Protection de la vie privée ou liberté sur internet : faut-il choisir ?

I - L’Union européenne est l’endroit du monde où la protection des données personnelles est l’objet de la plus grande considération.

Cette protection est reconnue comme un droit fondamental par l’article 8 de sa Charte, qui affirme que le traitement des informations à caractère personnel nécessite un fondement légitime et tout spécialement le consentement des personnes concernées qui peuvent obtenir communication des données collectées.
Une directive européenne de 1995 précise les modalités de cette protection formalisée déjà par une loi française de 1978 corrigée en 2004. Ainsi des droits nouveaux ont été reconnus aux personnes fichées, des obligations nouvelles ont été mises à la charge des ficheurs et des commissions spécialisées comme la CNIL en France, ont été instituées pour faire appliquer ces règles.

Depuis le milieu des années 90, l’utilisation d’internet et de ses nombreux services par un nombre croissant de personnes a bouleversé la situation en rendant souvent illusoire le dispositif de protection mis en place.

À cet égard, Internet apporte deux modifications essentielles :

  • C’est un réseau mondial qui a fait perdre leurs marques à des normes européennes qui n’ont pas vocation à s’appliquer ailleurs. La collecte et le traitement par des entreprises américaines, des informations des internautes, le plus souvent à leur insu, représentent une atteinte massive à la vie privée. Les Etats-Unis ayant privilégié la voie de l’auto-régulation , ces entreprises réalisent en effet ces opérations en l’absence de toute norme sauf celles qu’elles veulent bien se donner. Les commissaires européens à la protection des données en sont réduits à leur adresser des courriers de protestation. A la suite, d’un de ces courriers, Google qui n’avait pas fixé de limite à la conservation des informations, a annoncé son intention de limiter à 9 mois cette conservation. Au début du mois (le 13 mai 2010), ces mêmes commissaires ont adressé une lettre à Facebook et à 20 sites de socialisation, pour protester contre la transmission d’informations sensibles sans le consentement des intéressés…
  • Seconde modification essentielle : ce sont désormais les individus eux-mêmes qui dévoilent sur le réseau et particulièrement sur les réseaux sociaux, des informations confidentielles les concernant. L’intérêt de la protection est ici mis en cause. On voit mal en effet pourquoi l’on devrait mobiliser des moyens pour une protection dont les premiers intéressés semblent se moquer complètement. A y regarder de près cependant comme certaines enquêtes l’ont fait, on s’aperçoit qu’il existe un paradoxe internet. Dans la très grande majorité des cas, les individus se montrent toujours très attachés au respect de leur vie privée mais ne veulent pas perdre pour autant, les services et les gratifications de toutes sorte que leur offre le réseau. Dans le calcul qu’ils font entre les inconvénients pour la vie privée de l’utilisation du réseau et les bénéfices qu’ils en retirent, ce sont ces derniers qui l’emportent très largement.

On rejoint ici la problématique proposée par le Parlement européen, qui s’est toujours montré très sensible au respect de la confidentialité des informations personnelles. Dans un rapport de 2001, il dénonce le système de renseignement américain Echelon qui permet de surveiller à l’échelle de la planète, l’ensemble des communications transitant par le téléphone, le fax ou internet. Depuis 2003, malgré l’accord donné par la Commission européenne, il a manifesté son opposition au transfert vers les Etats Unis, des données des passagers aériens se rendant dans un pays qui n’offre pas le même niveau de protection que celui de l’Union européenne. Il vient de remettre en cause en février 2010, la communication à la CIA et à l’administration fiscale américaine, des transactions bancaires qui à travers le monde, transitent par la société belge SWIFT.

Dans ces dernières affaires, on s’aperçoit que même si le Parlement européen ne bénéficie pas de toutes les prérogatives d’un véritable parlement, l’accroissement de ses pouvoirs après le traité de Lisbonne, n’est pas sans effet. Désormais, il semble qu’en matière de respect de la confidentialité des données personnelles, il faudra compter sur lui.

Avant d’étudier quelques pistes pour améliorer la situation, il est nécessaire de prendre la mesure de la situation présente qui n’incline guère à l’optimisme.

II - Le contexte actuel n’est en effet guère favorable à la protection des données personnelles

On constate qu’au cours de la dernière décennie, cette protection a été constamment remise en cause et écornée. Le paradigme sécuritaire a pris progressivement le pas sur celui des libertés. Une logique sécuritaire couplée avec une logique commerciale s’est imposée sans partage, rendant impossibles les compromis antérieurs.
La logique commerciale appréhende les données personnelles comme la matière première de l’économie numérique dont il ne saurait être question de limiter la production. La collecte automatique et invisible de traces sur le réseau procure des ressources commerciales de premier ordre. Grâce à elles, on va pouvoir tout connaître des goûts des consommateurs et personnaliser les offres de produits et de services.
La logique sécuritaire s’apparente à une véritable frénésie quand on constate par exemple qu’en sept ans, 30 lois ont été votées en France sur la sécurité, la justice et l’immigration et que les fichiers policiers se sont multipliés partout en Europe. Ces fichiers qui stockent des informations très sensibles, sont exemptés de tout contrôle et de toute limite au nom de ces raisons de sécurité. Depuis 2002, la législation européenne oblige les opérateurs de télécommunications et les fournisseurs d’accès à internet, à conserver les données de connexion pendant six mois minimum et deux ans maximum.

Le traçage des personnes sur le réseau est d’autant moins supporté qu’il est invisible. A côté de ce traçage, d’autres techniques de contrôle sont apparues qui n’on fait qu’aggraver la situation comme la biométrie, les puces RFID la géolocalisation par GPS ou encore la vidéosurveillance. Très significatif du changement de paradigme est le changement de nom de cette technique devenu tout récemment vidéoprotection.

Dans un tel contexte, les règles de protection des données sont de plus en plus difficilement applicables notamment comme on la vu sur un réseau comme internet. On peut en juger par le rappel de quelques unes de ces règles :

  • La règle de l’information préalable qui exige que le fiché sache qui le fiche et à partir de quelles informations ;
  • La règle de la finalité qui demande une explicitation des raisons du fichage ;
  • La règle de la proportionalité qui apprécie la pertinence des informations collectées et des excès possibles ;
  • La règle de limitation dans le temps du stockage des informations compte tenu des finalités annoncées ;
  • La règle de la sécurité des données qui doivent être protégées de tout risque de piratage et de vol
  • La reconnaissance d’un droit d’accès et de rectification de l’individu à ses données et même d’un droit d’opposition dans certains cas.

Le non-respect de ces règles engendre de nombreux abus sur internet comme la réception de publications non sollicitées, des piratages, des manipulations, des discriminations et parfois même des usurpations d’identité.

Il n’y a cependant pas un unique Big Brother qui bénéficierait de l’interconnexion de l’ensemble des données. Les différentes couches de surveillance ne communiquent pas entre elles et cette dispersion et ce relatif désordre nous préservent encore d’une totale transparence sociale.

III - Pour améliorer la situation, plusieurs pistes de réflexion sont envisageables

  • C’est en premier lieu, à l’individu qu’il revient de se défendre et de faire respecter ses droits. Aujourd’hui ces droits et les règles concernant le respect de la vie privée sont insuffisamment connus. Un effort d’éduction à l’école et de communication dans les médias sont indispensables. Une application comme les réseaux sociaux montre de manière évidente, l’urgence de cet effort.
    L’individu peut utiliser des techniques qui évitent le traçage ,sur le réseau, techniques qu’il faut promouvoir même si elles ne sont pas toujours à la portée de tout le monde. La labellisation des sites les plus respectueux de la confidentialité peut également apporter une aide. La directive européenne de 1995 estime qu’une offre de technologies non identifiantes devrait être encouragée même si jusqu’à ce jour les techniques qui permettent d’identifier les personnes ont été privilégiées. Par exemple, remplacer la télévision analogique par la télévision numérique c’est rendre totalement transparent le choix des programmes.
  • Face aux grandes organisations, l’individu tout seul ne peut que perdre. Aussi, on doit faire en sorte que tous les acteurs respectent les nouvelles règles. Par exemple, La CNIL a rappelé récemment à des entreprises installées sur le territoire français, l’interdiction de l’envoi de spams.
    Les difficultés viennent de ce que les lois françaises et européennes ne s’appliquent pas partout et notamment aux Etats-Unis, pays qui recueille le plus grand nombre de données personnelles dans le monde. Le moteur de recherche Google consulté par plus de 80 % des 1,5 milliards d’internautes, établit à l’insu des personnes intéressées une sorte de cartographie planétaire des identités. Le problème de la propriété des informations produites par le réseau n’est jamais posé. L’individu jouit de la plus grande liberté sur le réseau mais cette liberté aboutit au plus grand traçage et fait de lui un suspect éventuel et une cible commerciale. La surveillance de ses transactions permet d’anticiper ses réactions et de l’influencer.
    Les Etats-Unis, moins confiants dans l’Etat que les Européens, ont privilégié l’auto-réglementation qui laisse aux entreprises la définition des règles et des limites. Cette auto-réglementation n’offre pas le même niveau de protection que celui de l’Union européenne qui exige pour la transmission à l’étranger, des données de ses ressortissants, un niveau équivalent. On voit donc l’énorme décalage entre la réglementation et la réalité. La protection d’énormes stocks d’informations sur les citoyens européens reposent pour le moment sur la seule bonne volonté d’entreprises géantes qui inventent chaque jour, de nouveaux services et qui ne sont pas prêtes à se priver des facilités qui sont présentement les leurs.
    L’idéal serait d’établir dans un futur pas trop lointain, une charte mondiale « Informatique et libertés » qui garantirait à tout internaute, l’accès à son double numérique avec la possibilité d’en effacer des parties s’il le souhaite.
    Une solution plus réaliste serait de baisser le niveau de protection européen pour le mettre en concordance avec le niveau américain. Cette solution a été envisagée par la Commission européenne qui fin 2008, a chargé un comité d’experts où les intérêts américains étaient majoritaires, de redéfinir les règles.
    D’autres solutions plus satisfaisantes peuvent être proposées. Google a menacé de se retirer de la Chine jugée à son goût insuffisamment démocratique. Pour des raisons tenant au non-respect des règles de confidentialités, les internautes pourraient également menacer de se retirer de Google. Ce retrait est parfaitement possible même si le quasi-monopole dont jouit ce moteur de recherche, offre d’énormes avantages à ses utilisateurs comme le montre l’économie des réseaux. D’autres moteurs existent plu respectueux de la vie privée comme Ixquick, un moteur européen qui a cessé début 2009, d’enregistrer les adresses IP et qui a été labellisé par des experts indépendants.

À la suite de cet exposé fait dernièrement à Pau dans le cadre des Midis du Parlement européen, le positionnement de CECIL m’ apparaît plus clairement.

1 - Aujourd’hui la protection des données personnelles a été sacrifiée pour des raisons sécuritaires et/ou commerciales. En termes plus élaborés, on peut dire que le paradigme sécuritaire a pris le pas sur celui des libertés.
La CNIL est parfaitement impuissante face aux fichiers de police qui prolifèrent et au fichage privé à l’échelle mondiale.
L’idée essentielle est qu’auparavant (avant 2001) des compromis étaient possibles. Ce n’est plus le cas aujourd’hui et certains en tirent les conclusions : la Commission Balladur voulait supprimer la CNIL et des contestataires radicaux ont exprimé la même idée en 2007, en investissant ses locaux.
La Commission perd son rôle essentiel de légitimation et ne procure que des bénéfices à la marge.
Si on veut éviter sa suppression, il faut éviter sa mise à l’écart et donc revoir la loi comme le Sénat le propose et surtout constitutionnaliser l’institution à partir de la légitimité d’impartialité théorisée par Rosanvallon. Cf « Il faut restaurer l’autorité de la CNIL ».

2 - L’individu a son rôle à jouer notamment au sein d’associations comme CECIL.
CECIL peut juger son action complémentaire de celle de la CNIL ou au contraire peut contester ses orientations et décisions. Le choix de son positionnement ne peut être fait qu’au cas par cas.