Par Nathalie Devillier[*]
Un article de The Conversation.
La prise de conscience généralisée de la surveillance de masse des États sur les individus générée par le fameux lanceur d’alerte est allée bien au-delà d’un bout de scotch sur la webcam de votre ordinateur !
Montée en puissance des lois sur la protection des données personnelles… même aux USA
La prolifération récente de lois sur la protection des données personnelles ou leur amendement (Omnibus Data Protection Laws) au Brésil (2014), Japon (2014), même en Russie (2014 aussi…) et en Turquie (2016)… repose sur le droit fondamental à la protection de la vie privée et familiale (art. 12 Déclaration universelle des droits de l’homme).
Une fois cette base posée, les droits individuels reconnus aux personnes et les obligations imposées aux responsables de traitement et à leurs sous-traitants varient nettement d’un État à l’autre, qu’il s’agisse du consentement au traitement des données, de la notification des failles de sécurité ou de la nomination d’un responsable à la protection des données.
Ainsi, si l’on observe le niveau de protection des données personnelles offert aux USA, force est de constater qu’il est loin d’être « adéquat » comme le Privacy Shield le laisserait croire. En effet, les attendus de l’arrêt Schrems sont ignorés par cette décision entrée en vigueur cet été dans l’indifférence générale : la Cour de Justice de l’Union européenne avait notamment critiqué le fait que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données transférées via le Safe Harbor ce qui privait de protection juridique efficace les personnes concernées. Cette décision vient justement d’être attaquée devant la même juridiction par le lobby irlandais pro vie privée Digital Rights.
Aux USA, la protection de la vie privée et la sécurité en ligne occupent justement le devant de la scène avec l’adoption de règles par la Commission Fédérale des Communications (FCC) le 27 octobre derniersur la vie privée en ligne et la sécurité des données.
Partant du constat que les fournisseurs d’accès Internet ont un accès en clair à toutes les données de leurs clients : activité en ligne, applications, objets connectés, la FCC en déduit qu’ils peuvent traquer en temps réel leurs activités, leur état de santé, leurs problèmes financiers.
Le consentement explicite des usagers sera plus souvent requis pour la collecte et le traitement des données personnelles sensibles : géolocalisation, données financières et de santé, mais aussi la navigation et l’historique de l’utilisation des apps. Mais pour les autres données personnelles identifiantes, le système reste l’opt-out, or les consommateurs ignorent toujours comment faire pour s’opposer à cette immixtion dans leur vie privée !
Autre faille majeure du texte : il ne s’applique pas aux moteurs de recherche et aux sites Internet !
La protection des données personnelles provoque donc un vif débat outre Atlantique : une preuve de plus que le Privacy Shield ne tient pas la route…
Renforcement de l’efficience des droits individuels, surtout en Europe
Les droits des personnes sur leurs données sont affirmés tant par le règlement européen général sur la protection des données personnelles (RGDP) que par la jurisprudence européenne ouvrant largement le prétoire de la Cour européenne des droits de l’homme aux personnes pouvant faire l’objet de mesures de surveillance.
Simultanément, les pouvoirs de sanction des autorités de protection des données nationales et européenne augmentent (3 millions d’euros pour la CNIL, 20 millions d’euros selon le RGDP). Leur action se trouve soutenue par les instances de protection des consommateurs (Commission des clauses abusives, DGCCRF en France et Federal Trade Commission aux USA) qui pointent du doigt les déséquilibres nocifs pour les internautes habilement cachés dans les conditions d’utilisation des services en ligne ou les politique de confidentialité.
Surprise du chef, les autorités de la concurrence s’en mêlent et enquêtent sur le possible abus de position dominante dont les géants de la toile seraient coupables en capturant autant de données personnelles mettant ainsi en exergue les interactions entre le big data et les concepts familiers du droit de la concurrence.
Davantage de transparence ?
Depuis les révélations de Snowden, de plus en plus d’entreprises américaines (Google, Yahoo, Facebook, Airbnb…) communiquent sur les accès demandés par les autorités nationales via leurs « Rapports de transparence » qui détaillent le nombre de requêtes de données d’utilisateurs, l’origine de la demande et parfois l’autorité nationale de qui elle émane ce qui met en lumière l’activité gouvernementale.
Il est assez ironique de constater que cette « transparence » (outil marketing ?) émane des principaux sites de collecte massive de données personnelles. De plus, dès lors que le gouvernement américain interdit d’y distinguer ce qui relève du Foreign Intelligence Surveillance Act (lutte contre l’espionnage ou le terrorisme) ou du Patriot Act (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) la transparence reste limitée. Quant à la NSA, elle assure dans son propre rapport de transparence, qu’elle fait bien son travail…
Gardons aussi à l’esprit que nous sommes en premier lieu, mais seulement dans une certaine mesure, maîtres des données personnelles que nous partageons via nos interfaces de navigation, applications mobiles et réseaux sociaux grâce à la gestion des paramètres de confidentialité de nos iBidules (géolocalisation, services système…).
Commençons donc à changer nos habitudes et calmons le geek qui est en nous !
[*]Professeur de droit, Grenoble École de Management (GEM)
En France, la CNIL a été précurseur au sujet de la protection des données personneles. C’est vrai.
Mais ce que l’histoire ne dit pas c’est que la CNIL enquête peu, poursuit rarement, et condamné encore plus rarement. (Fait condamner, ou assigné en justice, pour être pus exact).
Je connais quelques cas critique de violation systématique, massive et répétée des données nominatives de santé. La CNIL connaît parfaitement le dossier depuis de nombr uses années. Les agences d’Etat en charge de l’aspect « données de santé nominative » également.
Pourtant, aucune poursuite, et même aucun rappel à la Loi n’a été engagé et ne le sera. Les raisons sont … politiques.
Nous avons de belles Lois et de beaux organismes pour nous protéger, mais la raison d’Etat, la paix sociale, le modèle social, la fragilité réelle de la compréhension des mécanismes sous-jacents par les autorités fait qu’en pratique, chacun fait ce qu’il veut !
De temps en temps sort une belle et grosse affaire dans les médias histoire de montrer que la CNIL veille. Mais si on cherche un peu on constate que le plus souvent rien ne se passe…
Ainsi, AMHA, ce n’est pas à une Loi ou à une agence d’Etat de veiller à nous protéger : il suffit de ne pas appliquer les textes pour s’affranchir du cadre légal.
En revanche, laisser émerger des solutions techniques solides, des sécurités normalisées au niveau industriel, voilà un meilleur avenir pour chacun…
https://www.youtube.com/watch?v=4GILJikuSpw
Comme d’hab’! Ce n’est pas nouveau!
intéressant : pourquoi ne pas avoir écrit « ce qu »E. Snowden a changé dans nos [pays] ».
Alors: « Pays » ou « Sociétés » ? Car tout est dans le choix des mots: dans une « société », il n’y a que des utilisateurs. Dans un pays, il y a des citoyens. Quand on parle de surveillance, les « contours » sont importants. On voit bien là la trame politique de l’utilisation du rôle de Snowden. Qu’un homme comme lui, considéré « légalement » dans son pays comme un traitre digne de la peine de mort, devienne un nouveau héros de « société » ! Lui qui se réfugie dans d’autres États non « occidentaux » pour sa survie ! Quelle blague ! Snowden marionnette, future figure christique de la future Occidentalie, ce nouveau pays construit sur les ruines des actuels États « occidentaux ». C’est en tout cas une veine pour les « mondialistes », incarnés par exemple par les GAFA ou même Hilary Clinton. Cette Occidentalie sera-t-elle libérale ou totalitariste ? Rien n’est moins sûr.
À bien y réfléchir, les révélations de Snowden sont dignes d’une lapalissade. « Dénonciation », nous dit l’auteur de l’article? Non, ce mot est juste une justification de la cécité des incultes qui retrouvent enfin la vue. Forcément qu’un État va utiliser la technologie pour tenter de « contrôler ». La surveillance est une fonction régalienne, au même titre que la sécurité ou le maintien de la frontière. Les États-Unis sont en avance technologiquement, pourquoi s’en priveraient-ils ?