Ces accusations, niées par les responsables de Cambridge Analytica, ont fait perdre à l’action Facebook près de 14 % en quelques jours et ont enclenché des promesses d’enquêtes tous azimuts des deux côtés de l’Atlantique. Les bureaux londoniens de Cambridge Analytica à Londres ont d’ailleurs rapidement été perquisitionnés.
Le scandale touche au cœur du modèle économique de Facebook, lié à la revente des données personnelles des utilisateurs, notamment à des fins publicitaires. Resté silencieux pendant plusieurs jours, son PDG Mark Zuckerberg a fini par reconnaître mercredi 21 mars des erreurs, ainsi que la responsabilité de son entreprise.
En France, la fin de la loi « Informatique et libertés »
Cette affaire illustre parfaitement l’importance des enjeux liés à la protection des données personnelles, et les conséquences néfastes, sur le plan commercial ou de l’image, pour toute entreprise qui se risque à manipuler des données sans (manifestement) se préoccuper des règles de protection des données. Elle survient à l’heure ou, en Europe, et plus particulièrement en France, une petite révolution se joue : le règlement général européen sur la protection des données (RGPD) remplace, à compter du 25 mai 2018, la célèbre loi « Informatique et libertés » adoptée il y a plus de 40 ans en France.
Qu’est-ce qui change avec le RGPD ?
Si les grands principes de protection de données restent globalement inchangés, les modalités de gestion de la conformité sont totalement bouleversées, et les risques en cas de non-conformité (sanctions pénales, sanctions financières de la Cnil et risque d’image) sont significativement renforcés.
Dans un contexte de développement exponentiel des technologies (prédominance des algorithmes, nouveaux objets connectés, nouveaux usages d’Internet…), le RGPD ambitionne également d’améliorer la protection des personnes fichées et l’exploitation des données personnelles par des opérateurs établis dans le « nuage informatique » (cloud). Ces mesures concernent tout à la fois les « GAFAM » américains (Google, Apple, Facebook, Amazon et Microsoft), les tigres asiatiques tels que Tencent ou les prestataires de services situés dans l’Océan indien…
En particulier, le RGPD vise à mieux protéger les internautes européens lorsque leurs données personnelles sont manipulées par des opérateurs établis en dehors de l’Union européenne, comme c’est le cas des grands opérateurs américains de l’Internet (Facebook, Google, Microsoft, etc.). L’exercice des droits reconnus par l’actuelle loi « Informatique et Libertés » est en effet difficile dans le cas d’Internet, notamment en raison de la question des règles de droit applicables en fonction de la localisation des données : celles-ci varient en fonction du lieu où sont installés les serveurs informatiques qui les hébergent.
Ainsi que l’a relevé la Commission européenne :
« La rapidité des évolutions technologiques et la mondialisation modifient en profondeur la façon dont un volume sans cesse croissant de données à caractère personnel est collecté, consulté, utilisé et transféré. De nouveaux modes de partage de l’information via les réseaux sociaux et de stockage à distance de grandes quantités de données sont entrés dans les habitudes de nombre des 250 millions d’internautes en Europe. »
La problématique des « paradis de données » est d’ailleurs l’illustration de cette contradiction fondamentale à laquelle se heurte le droit de l’informatique : alors que les outils de communication sont, par essence, globalisés, ils ne sont régis que par des fragments de réglementations nationales dont le champ d’application est, par essence, étroit, limité à un territoire et à un champ de compétence ordonné et balisé.
Contraindre les opérateurs non européens à respecter les règles européennes de la protection des données
Le RGPD ambitionne de dépasser cette difficulté. Pour cela, il renforce les droits des personnes concernées. Dorénavant, si les données d’individus se trouvant sur le territoire de l’Union européenne sont traitées par une société ou un sous-traitant établi hors de l’Union, le droit européen s’appliquera lorsque ces activités sont liées :
-
à l’offre de biens ou de services à ces individus vivant dans l’Union, qu’un paiement soit exigé ou non desdits individus. Le RGPD précise à cet égard que des facteurs tels que « l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union » peuvent indiquer que le responsable du traitement envisage d’offrir des biens ou des services à des personnes qui se trouvent sur le territoire de l’Union européenne ;
-
au suivi du comportement de ces individus, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. Le RGPD indique sur ce point que sont concernées notamment les techniques de profilage d’une personne physique permettant « notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit », par exemple les dispositifs de « ciblage comportemental » et de « publicité ciblée » mis en cause dans l’affaire Facebook.
Il y a ici une sorte d’effet « extraterritorial » du droit européen puisque l’objectif du RGPD est de contraindre des opérateurs non européens à respecter les règles européennes de protection des données. Grâce au RPDG, les pratiques abusives reprochées à Facebook pourraient, si elles étaient avérées, donner lieu à l’application en France de sanctions pénales (jusqu’à cinq ans d’emprisonnement) ou financières particulièrement sévères. La CNIL pourra, à compter du 25 mai 2018, prononcer des sanctions pécuniaires à hauteur de 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.
Une justice européenne très vigilante quant à la vie privée
La Cour de justice de l’Union européenne (CJUE) accorde une grande importance à la vie privée des citoyens européens. Dans un arrêt du 6 octobre 2015, dit « Schrems », elle a ainsi invalidé la décision n° 2000/520/CE de la Commission européenne qui constatait que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées depuis l’Europe. Cette décision, qui permettait l’application de l’accord « Sphère de Sécurité » (« Safe Harbor ») conclu entre les États-Unis et l’Union européenne, rendait possible le transfert de données personnelles entre entreprises de l’Union européenne et entreprises américaines. L’accord posait un ensemble de principes de protection des données personnelles, auquel les entreprises établies aux États-Unis pouvaient volontairement adhérer afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne.
La Cour de justice a estimé que ce dispositif, qui visait à compenser l’insuffisance de la législation américaine en matière de protection des données personnelles par rapport à la législation européenne, ne présentait pas des garanties suffisantes du fait des ingérences possibles des autorités publiques américaines dans les données personnelles ainsi transmises et qu’il violait les droits garantis par la Charte européenne des droits fondamentaux. À la suite de l’arrêt « Schrems », la Commission a conclu en février 2016 un nouvel accord avec les États-Unis sur le cadre des transferts transatlantiques de données intitulé « Privacy Shield ». Celui-ci se veut plus protecteur, toutefois des interrogations demeurent quant au risque que cet accord soit également invalidé, à terme, par la justice européenne.
La législation et les juges européens tentent donc actuellement de renforcer la protection des citoyens européens. Si le renforcement des règles juridiques est un indéniable progrès, ce n’est pas une fin en soi car se pose bien souvent une difficulté pratique de taille : comment assurer l’effectivité des nouvelles règles, si l’opérateur étranger mis en cause n’est pas physiquement établi sur le territoire de l’UE ? Comment, dans ce cas, effectuer une perquisition, interpeller un dirigeant ou recouvrer une sanction financière ?
Sensibiliser les internautes
Jusqu’à l’informatisation de nos sociétés, l’oubli était une contrainte de la mémoire humaine. Depuis l’informatisation, l’oubli n’existe plus. Les capacités de la mémoire informatique sont aujourd’hui telles que la durée de conservation d’une information dépasse, de loin, la durée de la vie humaine. Ce « tout savoir » des machines peut ainsi devenir, potentiellement, un véritable livret social virtuel et, pour certains, un passeport pour l’exclusion.
Dans ce contexte, la protection de la vie privée et des données personnelles ne dépend pas uniquement des règles juridiques. Elle passe aussi par des solutions de nature technique, telles que l’utilisation d’outils de navigation sur Internet « privacy by design » (qui permettent de limiter les traces de navigation) ainsi que par la responsabilisation des internautes et l’application de certaines règles de prudence. Désormais, l’enjeu majeur est peut-être d’assurer une meilleure sensibilisation de tous les acteurs, et notamment des utilisateurs, en particulier les plus jeunes. Il s’agit de les encourager à plus de modération dans les informations qu’ils rendent délibérément publiques sur Internet.
Instaurée voici quatre décennies, la réglementation « Informatique et Libertés » visait à protéger les personnes contre le fichage abusif par les administrations ou les entreprises. Aujourd’hui, la question se pose différemment : comment protéger les utilisateurs contre eux-mêmes ?
Guillaume Desgens-Pasanau, Magistrat, Maître de conférences associé au CNAM, Conservatoire national des arts et métiers (CNAM)
La version originale de cet article a été publiée sur The Conversation, partenaire éditorial de UP’
Quelque chose à ajouter ? Dites-le en commentaire.