La protection des données personnelles revient sur le devant de la scène, cette semaine, avec la publication d’une communication de la Commission européenne(PDF) sur la révision de la directive 95/46 qui régit la matière. L’objectif est clair : adapter l’ancienne directive aux nouveaux défis de la protection des données, notamment l’informatique dans les nuages (cloud computing) et les réseaux sociaux en ligne, ainsi que la diversification des moyens de collecte des données (par exemple, les cookies traceurs sur le Web, ou la géolocalisation des smartphones). La communication souligne certains fondamentaux de la protection des données et définit des objectifs pour la prochaine révision de la directive : la définition de la notion de «donnée personnelle» qui doit être large (toute donnée relative à une personne identifiée ou identifiable par n’importe quel moyen «raisonnable») ; la transparence de la collecte et du traitement et l’information de la personne concernée, notamment en cas de «violation des données» (data breach) ; le principe de «minimisation des données» : seules les données nécessaires au traitement doivent être collectées ; la définition du «droit à l’oubli» ; la sensibilisation des personnes concernées (au premier plan desquelles, bien évidemment, sont les internautes) et la clarification des règles relatives au consentement du sujet du traitement ; le renforcement des voies de recours ; la «responsabilisation» des responsables de traitements ; la nécessité d’encourager l’auto-régulation (codes de conduite et soft law) et les systèmes de certification ; l’amélioration des mécanismes de transfert des données en dehors de l’UE ; la propagation des principes européens de protection des données au niveau mondial (avec le concours d’organisations internationales comme l’ONU, l’OCDE, le Conseil de l’Europe, qui poursuit d’ailleurs les mêmes objectifs de son côté). La Commission présentera en 2011 des propositions plus concrètes, «afin de durcir la position de l’UE en matière de protection des données à caractère personnel».
De son côté, la CNIL a dors et déjà entrepris de sensibiliser les enfants aux risques d’une surexposition sur les réseaux sociaux. Par ailleurs, il est désormais possible de suivre une procédure en ligne pour déposer une plainte auprès de la CNIL.
Le gouvernement français, quant à lui, ne compte pas intervenir en faveur des internautes pour réglementer la publicité «invasive» en ligne. En revanche, il intervient pour la taxer : le Sénat vient de voter la taxation de l’achat de publicité en ligne (1% du prix), à compter du 1er janvier 2011. La mesure doit encore être votée par l’Assemblée nationale.
Selon le Canard Enchaîné, la DCRI utiliserait déjà des moyens informatiques pour espionner les internautes dans le cadre d’enquêtes administratives, sans contrôle du juge. On sait que l’installation de mouchards sur les ordinateurs des internautes est une des mesures prévues par la loi LOPPSI, qui n’est pas encore en vigueur.
Aux États-Unis, l’EFF rappelle les conditions dans lesquelles les autorités publiques peuvent accéder aux contenus des appareils électroniques.
Aux États-Unis encore, les deux géants américains du Web 2.0, Google et Facebook, se trouvent au centre de nouvelles polémiques. Google, d’abord, favoriserait ses propres pages dans les résultats de recherche, ce qui est à la fois contraire au principe de neutralité du Net (volet contenu) et incompatible avec le statut d’intermédiaire technique qu’elle revendique. Google est aussi accusée de scanner le contenu des messages électroniques des usagers de son service Gmail. L’accusation n’est pas nouvelle : l’on sait depuis toujours que Gmail est financé par l’affichage de publicités ciblées qui correspondent à des mots-clé extraits du contenu des messages. La profondeur de l’analyse du contenu des messages et l’usage des informations extraites demeurent toutefois inconnus. Facebook fait l’objet d’une critique semblable : le réseau social censurerait les messages échangés par ses membres. Par exemple, si un message contient un lien vers le site The Pirate Bay, il sera censuré et (faussement) qualifié de message indésirable (spam). Deux choses sont gênantes : d’abord, la censure en elle-même, qui ne peut être justifiée dans une société démocratique (sur ce point, le droit américain et le droit français se rejoignent) ; ensuite, le fait que, pour censurer des messages privés, il faut accéder à leur contenu et violer de ce fait la vie privée des correspondants.
La protection des données personnelles revient sur le devant de la scène, cette semaine, avec la publication d’une communication de la Commission européenne(PDF) sur la révision de la directive 95/46 qui régit la matière. L’objectif est clair : adapter l’ancienne directive aux nouveaux défis de la protection des données, notamment l’informatique dans les nuages (cloud computing) et les réseaux sociaux en ligne, ainsi que la diversification des moyens de collecte des données (par exemple, les cookies traceurs sur le Web, ou la géolocalisation des smartphones). La communication souligne certains fondamentaux de la protection des données et définit des objectifs pour la prochaine révision de la directive : la définition de la notion de «donnée personnelle» qui doit être large (toute donnée relative à une personne identifiée ou identifiable par n’importe quel moyen «raisonnable») ; la transparence de la collecte et du traitement et l’information de la personne concernée, notamment en cas de «violation des données» (data breach) ; le principe de «minimisation des données» : seules les données nécessaires au traitement doivent être collectées ; la définition du «droit à l’oubli» ; la sensibilisation des personnes concernées (au premier plan desquelles, bien évidemment, sont les internautes) et la clarification des règles relatives au consentement du sujet du traitement ; le renforcement des voies de recours ; la «responsabilisation» des responsables de traitements ; la nécessité d’encourager l’auto-régulation (codes de conduite et soft law) et les systèmes de certification ; l’amélioration des mécanismes de transfert des données en dehors de l’UE ; la propagation des principes européens de protection des données au niveau mondial (avec le concours d’organisations internationales comme l’ONU, l’OCDE, le Conseil de l’Europe, qui poursuit d’ailleurs les mêmes objectifs de son côté). La Commission présentera en 2011 des propositions plus concrètes, «afin de durcir la position de l’UE en matière de protection des données à caractère personnel».
De son côté, la CNIL a dors et déjà entrepris de sensibiliser les enfants aux risques d’une surexposition sur les réseaux sociaux. Par ailleurs, il est désormais possible de suivre une procédure en ligne pour déposer une plainte auprès de la CNIL.
Le gouvernement français, quant à lui, ne compte pas intervenir en faveur des internautes pour réglementer la publicité «invasive» en ligne. En revanche, il intervient pour la taxer : le Sénat vient de voter la taxation de l’achat de publicité en ligne (1% du prix), à compter du 1er janvier 2011. La mesure doit encore être votée par l’Assemblée nationale.
Selon le Canard Enchaîné, la DCRI utiliserait déjà des moyens informatiques pour espionner les internautes dans le cadre d’enquêtes administratives, sans contrôle du juge. On sait que l’installation de mouchards sur les ordinateurs des internautes est une des mesures prévues par la loi LOPPSI, qui n’est pas encore en vigueur.
Aux États-Unis, l’EFF rappelle les conditions dans lesquelles les autorités publiques peuvent accéder aux contenus des appareils électroniques.
Aux États-Unis encore, les deux géants américains du Web 2.0, Google et Facebook, se trouvent au centre de nouvelles polémiques. Google, d’abord, favoriserait ses propres pages dans les résultats de recherche, ce qui est à la fois contraire au principe de neutralité du Net (volet contenu) et incompatible avec le statut d’intermédiaire technique qu’elle revendique. Google est aussi accusée de scanner le contenu des messages électroniques des usagers de son service Gmail. L’accusation n’est pas nouvelle : l’on sait depuis toujours que Gmail est financé par l’affichage de publicités ciblées qui correspondent à des mots-clé extraits du contenu des messages. La profondeur de l’analyse du contenu des messages et l’usage des informations extraites demeurent toutefois inconnus. Facebook fait l’objet d’une critique semblable : le réseau social censurerait les messages échangés par ses membres. Par exemple, si un message contient un lien vers le site The Pirate Bay, il sera censuré et (faussement) qualifié de message indésirable (spam). Deux choses sont gênantes : d’abord, la censure en elle-même, qui ne peut être justifiée dans une société démocratique (sur ce point, le droit américain et le droit français se rejoignent) ; ensuite, le fait que, pour censurer des messages privés, il faut accéder à leur contenu et violer de ce fait la vie privée des correspondants.