Protection des données: votre vie privée tient à six fils

Hasard du calendrier, les révélations d’Ed Snowden à propos du programme de surveillance Prism de la NSA ont éclaté alors que la protection des données personnelles est au sein d’un grand débat en Europe, mais aussi en France, comme le 11 juin, à l’Assemblée nationale. De nouveaux cadres législatifs sont en préparation, pour remplacer des lois obsolètes et les harmoniser au sein de l’Union.

Le système juridique qui régit les données personnelles date d’une directive européenne de 1995, soit bien avant l’Internet "tel que nous le connaissons", et surtout avant l’invention des modèles économiques qui exploitent ces données. Les enjeux sont importants et les décisions devront être bâties sur un équilibre subtil entre libertés individuelles, sécurité nationale et besoins commerciaux.

Dans les négociations à venir, trois cadres juridiques seront à même de dessiner le futur de la protection des données. Au niveau français, la loi sur la Consommation pourrait contenir un volet sur ce domaine. Mais c’est surtout la grande loi sur le numérique, prévue pour 2014, qui devrait en être le cadre principal. Ces dispositions devront prendre en compte le réglement européen sur ce sujet, qui sera prêt entre 2013 et 2014.

Au cœur de ces débats, six points en particulier peuvent donner toute sa force à la loi, ou la vider de toute substance.

> Un droit constitutionnel?

Entrer la protection des données personnelles dans la constitution est une vieille demande de la Cnil qui ressort, déjà portée par son ancien président, Alex Türk. Pour Isabelle Falque-Pierrotin, c’est un geste symbolique important: "Fournir cette garantie nouvelle par la Constitution permettrait de rééquilibrer les débats et les litiges et enverrait un signal symbolique fort pour la protection des données."

La Cnil affirme avoir obtenu un consensus des députés sur cette question, mais Fleur Pellerin n’y est pas favorable, car elle craint de de "figer des principes qui empêcheraient l'innovation des entreprises, dans un univers où la technologie évolue rapidement".

> La pseudonymisation controversée

L’évolution des pratiques des entreprises sont au centre des discussions, et la Commission nationale Internet et libertés (Cnil) a souligné l’importance du lobbying à Bruxelles sur cette question.

Les entreprises qui exploitent ces données sont prêtes à se soumettre à une législation contraignante en matière de données personnelles à condition que les données pseudonymisées, dans lesquelles l’identité est remplacée par un numéro, y échappent. Ils estiment que ces données, ainsi "dégradées", ne nécessitent pas un tel niveau de protection.

C’est, pour la Cnil comme pour certains députés, un risque trop important. Isabelle Attard, députée EELV du Calvados, dénonce dans cette proposition une malhonnêteté, expliquant que relier un numéro à un nom est un jeu d’enfant.

Lors de la session de questions au gouvernement du 13 juin, Fleur Pellerin a rappelé qu'elle était à la recherche d'un équilibre entre le dynamisme économique et la protection des citoyens.

> La notion de "l'établissement principal"

La France s’oppose à l’Europe sur ce point. L’union souhaite que le citoyen concerné fasse valoir ses droits dans le pays dans lequel l’entreprise incriminée, l’établissement principal, est installé. Fleur Pellerin, la ministre déléguée à l’Economie numérique, plaide elle pour que le recours se fasse dans le pays de résidence du citoyen.

Ce point est essentiel, car il suffirait aux entreprises qui exploitent les données personnelles de s’installer dans le pays à la législation la plus lâche pour avoir les coudées plus franches, au détriment des utilisateurs. Une opinion partagée par le député UMP Patrice Martin-Lalande.

> Muscler la Cnil

L’efficacité d’action des différentes Cnil de l’Union, notoirement débordées, est un autre facteur important. Isabelle Falque-Pierrotin veut lancer ce débat, car pour être efficace, la commission doit pouvoir rapidement juger "sur pièce et sur place", comme le prévoit la loi, mais également ouvrir la possibilité d’un contrôle en ligne, à distance.

Des amendements seront déposés dans ce sens par les députés dans la prochaine loi sur le numérique, afin, notamment, d’accélérer les constatations de failles comme les enquêtes. C’est ce que propose, par exemple, celui déposé par François Brottes, député PS de l’Isère.

> Rapatrier les données françaises

Pour un meilleur contrôle de l’utilisation des données de citoyens français, le gouvernement étudie la possibilité d’obliger les entreprises commerciales à stocker les données des Français... en France. C’est ce que Fleur Pellerin appelle un "Cloud souverain" : "Finalement l’affaire Prism, si elle est avérée, rend relativement pertinent le fait de localiser des data centers et des serveurs sur le territoire national, afin de mieux garantir la protection des données traitées dans des clouds", a-t-elle affirmé le 11 juin à l’Assemblée nationale.

> Le consentement explicite de l'utilisateur

Contre l’opacité qui entoure la collecte des données et leur utilisation, la France défend le système du "consentement explicite", une notion aussi évoquée par Bruxelles, en lieu et place du système actuel. Aujourd'hui, les règles sont inscrites dans les fameuses conditions générales d’utilisation, très difficiles à lire pour les utilisateurs.

Il s’agirait de demander à chaque fois son avis à l’utilisateur en précisant explicitement quelles données sont récoltées et pour quel usage. Un système reste à inventer, car il n’est pas envisageable de faire accepter par l’internaute des conditions d’utilisation à chaque clic lorsqu’il parcours un site internet.

> Mais... et les services secrets?

La protection des données personnelles a trouvé son maître: la sécurité nationale, et le scandale Prism n’y changera pas grand chose. Déjà, en 1975, la NSA avouait que toutes les communications téléphoniques internationales impliquant des Américains étaient interceptées.

Pour l'heure, le gouvernement français n'a pas vraiment réagi au risque de voir ses ressortissants librement espionnés par la NSA. Au contraire, elle pourrait bien en bénéficier, au titre de la coopération entre les services de renseignement.

En France, les lois Dadvsi, Loppsi, Hadopi... indiquent elles aussi que le sens de l’histoire est celui de la surveillance des réseaux. Pour Jean-Marc Manach, journaliste spécialisé dans ce domaine consulté par les députés dans le cadre de la prochaine réforme, le débat n’est plus "Faut-il accepter d’être surveillés" mais "Qui contrôle les surveillants?"