2015, année de la maîtrise des données personnelles ? share
back to to

2015, année de la maîtrise des données personnelles ?

29 décembre 2014

Plus de deux ans après l’affaire Snowden, 2015 sera une année majeure en matière de protection de données personnelles avec l’adoption du règlement de l’UE sur le sujet, la poursuite des négociations commerciales entre l’Europe et les Etats-Unis et des décisions attendues sur la gouvernance de l’Internet. D’où l’importance de rassembler les européens, explique Isabelle Falque-Pierrotin, la Présidente de la CNIL qui a signé une déclaration commune avec ses homologues de l’UE. Entretien.

RSLN : A l’occasion du European Data Governance Forum du 8 décembre dernier, vous affirmiez votre volonté de « fixer les conditions d’accès aux données personnelles des Européens ». Par quelles mesures concrètes cette ambition passe-t-elle ?

Isabelle Falque-Pierrotin : L’année prochaine va être assez cruciale sur le plan des décisions de protection des données. Il nous a paru important que l’Europe exprime une voix forte à l’initiative des autorités en cette fin d’année 2014, face à des problématiques telles que la négociation sur le règlement de l’Union Européenne sur les données personnelles, les négociations transatlantiques commerciales, la gouvernance de l’Internet… un certain nombre de sujets qui sont ouverts et vont probablement se cristalliser en 2015. Il nous paraissait crucial de pouvoir affirmer une identité européenne forte sur la protection des données. C’est une initiative du G29 que nous avons prise à Paris.

Concrètement, pour récupérer cette maîtrise des données des citoyens européens, la première chose à faire est d’adopter le règlement européen. Le projet de règlement européen est en négociation depuis déjà presque plus de deux ans et symbolise la modernisation du cadre juridique européen, la capacité qu’a l’Europe de se moderniser tout en restant fidèle à un certain nombre de principes… Il est donc fondamental que l’on adopte notre règlement.

Pour ce qui est de la maîtrise des données, ce règlement est essentiel car une de ses dispositions prévoit que, si des biens et des services sont offerts à des consommateurs ou à des citoyens européens, c’est le droit européen qui s’applique. Si vous voulez, par rapport à tous ces grands acteurs de l’Internet qui disent : « Je ne suis pas établi en Europe, j’opère de Palo Alto, de New Delhi ou de n’importe où dans le monde, et donc le droit européen ne m’est pas applicable », le projet de règlement est une sorte de coup de sifflet en ce sens qu’il dit « C’est faux. A partir du moment où vous offrez un bien ou un service à destination d’un consommateur ou d’un particulier européen, le droit européen vous est applicable».

RSLN : Le règlement en question aurait donc un impact sur l’activité d’acteurs extra-européens…

Isabelle Falque-Pierrotin : Il aura une influence sur l’activité de tous les acteurs exerçant en Europe. Il affirme, en somme : « Si vous venez chez nous et prestez chez nous, vous venez à nos conditions et pas aux vôtres. »

Par ailleurs, nous avons formulé une autre proposition qui n’est à ce jour pas dans le projet de règlement. Elle vise à protéger l’Europe par rapport aux lois extra territoriales étrangères, de type « Patriot Act » en matière de surveillance, mais aussi les lois américaines sur la transparence, pour ne citer qu’elles. Ces lois, bien que d’origine américaine, viennent s’appliquer en Europe, le cas échéant en dérogation aux règles européennes. C’est là que nous intervenons. Dans notre déclaration politique, nous estimons que tout le corpus de protection des données en Europe est à considérer en tant que « lois de police ». Cela signifie qu’une loi étrangère ne peut venir sur notre territoire et déroger à notre protection des données personnelles. C’est une sorte de bouclier que l’on met autour de l’Europe.

RSLN : L’accord TISA prévoit qu’aucun des pays signataires ne pourra « empêcher un prestataire de service d’un autre pays à l’accord, de transférer, accéder, traiter, ou stocker des informations, notamment des données personnelles, à l’intérieur ou en dehors du territoire »​. Cet accord, qui prévoit une libre circulation des données personnelles, semble menacer certains des efforts opérés par la CNIL et ses homologues européens : comment réagissez-vous ?

I.F-P : Nous ne sommes pas contre la libre circulation, à condition que les données personnelles des citoyens européens proprement dites restent protégées conformément au droit européen. Jusqu’à présent, sur les négociations TISA, nous avons affirmé qu’il fallait être très vigilants – les données personnelles étant un objet de négociation très intéressant, qui a beaucoup de valeur. C’est très important pour les Américains et pour toutes les grandes sociétés internationales, pour lesquelles les données sont un objet de négociation très alléchant. Jusqu’à présent, on nous a affirmé que les données personnelles ne faisaient pas partie de la négociation. Dont acte, très bien… Sauf qu’on sait que les données commerciales font partie de la négociation. Or ces données commerciales sont à 80% des données personnelles : les fichiers clients, ce qui se passe entre les acteurs commerciaux… Ce sont largement des données personnelles. Si on négocie sur les données commerciales, on risque de négocier beaucoup sur les données personnelles ! Sur TISA, il ne faut pas que la négociation internationale, celle-ci comme d’autres, porte atteinte à la protection des données personnelles telle qu’on la conçoit en Europe. Il ne faut pas qu’on brade la protection de ces données à l’occasion de la négociation d’un accord international.

Face à la recrudescence de sites qui nous proposent justement de reprendre la main sur nos données en les vendant et en proposant une rémunération contre l’acquisition de ces données, quelle est la position de la CNIL ?

La position de la CNIL est de dire que nous sommes favorables au fait de redonner de la maîtrise au citoyen sur ses données, de façon générale. Il existe une relation asymétrique et déséquilibrée entre le consommateur et le vendeur, en faveur de l’offreur de biens et de services. Tout ce qui peut redonner de la capacité de négociation, de la maîtrise au consommateur, on y est favorables. A condition que cela n’aboutisse pas non plus à une marchandisation supplémentaire des données. L’approche européenne est de dire que les données ne sont pas exactement des biens comme les autres. Ce sont des biens qui ne peuvent pas être appropriés car relatifs à une personne. Finalement comme des éléments du corps humain, sauf que c’est le corps numérique !

Aujourd’hui on a un droit qui finalement est très puissant. Il ne nous donne certes pas la propriété sur nos données personnelles mais nous reconnaît des droits sur les données, même si ces dernières sont traitées par d’autres. Quand vos données sont traitées par la Fnac ou Carrefour, vous pouvez demander des comptes à la Fnac et à Carrefour, leur demander quelles données ils ont sur vous, si elles sont précises et fiables… Demain, avec le droit à la portabilité, vous pourrez récupérer les données personnelles qui sont sur vous. Et tout ça, sans en être vraiment propriétaire.

Pensez-vous donc qu’il s’agit d’une réponse satisfaisante à ceux qui proclament que la vie privée est un concept dépassé ?

Je pense que cette idée est complètement fausse. C’est un discours marketing qui ne correspond à aucune réalité aujourd’hui. Les gens, ce n’est pas qu’ils veulent abandonner leur vie privée, mais avoir une maîtrise de leur vie en ligne, qu’elle soit publique ou privée, ce qui est complètement différent. La notion d’intimité n’a absolument pas disparu sur la toile.

Au contraire, il y aurait plutôt à mon avis une prise de conscience de la part des personnes, un développement d’offres plus protectrices des données personnelles que d’autres. Le segment « protection des données personnelles » comme élément de différenciation concurrentielle est en train de se mettre en place. Je crois que nous sommes simplement dans une période de transition et que les gens ne savent pas encore très bien quelles sont les solutions techniques qui correspondent à leurs souhaits. Le souhait qui s’exprime est néanmoins un souhait de maîtrise des données. 

On parle beaucoup de Privacy by design. Diriez-vous que toutes les entreprises peuvent mettre la protection de la vie privée au coeur de leurs plateformes, quel que soit leur business model ?

Les grandes entreprises sûrement, les petites entreprises et start-ups de cet univers-là aussi. Il s’agit simplement d’infuser dans la culture des développeurs ce type de préoccupations. Tout comme on infuse des préoccupations marketing : ce n’est à mon avis pas plus difficile que sur un autre sujet. Dès lors qu’on leur montre leur intérêt, et le fait qu’ils vont construire une innovation plus durable s’ils intègrent cette protection des données personnelles. Ils vont construire de la fidélisation de leurs clients. Il est toujours plus intéressant de garder un client et de lui amener quelque chose de plus, que d’aller en chercher un nouveau. Cela me semble certain. Construire de la fidélisation appelle à une innovation plus durable. 

Dans une interview qu’il nous a accordée, Marc Mossé, le Directeur Affaires Juridiques de Microsoft France cite l’affaire du juge de New York dans laquelle Microsoft s’oppose à la demande d’accès de données en Europe par le gouvernement des Etats-Unis, en déclarant : « Il faut que la protection des données soit clairement affichée comme une part forte du patrimoine constitutionnel mondial ». Voyez-vous venir un mouvement en ce sens ?

Cela fait bien longtemps que la CNIL milite pour une reconnaissance constitutionnelle de la protection des données personnelles, inscrite dans le Préambule de la Constitution. Cette reconnaissance existe dans 13 pays européens, et vient de la Charte des droits fondamentaux. Il est parfaitement légitime de le faire, et la France s’enorgueillerait de le faire à son tour. Ce qui veut dire qu’on met cette protection de l’individu, des données personnelles au plus haut niveau de notre ordre juridique. J’y suis donc très favorable.

Et au niveau mondial ?

Au niveau mondial, c’est plus compliqué. Les discussions mondiales sur des standards mondiaux sur la protection des données personnelles sont quand même ralenties. On travaille plutôt au niveau mondial sur l’interopérabilité des systèmes juridiques. Plutôt que d’avoir un standard mondial qui serait une sorte de minimum, un plus petit commun dénominateur, on travaille sur des chemins permettant de passer d’exigences de certaines parties du globe aux exigences d’autres parties du globe. Et ça, moi j’y crois beaucoup plus. 

Chaque semaine,
recevez les immanquables
par email