Les données personnelles, en tant que composantes de la vie privée, bénéficient d’un cadre juridique protecteur. Cela étant, malgré la mise en place d’un régime juridique de protection des données personnelles résultant à la fois du droit national et du droit de l’Union, ce droit est menacé. En effet, le changement d’échelle radical opéré dans la collecte, le transport et l’utilisation des données personnelles, qui constitue un tournant majeur dans l’histoire d’internet, soulève des interrogations sur le respect des principes et la fiabilité des systèmes de protection des données personnelles et partant sur l’utilisation susceptible d’en être faite, sans le consentement des intéressés.

 Après avoir rappelé brièvement l'arsenal juridique français et européen pour la protection des données personnelles, nous examinerons les situations dans lesquelles les individus sont exposés au quotidien à de nombreux risques en raison d'une part de l'obligation de communiquer leurs données personnelles et eu égard d'autre part à l'importante collecte des données dont ils sont l'objet.

1. L'arsenal juridique français et européen

A. L'arsenal juridique français

  •  la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004;
  • la loi du 5 janvier 1988 relative aux atteintes aux systèmes de traitement automatisés des données;
  • la directive européenne de 1995 sur la protection des données personnelles, transposée en 2004;
  • la loi pour la confiance dans l’économie numérique (LCEN) du 22 juin 2004;
  • la loi «Pour une République numérique» du 7 octobre 2016 qui prévoit notamment :
    - la portabilité des données (voir glossaire);
    - la loyauté des plateformes à l'égard des internautes, laquelle consiste notamment à donner davantage de lisibilité à leurs conditions générales;
    - la confidentialité des correspondances privées;
    - le droit à l'effacement des données personnelles pour les mineurs;
    - la mort numérique : toute personne a le droit de décider par avance du sort de ses données en cas de décès.
    - des pouvoirs renforcés pour la Commission Nationale Informatique et Libertés (CNIL).

B. Le règlement européen sur la protection des données personnelles

 Après quatre années de travail et malgré les groupes de pression qui ont essayé de faire barrage à sa sortie, le Parlement européen a adopté de 14 avril 2016 le règlement sur la protection des données. Ce dernier a été transposé dans le droit français par la promulgation de la loi du 20 juin 2018 relative à la protection des données personnelles.

 Les principales mesures sont les suivantes :
- Le droit à l’effacement des données («droit à l’oubli»);
- Le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles;
- Le droit de transférer ses données vers un autre fournisseur de services (portabilité des données) ;
- Le droit d’être informé en cas de piratage des données;
- La garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible;
- Une mise en œuvre plus stricte et des amendes allant jusqu’à 4% du chiffre d’affaires mondial total d’une entreprise, dans le but de décourager la violation des règles.

 Concernant ce cadre juridique protecteur, d'aucuns s'accordent pour affirmer qu'il est partiellement inadapté face à la croissance exponentielle de la collecte et de l'utilisation des données personnelles (voir le phénomène des mégadonnées/«Big data»). On assiste à une profusion de la communication des données personnelles que les individus n'arrivent plus à maîtriser.

2. Les nombreux risques liés à la communication et à la collecte des données personnelles

A. L'obligation de communiquer ses données personnelles

 Pour illustrer l'obligation de communiquer ses données personnelles, nous avons choisi l'exemple du secteur hôtelier et de la restauration. En effet, cet exemple illustre parfaitement le fait que malgré les menaces de cybercriminalité qui pèsent sur les individus, les occasions de se faire escroquer ne cessent d'augmenter.

  • L'exemple du secteur hôtelier est assez significatif : une pratique devenue courante consiste à exiger, par téléphone, de la part des clients désirant réserver une chambre d'hôtel, la communication du numéro de leur carte bancaire. Cette pratique, forme de chèque en blanc, expose le client à un risque d'escroquerie, d'autant plus inadmissible qu'elle subordonne l'intérêt du client à celui du commerçant qui refuse de prendre le risque d'une réservation sans suite. De même, lorsqu'un client arrive dans un hôtel, le service d'accueil exige sa carte bancaire pour l'enregistrer ou prendre son empreinte. Cette pratique appelle les remarques suivantes :
    - la détention d'une carte bancaire n'a rien d'obligatoire ;
    - la communication de numéros de cartes bancaires ou la prise d'empreinte sont assimilables à la signature d'un chèque en blanc ;
    - de nombreux usagers ne possèdent pas de carte bancaire en raison de leurs situations précaires. Tous ces clients potentiels sont dès lors inévitablement exclus de la possibilité de réserver une chambre d'hôtel ;
    - la fraude à la carte bancaire est de plus en plus fréquente. On peut craindre à juste titre que l'hôtelier ou son personnel détournent ces données bancaires à leur profit. Eu égard à l'accroissement de la criminalité financière constatée au niveau de l'hexagone, on comprend aisément que certains clients refusent de communiquer leurs données bancaires ;
    - enfin, certains hôteliers qui ne sont pas toujours respectueux de la loi, n'effacent pas les données des clients dans leurs fichiers. Ils sont en infraction avec le RGPD qui dans son article 17 stipule que «la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais.». Cette pratique observée dans l'hôtellerie se retrouve au niveau de la restauration. En effet, lorsque qu'un client potentiel téléphone pour réserver une table, il lui est demandé de communiquer ses coordonnées téléphoniques, son numéro de carte bancaire, etc.
  • Un autre domaine où il existe la même pratique consistant à demander des numéros de carte bancaire est celui de la location de voitures. En effet, lorsque vous souhaitez louer une voiture, le concessionnaire vous demande par téléphone votre numéro de carte bancaire ou en exige l'empreinte lorsque vous venez récupérer le véhicule. Cette pratique peut conduire à des escroqueries de la part du loueur de véhicules. Les cas de fraudes sont nombreux et illustrent comme dans l'exemple précédent les dangers relatifs à la communication de données sensibles figurant sur une carte bancaire.

La France étant dans le top 3 européen de la fraude à la carte bancaire, des mesures devraient être prises pour interdire ces pratiques consistant à exiger systématiquement les coordonnées d'une carte bancaire aux clients potentiels. Les événements tragiques récents témoignent de la nécessité impérieuse de ne pas faire une confiance aveugle à ses interlocuteurs.

B. Collecte des données personnelles

La collecte et le traitement des données personnelles font désormais partie du quotidien des consommateurs, car ils sont devenus un enjeu commercial et économique majeur pour les professionnels. Mais les dérives sont nombreuses : atteinte à la vie privée, utilisations abusives ou malveillantes de ces données, usurpation d'identité, ...

  • Objets du quotidien, les objets connectés sont très proches de l'intimité des personnes et constituent une mine d’or pour les hackers qui peuvent utiliser les données personnelles et confidentielles à des fins malveillantes. Christophe Alcantra parle d'une vraie colonisation numérique. Leur développement expose les consommateurs non seulement au piratage mais également à l'utilisation commerciale de leurs données personnelles et à des atteintes à leur vie privée. Leur dangerosité tient principalement dans la quantité et la variété des informations personnelles qu'ils permettent de recueillir, ainsi que la géolocalisation des personnes et des objets mêmes. L'ensemble des données qu'ils peuvent fournir permet de connaître à peu près tout de notre vie privée et nous n'avons plus la maîtrise de nos informations personnelles. Dès lors, au-delà des progrès technologiques, il s'agit de parvenir à garantir l'anonymat des données collectées par ces appareils, qui amènent certes plus de progrès mais également plus de risques. Comme le souligne la CNIL, un des risques les plus importants est la «réutilisation malveillante des informations personnelles volées pour accéder à d'autres comptes en ligne de ces personnes, à des moyens de paiement ou à des demandes de crédit.» (...). «Un autre risque majeur est celui d'actions ciblées de la part des personnes malveillantes (hameçonnage, harcèlement) touchant potentiellement des enfants et leur famille à travers des messages très personnalisés». Malgré l'entrée en vigueur du RGPD, il ne faut pas s'attendre à voir la sécurité des objets connectés s'améliorer considérablement car comme le souligne un expert de Gartner, la plupart des fabricants qui commercialisent les objets connectés n'ont pas fait de la sécurité leur priorité et accordent plus d'importance aux considérations commerciales.
  • Les risques liés aux villes intelligentessmart cities») : pour Rob Kitchin, chercheur à la Maynooth University et spécialiste de la ville intelligente, cette dernière serait porteuse de nombreuses promesses en utilisant les ressources que procurent les technologies de l'information et de la communication (TIC) pour améliorer la gestion et le développement des espaces urbains. En effet, la ville intelligente propose des services connectés pour optimiser le cadre de vie des habitants, la mobilité urbaine, les économies d’énergie (parking, bornes de stationnement, systèmes d'arrosage, éclairage public, capteurs de pollution, etc.). Cela étant, et comme le soulignent certains, malgré leurs objectifs louables, les projets relatifs aux villes intelligentes vont permettre de «dresser un véritable réseau social des données à l'échelle d'une ville, ce qui met en cause la protection des données personnelles» écrit Philippe Mouron dans un article intitulé «Les risques des smart cities». En d'autres termes, la ville intelligente va conduire à une production exponentielle de données qui pourront être analysées, vendues et aboutir à un contrôle et à une surveillance des individus. De son côté, Rob Kitchin synthétise les enjeux de la vie privée et de la sécurité des données dans les villes dites intelligentes. L'auteur expose une série de six enjeux concernant la vie privée dans ces villes :
    1) l'intensification de la datafication;
    2) les risques croissants d'inférence liées aux modèles prédictifs;
    3) l'anonymisation insuffisante permettant la réidentification;
    4) l'opacité et l'automatisation des systèmes créant de l'obfuscation (voir glossaire) et de la perte de contrôle sur les données;
    5) les données partagées et réutilisées pour des usages et des finalités inattendues et imprévisibles;
    6) les mécanismes d'information et de consentement vides de sens ou absents. Face à la prolifération des données engendrées par la ville intelligente, comment faire pour s'assurer de la conformité d'une ville intelligente avec le règlement général européen de protection des données ? D'aucuns parlent d'une difficile conciliation de la ville intelligente avec les exigences posées par le RGPD, car plutôt qu'une «smart city» on serait en présence d'une «data city», détentrice d'un nombre colossal de données.
  • S'agissant de l'informatique en nuagecloud computing») (voir glossaire), nous nous heurtons également au problème de conformité entre le «cloud» et le RGPD. La protection des données personnelles a toujours été au cœur des débats autour du concept d'informatique en nuage et est devenu un véritable enjeu. Comment concilier le RGPD qui impose des règles contraignantes avec la question de la localisation des données dans le «cloud» ? En Europe, le cadre juridique de protection des données à caractère personnel s’appuie sur le principe suivant : il doit être possible de constater à tout moment la localisation des données (principe de territorialité). Or, le plus souvent dans un nuage public, cette localisation est impossible. En effet, les données peuvent être déplacées très rapidement, d’un État à un autre, en fonction des ressources disponibles au sein des infrastructures du prestataire. L’impossibilité de localiser les données dans les nuages publics pose le problème de la compétence des juridictions et du droit applicable. Avec l'informatique en nuage, qui «est le plus souvent fondée sur une absence de localisation stable des données» note la CNIL, le respect des contraintes légales devient de plus en plus problématique. Si certains fournisseurs de solutions s’engagent à ne localiser leurs centres de données («data centers») qu’au sein de l’UE, d’autres ne prennent pas de tels engagements. L’impossibilité de réaliser des audits, parfois imposés par un cadre réglementaire, ne permet pas de vérifier la mise en œuvre des mesures de sécurité.

3. Conclusion

 Les données sont partout et constituent la matière première de notre monde numérique. L’idée du « Big Data » est de transformer toutes ces données brutes en mine d’or car non traitées, ces données ne deviendront jamais des informations et resteront inexploitées. Mais cette manne exponentielle réclame surveillance et législation eu égard aux risques liées à l'explosion des données personnelles (atteinte à la vie privée, divulgation de données confidentielles, usurpation d’identité, etc.). L'Union européenne a souhaité renforcer la protection de ces données via le RGPD mais ce dernier ne pourra porter ses fruits que si les autorités et les particuliers font preuve de vigilance. En raison de la criminalité qui ne cesse d'augmenter, la maîtrise et la sécurité des données sensibles reste une priorité.

4. Glossaire

 Chèque en blanc : Chèque non rempli remis par le tireur (celui qui signe le chèque) à un bénéficiaire.
Note : Un chèque en blanc donne la possibilité au porteur de le remplir lui-même. Cette pratique est dangereuse car la personne qui se trouve en sa possession peut le remplir comme elle le souhaite et se désigner comme bénéficiaire.

 CNIL (Commission nationale de l’informatique et des libertés) : Autorité administrative indépendante instituée en 1978 chargée de veiller à ce que l’informatique ne porte pas atteinte aux libertés, aux droits, à l’identité humaine ou à la vie privée.

 Donnée personnelle : «Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres». (Source : article 2 de la loi informatique et libertés).

 Informatique en nuage («cloud computing») : Technique consistant à externaliser l’ensemble des ressources informatiques qui sont alors stockés et mutualisées par une société tierce sur des serveurs à distance et qui sont accessibles pour les utilisateurs via internet.
Note : Le prix à payer pour ce type de service n’est plus calculé sur l’infrastructure mais sur la consommation effective des ressources informatiques.

 Mégadonnées ("Big Data") : «Phénomène qui fait référence à des technologies, outils, processus et procédures accessibles, permettant à une organisation de créer, manipuler et gérer de très larges quantités de données, afin de faciliter la prise de décision rapide». (Source : IDC)

 Obfuscation : Stratégie consistant à publier des informations fausses ou imprécises afin de dissimuler les informations pertinentes.

 Objet connecté : «Matériel, disposant de composants électroniques lui permettant de communiquer des informations vers un autre objet, un serveur informatique, un ordinateur, une tablette ou un smartphone, en utilisant une liaison sans fil vers un réseau dédié (le plus souvent Internet)».
(Source : CIGREF)

 Portabilité des données : Droit pour toute personne de récupérer ses données auprès des prestataires de services numériques en vue de les transférer à d’autres prestataires.

 Règlement général de la protection des données (RGPD) : Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

 Ville intelligente ("smart city") : «Ville ayant pour objectif d’améliorer la qualité de vie des citadins en rendant la ville plus adaptative et efficace, à l’aide de nouvelles technologies qui s’appuient sur un écosystème d’objets et de services».
(Source : CNIL).

Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.