aux passages d’un internaute sur internet, laissant des traces dans les cookies, ainsi que grâce aux cartes de fidélité.
Par exemple : une femme fait depuis des années ses courses dans le même supermarché. A chaque fois qu’elle donne sa carte de fidélité, chacun de ses achats est rattaché à son profil, vendu par le supermarché à des acheteurs (qui ? Difficile à savoir. Le plus gros possesseur français de données, c’est La Poste). En analysant ses achats, en les faisant rentrer dans des algorithmes, on observe que la femme achète régulièrement de la bière, du vin, ainsi qu’une boîte de tampons par mois. Un jour, la femme achète un test de grossesse, le lendemain, elle en achète un second, et dans les semaines et mois qui suivent, elle n’achètera plus ni alcool, ni tampons.
Les algorithmes déduisent que madame X est enceinte. De façon assez précise, ils peuvent évaluer à combien de mois est la grossesse. Si cette même femme décide de consulter un site de vente entre particuliers pour s’acheter une voiture, les traces qu’elle laissera sur internet permettront aux possesseurs des données de lui envoyer des publicités, du mettre en place des suggestions sur ses réseaux sociaux, lui proposant de lui vendre une automobile adaptée aux enfants. La date de naissance de l’enfant sera évaluée précisément, et selon les informations que l’on tentera de recueillir, la femme recevra des publicités aux alentours de la date d’anniversaire de son enfant. En fonction des achats qu’elle fera, son profil sera de plus en plus précis, celui de son enfant aura commencé à être constitué avant même sa naissance.
Si cette récupération d’informations peut sembler anodine, elle ne l’est pas, car elle va directement à l’encontre du droit à la vie privée. La femme enceinte a le droit de ne pas vouloir que son supermarché, que des gestionnaires de données, que des concessionnaires automobiles, que Facebook et que peut-être la NSA, soient au courant de sa grossesse.
Des protections gouvernementales et communautaires
Les gouvernements nationaux se sont dotés il y a plusieurs décennies d’institutions visant à protéger l’identité numérique des citoyens : en France, il s’agit de la CNIL, en Belgique, de la CPVP, en Grande-Bretagne, de l’ICO. Pour l’Union Européenne, c’est le CEPD (Contrôleur européen de la protection des données). Cet organisme, créé en 2004, est une institution européenne à part entière, indépendante du triangle institutionnel, pour garantir une liberté totale, tant dans l’élaboration du budget que dans les recrutements ou les choix de stratégies. La CEPD a deux rôles distinctifs : superviser le traitement de données plus ou moins sensibles au sein des administrations européennes, et influencer, sensibiliser la Commission Européenne dans l’élaboration de lois.
Un champ d’action et un budget limités
Si le CEPD remplit son rôle consultatif, il n’est pas compétent pour tout ce qui relève du privé ; typiquement, Facebook et Google. De plus, le budget très limité (8 millions d’euros par an), ne permet pas de développer son activité et d’embaucher plus que les 55 salariés actuels. L’organisme est confronté à la complexité du système européen : les institutions et agences sont éparpillées entre plusieurs états aux juridictions différentes. Pour enquêter sur un sujet, il convient de partir à plusieurs, dans une équipe constituée d’experts, d’informaticiens, de juristes… Le CEPD ne peut donc traiter qu’un nombre limité de cas par an. Il est compétent pour les institutions communautaires, mais ne peut pas faire d’audits dans les administrations nationales : les états tiennent trop à leur souveraineté.
Enfin, la protection des données est confrontée à un problème plus profond : la conception même de vie privée. La convention européenne des droits de l’Homme la reconnaît, dans son article 8, en affirmant que “Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.” Cette conception n’est pas celle des Etats unis, où la constitution ne garantit pas le droit à la protection de sa vie privée, et où les données personnelles ont une valeur marchande plus institutionnalisée qu’en Europe. Ainsi, les entreprises américaines les plus puissantes, telles que Facebook ou Google, appliquent la loi américaine en ce qui concerne la récupération, le stockage et la vente de données personnelles.
Le Safe Harbour devient le Privacy Shield
Depuis 2000, un accord existait entre l’Europe et les Etats unis : le Safe Harbor (sphère de sécurité), garantissait que les Etats Unis protégeaient suffisamment les données des citoyens européens pour que ces dernières soient transférées et traitées sur le sol américain. Le 6 octobre, la Cour Européenne de justice a invalidé cet accord, jugeant que les données n’étaient pas protégées et que le recours possible pour les citoyens européen était trop faible. Le 2 février, un nouvel accord a été proposé par les Etats Unis et la Commission européenne : le Privacy Shield (bouclier de confidentialité). Selon Vera Jourova, la commissaire européenne en charge de la Justice, “Dans le contexte de cet accord, les Etats Unis ont assuré qu’ils ne conduisaient pas de surveillance massive ou indiscriminée des Européens.” Le nouveau texte, qui sera signé dans quelques semaines, prévoit notamment l’obligation pour les entreprises d’être en conformité avec les législations européennes, la nécessité de mieux informer les citoyens européens sur leurs droits, la création d’un poste de médiateur et la publication d’un rapport annuel pour attester de la non surveillance de masse des Etats-Unis.
Cependant, des voix s’élèvent déjà contre cet accord, considéré par le G29 (Organisme rassemblant toutes les CNIL des pays membres) comme un Safe Harbor Bis. En effet, le texte, très obscur, ne donne pas d’information concrète sur la protection des données des européens. Les termes ne sont ni clairs, ni précis, ce qui était pourtant une prérogative du G29 et du CEPD, le contrôle proposé n’est pas indépendant, et le médiateur n’a aucun pouvoir juridique. La commission européenne doit transmettre l’intégralité des documents aux instances expertes, et des modifications pourront être demandées. La résolution du litige sur la vie privée entre l’Union Européenne et les Etats-Unis n’est donc pas pour tout de suite.
Elena BLUM