Données personnelles et nouvelles technologies, le grand vide juridique

Les milliers de données (bancaires, personnelles,…) qui traversent la toile sont de plus en plus partagées par les grands sites et hébergeurs d'internet - un business de plusieurs dizaines de milliards d'euros.

Les milliers de données (bancaires, personnelles,…) qui traversent la toile sont de plus en plus partagées par les grands sites et hébergeurs d'internet - un business de plusieurs dizaines de milliards d'euros. Si le droit s'adapte à un monde digital, où les informations personnelles servent à établir des profils de consommateurs, il a toujours un temps de retard sur les technologies. Tour d’horizon de ce chamboulement.

Un zeitgeist numérique

« Le contenu et les informations que vous publiez sur Facebook vous appartiennent, et vous pouvez contrôler la façon dont nous partageons votre contenu, grâce aux paramètres de confidentialité et des applications ». L'annonce est vague, pour une réalité très lucrative. La vie en ligne crée un véritable zeitgeist numérique, formé de ce qu'on appelle nos données personnelles.

Elles englobent une quantité d'informations plus ou moins nominatives (nom, prénom, âge, sexe, lieu de résidence, loisirs préférés, produits consommées, recherches web, pseudo, n°client…).  Si on les recoupe, ces informations peuvent dessiner un véritable profil de consommateur qui aujourd'hui se monnaie. En France, la CNIL (Commission nationale informatique et libertés) veille à ce que les lois qui protègent ces données personnelles soient respectées, afin d'éviter les abus et les atteintes aux droits fondamentaux.

En 2011, la CNIL a recensé pas moins de 5 738 plaintes, son plus haut niveau d'activité à ce jour, ce qui, selon elle, « témoigne de l'intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question à l'ère du numérique ». En effet, si la question des données a largement été ignorée par une majorité de la population pendant longtemps, une prise de conscience sociale a progressivement commencé au tournant des années 2010, et aujourd'hui la question du partage de nos données personnelle devient centrale.

Facebook épinglé en Irlande

A mesure que la presse révélait l'attitude pour le moins désinvolte des géants du web, les actions en justice autour de cette thématique se sont multipliées. Les remous créés par le scandale des écoutes de la NSA lancée par le fonctionnaire américain Edward Snowden montre à quel point cette question est cruciale dans la société contemporaine.

S'axant sur le renforcement des droits des personnes dans un monde où la circulation d'informations atteint un niveau et une facilité sans précédent, la portabilité des données, l'apparition du droit à l’oubli entre autres forcent les juristes à repenser le cadre légal des données personnelles.

Aujourd'hui, un peu partout dans le monde, les condamnations s'accumulent. Pas plus tard qu'au début de ce mois, la Cour de justice de l’Union européenne a donné raison au jeune juriste autrichien Max Schrems, qui avait demandé à l’Irlande, siège européen de Facebook, qu’elle s’oppose au transfert de ses données personnelles outre-Atlantique. Ce jugement est un message fort envoyé aux géants américains de l’Internet tels que Facebook ou encore Google, également scruté de près pour des questions de transfert de données personnelles.

Construire un cadre légal adapté à la société

L’arsenal juridique - et technologique en ce qui concerne les contrôles - est aujourd'hui largement insuffisant. Les cadres légaux datent et ne répondent pas aux défis posés par l’évolution des nouvelles technologies. Un enjeu « citoyen » qui, selon Florence Raynal, chef du service des affaires européennes et internationales de la CNIL, « n’a pas échappé à l’Union européenne ».

Cet organisme, après réforme, sera en première ligne.  « Il s’agit de construire un cadre adapté aux évolutions technologiques et qui s’applique à l’échelle mondiale », souligne t-elle. Le projet de texte a déjà été examiné par le Parlement européen et par le Conseil de l’Union. Depuis la mi-juin, il est débattu afin de trouver un consensus sur la version finale du règlement. L’objectif restant, officiellement, d’adopter les deux textes en janvier 2016. Et la situation est urgente : la plupart des réseaux sociaux sont gratuits : il faut donc bien les financer autrement. Et à ce niveau, les données personnelles laissées par les utilisateurs sont une mine d’or.

Malgré ces tentatives d'avancées dans un domaine encore largement ignoré par le droit, les internautes sont largement responsables des informations qu'ils mettent en ligne. En septembre 2015, la CNIL rappelle qu'encore « trop de sites n'ont aucune mesure de vigilance ». Il faut donc, dans l'attente d'une éventuelle loi qui viendrait palier à un traitement moral des données personnelles par les géants du web, se méfier de certain site, et éviter d'y recourir.

« Airbnb me connait par cœur »

Dans cette optique, le changement de sa politique de confidentialité par l’entreprise américaine de location de logements entre particuliers Airbnb pose question. Dans un e-mail envoyé dans la quasi-totale indifférence, l’entreprise a récemment proposé aux utilisateurs de dévoiler les données qu'elle avait collectées : « Si vous résidez dans l’UE ou au Japon, vous pouvez demander par écrit une copie des données personnelles que nous détenons sur vous ». Douche froide pour les quelques uns qui ont suffisamment insisté pour que le site s'exécute (la démarche nécessite, en plus de nombreux envois de recommandés, de s'acquitter de 6,35 euros de frais).

« Airbnb me connaît (presque) par cœur : c’est ma carte d’identité complète qu’il me ressort – nom, prénom, adresse, âge – et même identifiant Facebook (qui permet de trouver mon profil). Le site se rappelle aussi de mon adresse IP », raille un utilisateur sur le site rue89. La société conserve en effet toutes les réservations, acceptées ou non, la durée des voyages, leur date et le nombre de personnes, tous les commentaires, privés ou non, faits ou reçus. Dans ses conditions générales, Airbnb détaille ses objectifs : « Exploiter, protéger, améliorer et optimiser la plateforme. [...] Aider à la création et à la préservation d’un environnement sécurisé et plus sain sur la plateforme. [...] Gérer les récompenses, enquêtes, concours, loteries ou autres activités ou événements promotionnels soutenus ou gérés par Airbnb ». Pas très rassurant, donc, puisque le site se donne le droit de nous considérer comme un champ de tir promotionnel pour ses partenaires.

Quand on sait que les moteurs de ce genre de sites conservent chaque recherche, on voit l'ampleur que peut prendre l'exploitation de données personnelles, avec une perméabilité comme celle qu'appliquent aujourd'hui les grands groupes européens. De plus, dans le cadre de certaines poursuites il a été question de données conservées après la suppression d'un compte. En France, chaque citoyen, selon la loi, dispose d’un droit d’opposition discrétionnaire - donc pas besoin de justifier la demande. Cependant, l'application d'un tel texte est complexe, d'autant que certaines données peuvent avoir circulé avant la fermeture dudit compte. Le plus simple est donc encore de choisir avec soin les sites auxquels ont fait appel, et d'en dire le moins possible.

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.