Les données personnelles, en tant que composantes de la vie privée, bénéficient d’un cadre juridique protecteur. Cela étant, malgré la mise en place d’un régime juridique de protection des données personnelles résultant à la fois du droit national et du droit de l’Union, ce droit est menacé. En effet, le radical changement d’échelle opéré dans la collecte, le transport et l’utilisation des données personnelles, qui constitue un tournant majeur dans l’histoire d’internet, soulève des interrogations sur le respect des principes et la fiabilité des systèmes de protection des données personnelles et partant sur l’utilisation susceptible d’en être faite, sans le consentement des intéressés.

Concernant ce cadre juridique protecteur, d'aucuns s'accordent pour affirmer qu'il est partiellement inadapté. Ce cadre soulève en effet les problématiques suivantes : comment sécuriser les données face à au phénomène  de «Big data» («mégadonnées») ? Comment renforcer le pouvoir des individus face à l’utilisation de leurs données ? Comment repenser la place et le rôle des autorités publiques ?

1. Rappel des risques liés à la perte de maîtrise des données personnelles

Le nouveau règlement européen sur la protection des données personnelles
Source : Conseil d'Etat, Section du rapport et des études

2. L'arsenal juridique français
En France, l'arsenal juridique pour la protection des données personnelles comporte notamment :

  • la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004;
  • la loi du 5 janvier 1988 relative aux atteintes aux systèmes de traitement automatisés des données;
  • la directive européenne de 1995 sur la protection des données personnelles, transposée en 2004;
  • la loi pour la confiance dans l’économie numérique (LCEN) du 22 juin 2004;
  • le projet de loi "Pour une République numérique" adopté par l'Assemblée nationale le 26 janvier 2016. Ce projet de loi prévoit notamment :
  • la portabilité des données (voir glossaire) : «un utilisateur devra pouvoir transférer simplement et gratuitement ses messages et ses contacts d’un fournisseur de mail à un autre, et récupérer facilement non seulement les contenus (photos, vidéos…) qu’il a mis en ligne, mais aussi les données associées à son compte (des classements de contenus, par exemple) dans un format exploitable»;
  • la loyauté des plateformes à l'égard des internautes, laquelle consiste notamment à donner davantage de lisibilité à leurs conditions générales. Ces dernières seront tenues de faire apparaitre clairement l’existence d’une relation contractuelle ou de liens capitalistiques avec les personnes référencées, ainsi que l’impact de cette relation sur le classement des contenus. Ce faisant, le gouvernement souhaite encourager la transparence des pratiques sur la toile et notamment celles très contestées de Google au regard du droit au respect de la vie privée des utilisateurs;
  • la confidentialité des correspondances privées;
  • le droit à l'effacement des données personnelles pour les mineurs : «Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données la concernant». Application pratique : en cas de difficulté pour obtenir l’effacement de données publiées lorsqu’une personne est ou était mineure, il sera désormais possible de saisir la CNIL qui statuera non plus dans un délai de trois semaines comme auparavant, mais sous 15 jours. Cela pourra conduire, par exemple, à la suppression de contenus postés par une personne alors qu’elle était mineure, et pouvant lui nuire pour trouver un stage ou un emploi;
  • la mort numérique : toute personne a le droit de décider par avance du sort de ses données en cas de décès. Possibilité d'établir un «testament numérique» : possibilité à chacun de faire respecter sa volonté sur le devenir de ses informations personnelles après sa mort.
  • des pouvoirs renforcés pour la Commission Nationale Informatique et Libertés (CNIL).

Par ailleurs, en 2014, le Conseil d'Etat a publié une étude annuelle intitulée «Le numérique et les droits fondamentaux» qui vise notamment à :

  • repenser les principes fondant la protection des droits fondamentaux;
  • renforcer les pouvoirs des individus et de leurs groupements;
  • redéfinir les instruments de la protection des droits fondamentaux et repenser le rôle des autorités publiques;
  • assurer le respect des droits fondamentaux dans l’utilisation du numérique par les personnes publiques;
  • organiser la coopération européenne et internationale.

3. Le règlement européen sur la protection des données personnelles

Le 14 avril 2016, le Parlement européen a adopté le règlement sur la protection des données qui sera applicable en 2018 dans tous les pays membres de l'Union européenne.
Ce règlement, très attendu, a fait l'objet de quatre années de travail.

Les principales dispositions sont les suivantes :

  • le droit à l’effacement des données;
  • le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles;
  • le droit de transférer ses données vers un autre fournisseur de services (portabilité des données);
  • le droit d’être informé en cas de piratage des données;
  • la garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible;
  • une mise en œuvre plus stricte et des amendes allant jusqu’à 4% du chiffre d’affaires mondial total d’une entreprise, dans le but de décourager la violation des règles.

Le projet de loi français «Pour une République numérique» a anticipé certaines de ces mesures comme le droit à l'oubli, la portabilité des données, etc.

Ce règlement s'accompagne d'une directive qui vise l'amélioration de la coopération au sein de l’UE des autorités policières et judicaires en matière de lutte contre la criminalité et le terrorisme.

  • Création d'un fichier européen des données des passagers aériens. : « Passenger Name Record » (PNR);
  • Harmonisation des législations;
  • Échanges plus efficaces d’informations nécessaires pour les enquêtes d'informations.

4. Glossaire

«Big data» («mégadonnées») : «phénomène qui fait référence à des technologies, outils, processus et procédures accessibles, permettant à une organisation de créer, manipuler et gérer de très larges quantités de données, afin de faciliter la prise de décision rapide». (Source : IDC)

CNIL (Commission nationale de l’informatique et des libertés) : Autorité administrative indépendante instituée en 1978 chargée de veiller à ce que l’informatique ne porte pas atteinte aux libertés, aux droits, à l’identité humaine ou à la vie privée.

Cybercriminalité : Selon la Commission européenne, le terme "cybercriminalité" englobe trois catégories d'activités criminelles :

  • les formes traditionnelles de criminalité, telles que la fraude et la falsification informatiques (escroqueries, fausses cartes de paiement, etc.);
  • la diffusion de contenus illicites par voie électronique (par exemple, ceux ayant trait à la violence sexuelle exercée contre des enfants ou à l'incitation à la haine raciale);
  • les infractions propres aux réseaux électroniques, c'est-à-dire les attaques visant les systèmes d'information, le déni de service et le piratage.

Donnée personnelle : «Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres». (Source : article 2 de la loi informatique et libertés).

Portabilité des données : Droit pour toute personne de récupérer ses données auprès des prestataires de services numériques en vue de les transférer à d’autres prestataires.

© Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.