Quel droit pour les données privées

Les données sont une richesse encore sous-estimée. Pourtant, elles font déjà la fortune de certaines entreprises qui savent en tirer parti. C’est le cas des géants du Web. Mais attention ! Pas question de faire n’importe quoi avec les données à caractère personnel (1). Rappel à la loi et aux règlements européens, applicables à partir de mai 2018.

Paradoxe des données, elles n’ont pas de définition juridique bien que leur utilisation soit encadrée par la loi. «La donnée n’a pas de définition dans le Code civil ni dans le Code de la propriété intellectuelle [CPI]», atteste Me Isabelle Landreau, avocate spécialisée en droit du numérique et des libertés individuelles. Qu’à cela ne tienne, la juriste a sa propre définition : «Il est important de différencier donnée et information. Une donnée est une information enregistrée sur un support numérique. À la différence de l’information qui peut être uniquement orale ou sur papier. La donnée envahit tout.»

Ce que dit la loi

L’article 2 de la loi Informatique et Libertés, promulguée le 6 janvier 1978, définit, quant à elle, parfaitement une donnée à caractère personnel : «[…] Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» Les articles 6 à 8 définissent, quant à eux, les conditions d’utilisation des données personnelles par un tiers, notamment les principes de finalité, de proportionnalité et d’exactitude. On y trouve également la liste des données ne pouvant être collectées (2) et leur durée de conservation, qui ne doit pas excéder la durée nécessaire à la finalité déclarée pour laquelle elles sont collectées et traitées.
Parallèlement à ces protections, la loi Informatique et Libertés offre des droits aux individus : le droit d’information, le droit d’accès, le droit de rectification et le droit d’opposition. En effet, toute personne a le droit de savoir si elle est fichée, dans quel[s] fichier[s] et peut s’opposer à y figurer. Enfin, la loi a prévu la nomination d’un correspondant à la protection des données à caractère personnel, couramment appelé «correspondant informatique et libertés» (CIL). Ce correspondant est chargé d’assurer l’application des dispositions de la loi à l’intérieur de l’organisme. Toutes ces dispositions sont déjà applicables en France depuis la loi modificative du 6 août 2004. La loi pour la République numérique, promulguée le 8 octobre 2016, renforce cette protection : portabilité des données, droit à la mort numérique (après un décès), loyauté des plateformes… Le pouvoir de la Cnil est renforcé et le montant des pénalités augmenté, jusqu’à 3 millions d’euros.

Les droits des citoyens en théorie renforcés

Sur le plan européen, le Règlement général sur la protection des données (RGPD), adopté le 14 avril 2015 et applicable à partir du 25 mai 2018, réactualise la directive européenne 95/46/CE de 1995. Le nouveau texte repose sur une logique de conformité et de responsabilité des acteurs du numérique quand le précédent reposait sur une logique de formalités préalables et d’autorisations. Dorénavant, cette responsabilité s’étend aux prestataires techniques du Web. Le RGPD clarifie et unifie aux entreprises de l’Union européenne concernées les règles relatives aux données à caractère personnel, notamment la mise en œuvre de méthodes assurant un niveau suffisant de protection, par exemple par la tenue d’un registre décrivant les données stockées, leurs usages et la durée de leur exploitation. Les citoyens européens se voient reprendre (en théorie) la main sur leurs données personnelles par la facilitation de l’exercice de leurs droits, notamment celui du droit à l’oubli (lire encadré p. 52), en plus des pouvoirs plus classiques de consentement, d’opposition… En théorie toujours, le RGPD s’appliquera à tout résident européen auprès de toutes les entreprises, y compris quand elles ne sont pas européennes, dès lors qu’elles ont un établissement en Europe.
La multiplication de sites web —qui imposent aux internautes d’accepter des conditions générales d’utilisation (CGU) en échange de l’accès gratuit à leurs services — rend cependant inopérante, dans les faits, la protection juridique des données à caractère personnel. Forts de leur CGU, les acteurs du numérique contournent toutes les lois de protection des internautes, d’autant plus facilement que leurs serveurs sont domiciliés hors de l’Union européenne.
Passons le cas particulier des utilisateurs des réseaux sociaux qui étalent leur vie privée sur la Toile. C’est leur choix, délibéré ou non… Mais les autres ? À l’évidence, la très grande majorité des internautes ne comprend pas le bénéfice financier indirect que tirent ces sites internet de l’observation, de l’enregistrement et de l’analyse de leurs comportements en ligne (cookies, historiques de navigation, objets et/ou services achetés en ligne, etc.). À partir de ces données, Facebook, Google et Amazon, parmi bien d’autres géants du numérique, négocient leur connaissance intime des internautes et des mobinautes auprès d’annonceurs publicitaires en mal de profils parfaitement ciblés.

Avocate au barreau de Paris, spécialiste des questions du droit numérique et des libertés individuelles, Me Isabelle Landreau est également cofondatrice du Cercle des femmes dans la cybersécurité (Cefcys). Photo : DR


3 conseils aux industriels

À tous les industriels désireux d’optimiser les données générées par leur écosystème, je propose, avant de se lancer, une procédure en trois étapes :

1. Analyser et classer les données par catégories : des inutiles aux plus utiles.
C’est un travail long et fastidieux, mais indispensable.

2. Définir les divers seuils de confidentialité selon la nature des données recensées : de l’accès totalement libre à l’accès le plus restreint.

3. Choisir dans son stock de données celles que l’entreprise industrielle a intérêt à partager avec un partenaire dans une opération commune où les deux parties seraient gagnantes.

La grande marchandisation

Le cas d’Alphabet, maison mère de Google, est très intéressant parce que sa stratégie d’encerclement de l’internaute est la plus aboutie. À travers différents services gratuits en ligne — moteur de recherche (Google), messagerie (Gmail), navigateur web (Chrome), espace de stockage (Drive), gestion de l’agenda (Agenda), accès à la plus grande vidéothèque du monde (Youtube), aide à la navigation automobile (Waze), etc. – Alphabet connaît l’internaute dans son intimité sans que celui-ci ne soit clairement averti de cette observation plurielle. Ainsi, combien d’internautes savaient que Google «lisait» leurs courriels sur la messagerie Gmail ? Interpellé au sujet de cette intrusion, le géant du Web a annoncé, royal, qu’il ne les consulterait plus. Plus récemment, Deep Mind, filiale d’Alphabet, a été épinglée par l’Information Commissioner’s Office, l’équivalent britannique de la Cnil, pour avoir livré à un établissement hospitalier privé les données de santé de 1,6 million de Londoniens sans leur consentement.
Il a fallu une jurisprudence européenne sur le droit à l’oubli (lire encadré ci-dessous) pour imposer à ce géant d’effacer, dans certains cas, le référencement d’URL donnant accès à des pages web où figurent des données à caractère personnel. Et encore, Google ne se soumet pas toujours et quand il accepte d’effacer des référencements, le geste est limité à l’espace numérique européen. Selon Me Isabelle Landreau, «les Français qui ont demandé à Google de déréférencer plus de 80 000 URL n’ont obtenu que 52 % de réponses positives». Pour compliquer la chose, les pouvoirs des différentes Cnil nationales en Europe s’exercent à l’intérieur de frontières -géographiques. En effet, de quels pouvoirs réels dispose une Cnil sur un acteur du numérique dont les serveurs sont situés hors de sa -juridiction ?

Quid des données privées à caractère non personnel ?

Si l’on se place maintenant du côté des entreprises, les problématiques diffèrent selon qu’elles adressent directement les clients (B-to-C) ou indirectement (B-to-B). Dans le cas du B-to-C, les règles qui s’appliquent sont les mêmes que celles qui s’imposent à tous les sites web grand public. Dans le cas du B-to-B, le droit qui pourrait s’appliquer est celui du Code de la propriété intellectuelle à condition de définir au préalable qui est le propriétaire des données. C’est là où le bât blesse. Prenons l’exemple d’une voiture : un moteur est composé de différents organes mécaniques, souvent développés et fabriqués par les sous-traitants du donneur d’ordre. Certains organes, comme la pompe à essence ou le système de refroidissement, sont producteurs de données (température, pression, etc.) collectées par des capteurs et envoyées à un logiciel de surveillance de la motorisation. Ces données appartiennent-elles au sous-traitant ou bien au donneur d’ordre ? En tout état de cause, le contrat qui les lie (quand il existe) apporte une réponse : il peut mentionner une cession du droit de propriété du sous-traitant au donneur d’ordre (et, dans ce cas, le sous-traitant se prive d’informations importantes sur ses produits, qui pourraient l’aider à les améliorer) ou un partage des informations. Entre un puissant donneur d’ordre et un sous-traitant lambda, on devine à qui profiteront les données. Mais entre un constructeur automobile et un équipementier de rang 1, le rapport de force a toutes les chances d’être plus équilibré, même si la négociation sur la propriété des données peut s’avérer complexe, chacun des acteurs ayant la possibilité de mandater une armada de juristes. La même question se pose dans le cas d’une ligne de production. À qui appartiennent les données collectées ? à son propriétaire ? Aux différents fabricants des machines-outils ? À la société d’ingénierie qui a imaginé et assemblé la ligne ? À la société chargée de sa maintenance ?
Enfin, le développement, annoncé comme exponentiel, des réseaux d’objets communicants, va également générer des données par milliards. Mais, là encore, à qui appartiendront-elles ? En attendant la nouvelle réglementation sur la propriété des données à caractère non personnel de la Commission européenne, qui cherche à favoriser la circulation des data entre pays, Me Isabelle Landreau a, quant à elle, arrêté une position : «Je défends l’idée qu’elles appartiennent, dans une relation B-to-C, à celui qui les génère, donc au consommateur du produit et/ou service. C’est encore plus vrai pour les données de santé.» Pour elles, «le citoyen doit devenir l’acteur de son propre destin numérique».
De son côté, le Conseil national du numérique a peur de la réglementation que prépare Bruxelles car elle pourrait renforcer la puissance des Gafam (Google, Apple, Facebook, Amazon, Microsoft). En effet, «le Conseil considère que les barrières à la circulation se situent moins au niveau des frontières nationales qu’à la rétention entre acteurs économiques» (3).
On le voit, la propriété des données est stratégique pour tous, d’où l’intérêt pour les industriels de travailler en amont sur cette pro-blématique — aujourd’hui à peine effleurée. Au final, ce sera le détenteur des données qui aura la meilleure information. Il sera donc le mieux armé pour le coup d’après. Une start-up, Dawex, a d’ailleurs flairé le bon filon en lançant une plateforme sur le modèle d’Airbnb, qui a pour objectif l’achat-vente de données.

Google, oublie-moi !

Le Règlement européen général sur les données personnelles, publié le 18 mai 2016, mais applicable à compter de mai 2018, a renforcé les lois nationales de protection des données à caractère personnel et reconnu le droit à l’oubli numérique, un droit né à la suite d’une plainte d’un Espagnol agacé de voir, à chaque recherche portant son nom, qu’y soit associée sa situation d’endetté, héritée de la crise des «subprimes», et malgré le fait qu’il ait soldé toutes ses dettes. Il a écrit plusieurs courriers à Google afin que soient retirées des informations erronées le concernant. Rien n’y fit au nom du droit d’informer (loi de 1881 sur la Liberté de la presse et de l’information), qui vient en contradiction avec le droit à la vie privée. Pourtant, Google a toujours pris soin de ne pas se définir comme un organe de presse.

Un droit acquis de haute lutte

Après de multiples recours judiciaires, l’affaire est parvenue à la Cour de justice de l’Union européenne. Celle-ci, après moult procédures dilatoires, a consacré le droit à l’oubli, notamment pour les données obsolètes. Selon Me Isabelle Landreau, «le droit à l’oubli — même après le déréférencement des pages web incriminées — n’existe pas totalement sur Internet parce que des données relatives à ces pages subsistent dans
les historiques de navigation et les cookies.

(1) Dans cet article, ne sont abordées que les données privées (private data).
Les données publiques – notamment celles émises par l’État, les collectivités territoriales, les hôpitaux, les établissements scolaires… voire de grandes entreprises – feront ultérieurement l’objet d’un article. La partie librement accessible de ces données («open data») permet déjà de créer de nouvelles activités économiques, à l’image de Doctolib, un site de prise de rendez-vous
chez les médecins.

(2) Les origines raciales, ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, ou celles relatives à la santé et à la sexualité sont interdites, étant qualifiées de données sensibles, sauf exception.

(3) Source : «La libre circulation des données dans l’Union européenne», avis du Conseil national du numérique, avril 2017.

Laisser un commentaire