Réinventer la libre circulation des données personnelles (1/3) : Pour quoi ?

Par Jean-Marc Manach

Faudrait-il introduire le droit de tout individu à «ne pas être localisé/ tracé» (identification RFID) ? Les utilisateurs des technologies de l’information et de la communication devraient- ils avoir le droit de rester anonymes ? Que convient-il d’encadrer ? Le « droit à la protection des données« , ou bien le « droit au respect de la vie privée » ?

A l’occasion de la Journée de protection des données, le Conseil de l’Europe lance une consultation sur la modernisation de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (dite Convention 108) adoptée il y a 30 ans et qui, « à l’heure actuelle, reste dans ce domaine le seul instrument juridique contraignant sur le plan international, à vocation universelle« , et susceptible d’être appliqué dans le monde entier.

Conscience démocratique de l’Europe, le Conseil de l’Europe regroupe 47 pays et a pour objectif de « défendre les droits de l’homme, la démocratie pluraliste et la prééminence du droit« . La Convention européenne des droits de l’homme et des libertés fondamentales, adoptée en 1950, en étant « le premier instrument juridique international garantissant la protection des droits de l’homme« .

Comme le rappelle le Conseil, la Convention 108 fut « le premier instrument international contraignant qui a pour objet de protéger les personnes contre l’usage abusif du traitement automatisé des données à caractère personnel, et qui réglemente les flux transfrontaliers des données :

Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, elle proscrit le traitement des données « sensibles » relatives à l’origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc… , en l’absence de garanties offertes par le droit interne. La Convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d’exiger le cas échéant des rectifications.

Seule restriction à ce droit : lorsque les intérêts majeurs de l’Etat (sécurité publique, défense, etc…) sont en jeu.

La Convention impose également des restrictions aux flux transfrontaliers de données dans les Etats où n’existe aucune protection équivalente.

Informatique et libertés 2.0

30 ans après l’adoption de la Convention 108, la consultation lancée dans le cadre de son projet de modernisation regorge de questions stimulantes, révélatrices des nouveaux enjeux, perspectives ou écueils auxquels nous devons aujourd’hui faire face (les passages grassés le sont dans le document d’origine) :

La notion de « protection des données » doit-elle faire l’objet d’une approche « technologiquement neutre« , ou bien faut-il la décliner en fonction des technologies impliquées ?

En 1980, la Convention n’avait pas prévu que des personnes physiques seraient engagées, à titre personnel et privé, dans de vastes traitements de données : faut-il exclure de son champ d’application ce qui relève les « activités exclusivement personnelles ou domestiques« , de type web 2.0 ?

La Convention 108 devrait-elle aborder la question du juste équilibre entre la protection des données à caractère personnel et la liberté d’expression (nouveau concept de la presse et du journalisme dans le contexte du Web 2.0.) ?

Les traitements de données reposant de plus en plus sur des services et technologies décentralisés, « la définition de maître de fichier doit être revue (mais) peut-il y avoir plusieurs maîtres de fichier pour un seul fichier ? »

Faut-il introduire une nouvelle notion de « sous-traitement » de données personnelles, responsabiliser les fabricants des équipements techniques, et pas seulement ceux qui utilisent leurs technologies ?

Le consentement doit-il être préalable à tout traitement, « condition nécessaire à satisfaire un traitement loyal et licite avant toute autre action« , ou uniquement lié au « principe de transparence et à l’obligation d’informer » ?

Les données à caractère personnel étant « généralement utilisées à des fins qui vont bien au-delà de celles initialement prévues« , faut-il introduire « une référence expresse à la compatibilité nécessaire entre l’utilisation des données et le but initial de leur collecte » ?

La notion de « données sensibles » (relatives aux origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, la santé ou la vie sexuelle), qui ne peuvent en principe être recueillies et exploitées qu’après un consentement explicite, devrait-elle être élargie aux numéros d’identification nationaux, aux données biométriques ou biologiques, dans la mesure où elles sont de plus en plus traitées et exploitées tant par des acteurs publics que privés ?

Les données relatives aux enfants devraient-elles bénéficier d’un régime particulier ?

Les « données de connexion« , de trafic et de localisation, de plus en plus exploitées tant dans le public que dans le privé, devraient-elles faire l’objet de règles particulières, dans la mesure où elles peuvent révéler les mouvements, orientations, préférences et relations  ?

Faut-il mettre en place des systèmes de responsabilisation, ainsi qu’une obligation de prouver que des mesures efficaces ont été prises pour garantir le plein respect de la protection des données ?

Faut-il étendre la notion de sécurité des données afin d’y inclure « un droit pour les personnes concernées d’être informées des violations de la sécurité des données » les concernant, mais également de mettre en place des « systèmes de responsabilisation ainsi qu’une obligation de prouver que des mesures de sécurité efficaces ont été prises pour garantir le plein respect de la protection des données ? »

Devrait-on appliquer le principe du « respect de la vie privée dès la conception » (Privacy by Design, en VO) afin de « prendre en compte la question de la protection des données dès le stade de la conception d’un produit, d’un service ou d’un système d’information » ?

Et si l’on ne limitait pas le droit d’accès aux données, pour l’élargir « à l’origine des données, c’est-à-dire la personne qui est à l’origine de la communication » ? Et si oui, « ce droit devrait-il également couvrir l’accès à la logique du traitement ? »

Devrait-on introduire des recours collectifs dans la Convention ?

Doit-on entièrement réexaminer la notion de « flux transfrontières de données » à l’heure d’Internet, où les données circulent instantanément à travers les frontières ? Serait-il utile de fixer des règles minimales internationalement reconnues pour garantir le respect de la vie privée sans considération des frontières ? Quel pourrait en être le contenu ?

Le Conseil nous invite à lui envoyer réactions, réflexions et commentaires sur tout ou partie des points évoqués ici, « ou sur toute autre question pertinente qui est selon vous importante dans le contexte de la protection des données de demain« , par courriel avant le 10 mars 2011 à l’adresse suivante : data.protection@coe.int.

À lire aussi sur internetactu.net

0 commentaires

  1. Le problèmes des données sont simples:
    Que font-ils de nos informations personnelles par exemple?

    Je reçois des sms non solicité car je pense qu’un de mes contacts a dû par inadvertance donner mon téléphone à quelqu’un, par le biais de son mailing par exemple.

    J’aurais besoin que cela cesse.
    Je doute qu’il y ait un véritable cadre légal contre cela.
    La CNIL n’est pas encore, à ma connaissance, en mesure de poursuivre les contrevenants.

    En clair, je voudrais avoir le droit à l’oubli, chose qui est techniquement possible en France.
    Or, je vois bien qu’on tente de faire croire que ce n’est pas possible.

    Mais j’aurais une question à tous:
    Si la personnes est un délinquant doit-on le ficher pendant un certain délai et pour toute la vie?
    Le meurtrier de Laeticia par exemple…
    Ceux qui profanent les tombes des juifs par exemple…
    Ceux qui attaquent les personnes faibles et les tuent accidentellement…

  2. Pour info BorderCloud va proposer en mars le premier hébergement de silos de données personnelles ouvertes. Ce qui va permettre de contrôler la source des données. Mes données personnelles à l’extérieur de mon silo personnel seront des données potentielles fausses (ou illégales ! allo la CNIL ?)
    http://www.bordercloud.com

    Pour le moment, les données sont publiques mais demain chacun contrôlera ses données à distance ou localement. Les réseaux sociaux centralisés deviendront alors inutiles car chacun pourra connecter ses données aux données de son voisin sans intermédiaire (c’est la fin des business models de ventes de données personnelles ! Amen !).
    C’est aussi ça le Web Sémantique mais pour se projeter dans l’avenir faut refaire de l’informatique qui use le bout des doigts !

    Pour plus d’infos, voici l’émission sur France Culture où on a rapidement parlé du Web Sémantique :
    http://www.franceculture.com/emission-place-de-la-toile-emission-des-auditeurs-2011-01-02.html

  3. @Karima Rafes : quand vous dîtes, « Pour le moment, les données sont publiques mais demain chacun contrôlera ses données à distance ou localement » ; cela veut dire que demain, nos données personnelles seront hébergées ailleurs que sur nous et qu’il faudra se connecter à distance pour s’identifier localement ?

  4. @Jack Je ne suis pas certaine d’avoir comprise ta question. Je dis juste que quiconque qui a besoin d’accéder à vos données devra vous demander votre autorisation avant d’y accéder car il n’aura pas le choix techniquement (et le droit) de faire autrement. L’identification et l’authentification demanderont de nouveaux protocoles pour utiliser ces silos de données personnelles.
    BorderCloud propose des formations ou du conseil si ça vous intéresse de creuser la question.

  5. @Karima Rafes : // quiconque qui a besoin d’accéder à vos données devra vous demander votre autorisation avant d’y accéder car il n’aura pas le choix techniquement (et le droit) de faire autrement. ça j’ai compris, mais moins le concept d’avoir à les héberger ailleurs et en silo ; c’est encore un modèle où les n’ai pas compris le fonctionnement de votre service…

  6. @Jack // mais moins le concept d’avoir à les héberger ailleurs et en silo//
    En fait, c’est un peu comme le téléphone, pour vous appeler, je dois connaître votre numéro. Pour connaître votre numéro, je dois pouvoir le trouver dans les pages blanches. Pour un agent personnel ou un service, il va accéder à une plateforme comme BorderCloud pour vous trouver (si vous le souhaitez, comme sur les pages blanches) et ensuite pour vous appelez directement. Mais aussi, vous pouvez mettre en permanence des données perso publiques comme votre CV que vous laissez disponible pour les agents de chasseurs de têtes, par exemple. Cela évite d’avoir besoin de laisser un serveur allumé chez vous en permanence.

  7. ok, merci pour vos explications. C’est donc bien un modèle télécom. je trouve que cela ne fait pas vraiment « internet du futur », mais c’est un avis bien personnel. Bonne continuation en tout cas.

  8. @Jack c’est ça qui est beau, c’est très simple… ensuite faut le vouloir. L’innovation sera des les agents intelligents qui pourront se nourrir automatiquement de ces données. @tt