1
Garantir la protection des données
personnelles sans freiner l’innovation
et le développement économique
Pauline Berdah
Juin 2014
2
Introduction ___________________________________________________________________ 3
I. L’état garant de la protection de nos données personnelles ________________________ 11
A. La loi informatique et liberté dépassée ________________________________________________ 11
B. Vers une harmonisation des droits nationaux par le règlement européen ____________________ 17
II. La mise en œuvre par la société civile de compromis garantissant la protection des données
personnelles __________________________________________________________________ 23
I. ____________________________________________________________________________ 23
A. La propriété cédée _________________________________________________________________ 23
1. La Marchandisation des données personnelles ________________________________________ 24
2. La restitution des données personnelles contre des services _____________________________ 28
B. La propriété partagée ______________________________________________________________ 39
Conclusion ____________________________________________________________________ 43
Annexes __________________________________________________________________ 45
Sources ______________________________________________________________________ 45
A. Entretien et conférences ____________________________________________________________ 45
B. Bases de données _________________________________________________________________ 45
C. Sites internet _____________________________________________________________________ 46
Sommaire
3
« Si vous faites des choses en souhaitant que personne ne le sache, alors
vous devriez vous dispenser ». Cette phrase est celle d’Eric Schmidt président
directeur général de Google en 2009.
Aujourd’hui, notre société moderne se base de plus en plus sur les
données qui constituent les briques de la société d’information. Le volume de
données ne cesse de s’accroître avec le développement du numérique. Leur
quantité est en croissance exponentielle si bien que le spécialiste américain du
stockage EMC a dévoilé les résultats de sa 7ème étude mondiale “Digital
Universe”, réalisée avec le cabinet IDC. Il énonce que le volume mondial de
données numériques sera décuplé entre 2013 et 2020, pour atteindre 44
zettaoctets (soit 44 milliards de teraoctets)1. Le volume de données augmente de
manière exponentielle si bien que 90% de l’ensemble des données aujourd’hui
disponibles a été créé ces deux dernières années2.
Qualifiées de Big Data dans le monde anglo-saxon, ces données
représentent des masses considérables et ont une valeur inestimable pour la
société. Le site «Qmee» a réalisé une infographie en Juillet 20133 des données
circulant sur le web en 60 secondes. Le résultat est édifiant, 2 millions de
recherches Google sont effectuées, 200 millions de courriels sont échangés dans
le monde ainsi que 1.8 millions de « like » sont réalisés sur Facebook. Les
individus produisent chaque jour de leur plein gré sur internet des masses
gigantesques de données afin de communiquer avec l’extérieur aussi bien à titre
personnel que professionnel.
1 http://www.itforbusiness.fr/news/item/4732-les-objets-connectes-vont-doper-le-volume-de-donnees-
numeriques 2 Brasseur C. (2013), Enjeux et usages du big data. Technologies, méthodes et mises en œuvre, Paris, Lavoisier,
p.30 3 http://www.mycleveragency.com/blog/2013/07/qmee-find-out-what-happens-online-in-60-seconds/
Introduction
4
Avec l’explosion du numérique dans tous les secteurs de notre société
moderne, les données que nous produisons chaque jour ont acquis de la valeur.
Chaque requête sur Google, chaque post sur Facebook, chaque tweet sur Twitter,
chaque achat sur Amazon viennent grossir notre identité marchande virtuelle.
Cette masse d’information fait la fortune des géants du net comme Google et
facebook qui ont bâti leur business model sur ces données que nous fournissons
gratuitement et qu’ils revendent ensuite aux annonceurs. Les marques et les
publicitaires s’empressent de traiter et exploiter les milliers de traces laissées sur
le net et les réseaux sociaux afin de mieux cerner nos habitudes consuméristes
et sociétales dans le but d’adresser à l’internaute la bonne offre, au bon moment,
au bon endroit. La chaîne américaine d’hypermarchés Target4 est même capable
de prévoir, presque au jour près, les accouchements de ses clientes.
De plus, avec l’émergence des sites de réseaux sociaux tels que Twitter,
Facebook, Meetic, ou viadeo, les individus acceptent davantage de livrer des
informations sur eux-mêmes dans le cadre de leurs loisirs. On assiste à une
multiplication des données personnelles d’une nature beaucoup plus déstructurée
et informelle comme les messages, les contacts, les expressions de l’individu, les
relations, les commentaires, les images ect. Ces informations peuvent être
fournies par l’internaute lui-même ou bien des tiers. On constate que les
individus transmettent et publient volontairement des volumes croissant
d’informations intimes aux entreprises ; informations qu’elles n’auraient jamais
eu ni l’opportunité ni le droit de récolter en temps normal. Les réseaux sociaux
ne cessent de se renouveler afin d’attirer toujours plus de clients. Ils offrent des
services toujours plus innovants, et généralement gratuits, mais souvent en
contrepartie d’une utilisation commerciale des données personnelles de leurs
utilisateurs. Ce traitement des données personnelles peut être fait directement
par les réseaux sociaux ou bien réalisé par des partenaires tiers, d’où la difficulté
de savoir précisément ce qu’il advient de nos données.
Mais ce n’est pas seulement les réseaux sociaux qui sont concernés par ce
traitement massif des données personnelles mais c’est tout « l’internet » à
proprement parler. Les moteurs de recherche sont devenus un passage presque
obligatoire dans notre utilisation d’internet. En effet, dès qu’une personne
4 http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=all&_r=0
5
souhaite passer une commande ou réserver elle accepte par contrainte déguisée
de fournir des données à caractère personnel (le nom, l’adresse, le numéro de
carte de crédit, habitudes de consommation, types de produits ect), information
qui circule de plus en plus rapidement sur la toile et pose de nombreux
problèmes de protection et de contrôle. Plus grave, internet permet aussi de
collecter toutes sortes de données indirectement ou directement personnelles
sans aucune démarche volontaire et totalement à l’insu de la personne grâce
notamment aux traces numériques comme les traces de navigations, les données
de connexion, les cookies. Le géant du web Google a même annoncé
publiquement qu’il scannait les emails des internautes5 pour y trouver des mots-
clés à des fins publicitaires. Mieux encore, Google mémorise l’adresse de
l’ordinateur, son type de navigateur, son système d’exploitation pour pouvoir
l’identifier facilement plus tard.
Cette tendance de diffusion massive de données personnelles va
inéluctablement s’accentuer dans les prochaines années avec l’émergence de
l’Internet des Objets. Les objets connectés (ou IOT « internet of think »6)
représente une nouvelle étape de la numérisation du monde et font ainsi partie
des 34 projets d'avenir7 sélectionnés par François Hollande afin de relancer
l'industrie française. Ces nouveaux instruments technologiques permettant de
stocker une quantité substantielle de données s’avère être une étape
incontournable dans l’évolution du monde numérique. En effet, Le groupe
d’analyse IBSG de Cisco estime que le nombre d’objets reliés à internet sera de
25 milliards dans le monde d’ici 2015 et 50 milliards, d’ici à 20208. Les objets
connectés sont difficiles à ranger en une seule catégorie car ils se caractérisent
précisément par leurs diversités d’usages (télévision connectée, frigo connecté,
fourchette intelligente, outils de santé connectés telle qu’une balance ou un
tensiomètre) et par leurs différents secteurs d’application (le transport, la santé,
l’électronique grand public (domotique, vidéo surveillance), l’énergie et
l’industrie). Dans un futur proche, les objets connectés et leur technologie vont
impacter directement nos vies en faisant évoluer la façon dont on vit et on
interagit. Les starts up spécialisées sur ce marché ne cessent de fleurir chaque
5 http://www.itespresso.fr/cgu-google-scanne-messages-gmail-74670.html
6 http://fr.wikipedia.org/wiki/Internet_des_objets
7 http://www.redressement-productif.gouv.fr/nouvelle-france-industrielle
8 http://share.cisco.com/internet-of-things.html
6
jour. La France a d’ailleurs ses sociétés phares dans ce secteur très spécialisé. En
effet, le made in France dans le domaine de la robotique et des objets connectés
a été plus que remarqué lors du CES de Las Vegas9 (Consumer Electronics
Show). La société française Withings10 spécialisée dans la conception d’objets
connectés permet d’améliorer le bien-être et le physique des utilisateurs
(balance, bracelet, thermostat connectés). Ayant reçu le prix innovation 2014
lors de la 5ème édition des Acsels du numérique11, Withings annonce une nouvelle
ère de la prévention de la santé. Le numérique offre l’opportunité de passer
d’une médecine curative à une médecine de plus en plus préventive grâce à ces
objets connectés qui facilitent l’observation des individus et permettent la
transmission des informations de santé en temps réel. La société Parrot a quant
à elle présenté Flower power12, le capteur intelligent pour plantes le plus avancé
du marché, permettant de surveiller les plantations en temps réel en informant
leurs propriétaires des besoins (ensoleillement, température, humidité du sol)
par message sur leur Smartphone. Concernant le domaine de la santé, même si
les objets connectés permettent un suivi des caractéristiques de santé des
individus, et une prédiction des maladies par détection des comportements, de
nombreuses problématiques juridiques apparaissent. Comme ce secteur fait
appel le plus souvent à des données sensibles alors l’enjeu majeur des
prochaines années sera la protection des données personnelles ainsi que celle
des systèmes d’informations.
Bien souvent, ces mêmes données renferment des informations
personnelles voir confidentielles relatives aux individus comme le nom, prénom,
numéro de téléphone, adresse, numéro de sécurité sociale mais aussi les
habitudes de consommation, les données de santé, l’historique de ses achats, les
rendez-vous ou les demandes d’informations, les navigations ou encore les
recherches. Réelle source de convoitise, ce sont ces informations que les
différents acteurs économiques (entreprises, organisations et administrations)
veulent à tout prix obtenir. Chacun s’engage alors dans une course effrénée à la
monétisation à prix d’or des données personnelles que les individus disséminent
9 http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203228783978-cinq-innovations-made-in-
france-en-vedette-a-las-vegas-641411.php 10
http://vitrine.withings.com/ 11
http://www.acsel.asso.fr/2014/les-laureats-de-la-cinquieme-edition-des-acsel-du-numerique/ 12
http://www.lexpress.fr/actualite/high-tech/parrot-flower-power-l-appli-pour-avoir-la-main-verte_1318820.html
7
à longueur de temps. Ces données produites à la fois par les usagers et par les
systèmes que nous utilisons souvent à notre insu, sont au cœur de l'économie de
la société de l'information, et donc de l'économie. Ces précieuses ressources sont
devenues le moteur de l’innovation et de la compétitivité de nos sociétés
modernes.
Ainsi, un nombre incalculable de données comportant des informations à
caractère personnel sont traitées chaque jour en faisant l’objet d’un traitement
informatique ou manuel. C’est pourquoi les entreprises et administrations doivent
se conformer à la loi du 6 janvier 1978 dite « informatique et libertés » modifiée
par la loi du 6 août 2004, pour pouvoir collecter, utiliser, traiter, communiquer
ces données personnelles qui constituent pour eux une matière première
essentielle de l’économie de la connaissance. Cette loi a pour objectif de protéger
l’individu contre le traitement informatique des données personnelles. Vieille de
trente ans, cette loi a eu le mérite d’avoir anticipé un grand nombre de
changements technologiques. Cependant, nous sommes arrivés à son terme. Les
évolutions technologiques ne cessent de s’accroitre, les données provenant de
plus en plus de sources différentes circulent sur la toile toujours plus rapidement
et ne cessent de faire l’objet de mauvais traitements et de nombreux
détournements à l’insu des personnes concernées. Nombreux sont les articles
dans les journaux qui évoquent le non-respect des entreprises aux obligations
de sécurité informatique ou aux pratiques de protection des données
personnelles contraires à la loi13. Le géant américain Google, a récemment fait
l’objet d’une condamnation par la CNIL d’une amende de 150 000 euros14 pour
mauvaise politique de confidentialité des données sur internet.
L’individu et ses données n’ont jamais été autant au cœur des stratégies
commerciales des entreprises et cette situation n’est pas prête de s’inverser. Les
outils aujourd’hui disponibles permettent de croiser toutes les données d’un
individu (habitudes de vie et de consommation, utilisations d’Internet, contenus
des courriers électroniques, numéros de téléphone, etc.) aboutissant à une réelle
transparence du citoyen (profilage du consommateur15). S’il est légitime de
13
http://www.legavox.fr/blog/maitre-anthony-bem/plainte-cnil-contre-facebook-pour-7084.htm#.U4C5Pfl_uQc 14
http://www.lemonde.fr/technologies/article/2014/01/08/donnees-personnelles-la-cnil-sanctionne-google-de-l-amende-maximale-de-150-000-euros_4344846_651865.html 15
http://www.senat.fr/rap/r08-441/r08-44112.html
8
connaître ses clients et ses prospects pour mieux comprendre leurs besoins et
leurs attentes, il est nécessaire de maintenir un équilibre entre la connaissance
des comportements des consommateurs et la protection de leur vie privée. Or,
ces techniques marketings aboutissent souvent à une inquiétante ré-
identification des personnes au détriment de leur vie privée.
De plus, cette soif constante de données conduit à des capacités de
surveillance et de traçage des individus par les autorités comme par les
entreprises privées qui n’ont jamais été aussi développées, omniprésentes,
puissantes et discrètes qu’auparavant. Les systèmes de fichage systématique des
personnes sont aujourd’hui devenus incontournables pour accomplir tous les
actes courants de la vie quotidienne. Les individus n’ont pas de contrôle sur ce
que les organisations savent d’eux. Le déséquilibre de connaissances et donc de
pouvoir entre les individus et les organisations ne cesse de s’élargir.
La chancelière allemande a même évoqué la problématique lors de
l’ouverture du CeBIT (salon des technologies de l'information et de la
bureautique) de Hanovre. Après avoir évoqué les changements induits par les
nouvelles technologies, l’évolution des interactions entre homme et machines
ainsi que l’arrivée de l’internet des objets, elle porte une attention toute
particulière aux problématiques que tous ces changements opèrent. Elle précise
qu’« Aujourd’hui l’individu peut recevoir des quantités d’informations, mais cela
n’est pas sans conséquence sur la société. Il faut aussi réfléchir en terme de
sécurisation, protection de la vie privée et de partage y compris avec les réseaux
sociaux »16
Ainsi, la protection des données personnelles apparaît de plus en plus au
centre des préoccupations des consommateurs, toujours plus nombreux
désormais à se questionner au sujet du traitement et de la sécurité de leurs
propres données et souhaitent bénéficier de plus d’informations à leur sujet. Dès
lors, ce sujet de la protection des données personnelles, longtemps réservé aux
spécialistes et aux militants a gagné depuis quelques années un cran de
considération dans notre société moderne. Cette demande de régulation sur les
données personnelles, qu’elles soient utilisées par des gouvernements ou des
entreprises, recueille de plus en plus d’écho. De plus, le scandale des écoutes de
16
http://www.silicon.fr/cebit-2013-lallemagne-veut-encore-croire-a-la-croissance-84055.html
9
l'agence nationale de la sécurité (NSA) américaine a donné un nouvel élan au
débat sur la protection des données et des systèmes d'information. Depuis
l'affaire Snowden, la protection des données revêt un caractère particulièrement
sensible. Toutes les questions qu'elle suscite, y compris les aspects
transfrontaliers, sont omniprésentes dans la vie de chacun, dans ses relations
avec l'administration, dans son travail, dans le domaine de la santé, lorsque l'on
surfe sur Internet ou lorsque l'on effectue des achats. Ainsi, l’explosion des
données numériques circulant sur la toile couplée à l’accroissement du nombre
de litige relatif au traitement illégal des données personnelles pose un défi à la
fois politique, économique, géopolitique et juridique. Il est donc essentiel d’agir.
Ce nouveau marché technologique des données personnelles ouvrant de
nouvelles perspectives économiques prometteuses et étonnantes, doit cependant
être accompagné dans sa structuration et son développement. En effet, pour
garantir son développement harmonieux à moyen et long terme, et favoriser un
nouvel écosystème économique innovant et créateur de valeur pérenne, il faut
s’assurer que l’échange et l’utilisation massive des données personnelles se
fassent dans le respect de la vie privée de chaque individu. Il faut également
favoriser les investissements des entreprises quant à la collecte et à
l’organisation des données et enfin instaurer une saine concurrence économique.
Dès lors, comment garantir la protection de nos données
personnelles sans freiner l’innovation et le développement économique ?
Ainsi, l’Etat se place naturellement comme le garant de la protection de
nos données personnelles et encourage l’adoption du futur règlement européen
sur la protection des données personnelles permettant de réduire la situation
asymétrique entre les individus et les organisations. Si cette situation perdure, à
terme, le citoyen choisira l’option de moins partager, ce qui pourra être néfaste
pour notre économie moderne. En outre, il faudra être vigilant quant à l’équilibre
à trouver entre d’une part, un renforcement de la protection des données
personnelles de l’individu et d’autre part, la sauvegarde de l’innovation et du
développement économique.
Face à cela, d’autres modèles existent où la société civile peut se mobiliser
afin de créer une relation gagnant-gagnant entre les organisations privées et le
consommateur. En échange de données qu’il déclare et consent à partager,
10
l’individu obtient des avantages en nature comme des services ou même de
l’argent.
« Tout le monde s’accorde pour dire que les internautes doivent pouvoir
mieux maîtriser leurs données », énonce Edouard Geffray, le secrétaire général
de la Commission nationale de l’informatique et des libertés (CNIL)17. Mais cela
doit-il passer par un renforcement de la législation existante (I), par de
nouveaux droits ou bien par de nouveaux outils (II) ?
17
http://www.cnil.fr/linstitution/actualite/article/article/edouard-geffray-est-nomme-secretaire-general/
11
Pour protéger le citoyen et le consommateur d’une collecte et d’une
utilisation abusive de ses données personnelles par les entreprises privées et les
acteurs économiques, la loi « informatique et liberté » et l’autorité administrative
indépendante (CNIL) ont été créés pour palier à ces risques. Cependant, au fil
des années et des évolutions technologiques cette loi s’avère ne plus être
adéquate (A), d’où la mise en place prochainement d’un règlement européen sur
la protection des données personnelles (B)
A. La loi informatique et liberté dépassée
L’idée de protéger les données à caractère personnel n’est pas tout récent,
le législateur français s’est rapidement préoccupé de la question du traitement
rapide des milliers de données des individus. En effet, la France a été l’un des
premiers pays à percevoir rapidement le danger provenant du développement
exponentiel de l’informatique et des fichiers par les pouvoirs publics ou le secteur
privé et ce bien avant le développement de l’informatisation généralisée des
entreprises et des réseaux. La révélation dans les années 1970 d’un projet du
gouvernement visant à identifier chaque citoyen par un numéro et
d’interconnecter sur la base de cet identifiant tous les fichiers de l’administration
créa une forte réaction dans l’opinion publique. Connu sous le nom de SAFARI18
(système automatisé des fichiers administratifs et du répertoire des individus),
ce projet faisait craindre un fichage de l’ensemble de la population. Le projet fût
retiré et le gouvernement décida d’instituer une commission afin qu’elle propose
des mesures tendant à garantir que le développement de l’informatique se
réaliserait dans le respect de la vie privée et des libertés individuelles. C’est ainsi
que fut créée la CNIL, instance d’information et de contrôle chargée de veiller au
18
http://www.cnil.fr/vos-droits/histoire/
I. L’état garant de la protection de nos
données personnelles
12
contrôle de cette loi du 6 janvier 1978. La France a donc été l’un des pays
précurseurs de la protection des données personnelles grâce à l’élaboration de la
loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux
libertés, communément appelée « loi Informatique et libertés ». Véritable pierre
angulaire de la société française informatisée, cette loi précise dans son article 1
que « l’informatique doit être au service de chaque citoyen […] elle ne doit
porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie
privée, ni aux libertés individuelles ou publiques ». Ainsi, en se focalisant autant
sur la collecte des données que sur leur traitement, elle a pu édicter des
principes, comme la loyauté et la proportionnalité, qui résistent à l’évolution
technique et aux normes sociales. Cette loi visant à protéger l’individu contre le
traitement informatique des données personnelles a institué un cadre légal pour
le traitement, la collecte et l’utilisation des informations personnelles qui
permettent d’identifier directement ou indirectement des personnes physiques.
Cette loi a même inspiré les grands principes de la directive européenne
95/46/CE du 24 octobre 199519 relative à la protection des personnes physiques
à l'égard du traitement des données à caractère personnel et à la libre circulation
de ces données. Cette directive a été transposée tardivement en France, par la
loi n° 2004-801 du 6 août 200420 relative à la protection des personnes
physiques à l'égard des traitements de données à caractère personnel, qui a
permis d’actualiser la loi de 1978 sans changer fondamentalement les principes
antérieurement posés.
Elle va permettre d’alléger de façon substantielle les obligations
déclaratives des détenteurs de fichiers, d’accroître les pouvoirs de la CNIL en ce
qui concerne les contrôles sur place et les sanctions, et de renforcer les droits
des personnes. Cette loi de 2006 a également créé les « Correspondants
Informatique et Libertés » (CIL) qui sont des professionnels, qui veillent au
respect de la loi Informatique et Libertés au sein de leur organisme (entreprise,
administration ou collectivité locale).
Cette règlementation a été adoptée pour protéger les données
personnelles des citoyens mais finalement, qu’est-ce qu’une donnée
19
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:31995L0046 20
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676
13
personnelle ? La définition de cette notion énoncée dans l’article 2 alinéa 221 de
loi de 1978 peut s’avérer complexe. « Constitue une donnée à caractère
personnel toute information relative à une personne physique identifiée ou qui
peut être identifiée, directement ou indirectement (…) une personne physique ».
Ainsi, la notion de donnée à caractère personnel recouvre donc tout type de
données permettant l’identification d’une personne physique directement (nom,
prénom, photographie, ADN) ou indirectement. Dans ce dernier cas, il s’agit de
données qui peuvent permettre une identification des personnes soit par elles-
mêmes (exemple : numéro de sécurité sociale, adresse IP), soit par corrélation
(date et lieu de naissance, initiales du nom et du prénom etc.). Ces informations
vont permettre d’identifier de manière directe ou indirecte l’individu. La loi
poursuit dans son article 222 avec une définition extensive de la notion de
traitement à caractère personnel qui prend en compte tous les traitements,
automatisés ou non, de données à caractère personnel contenues ou appelées à
figurer dans des fichiers, dès lors que le responsable du traitement est établi en
France ou utilise des moyens situés en France. Cette définition permet d'inclure
des traitements qui ne sont pas délibérément structurés comme des fichiers mais
qui, du fait même des applications technologiques collectant des données,
peuvent être exploités comme tels.
La protection de ces données contre un traitement informatique constitue
donc une liberté fondamentale à la croisée d’autres droits fondamentaux,
notamment le droit de propriété, le droit au respect de la vie privée et la liberté
d’expression. Dès lors, les entreprises et organismes souhaitant utiliser les
données personnelles sont soumis à une règlementation contraignante
recouvrant de nombreuses obligations. Dans le but de préserver la
confidentialité et d’assurer la sécurité de ces données personnelles, la loi «
Informatique et libertés » impose aux responsables de traitement certaines
obligations. Parmi celles-ci figure le respect des droits d’opposition, d’information
et de rectification reconnus aux personnes physiques par les articles 3823, 3924 et
21
http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=DF47DA9E3D0E5C75EE5A94FA278A52CE.tpdjo12v_1?idArticle=LEGIARTI000006528061&cidTexte=LEGITEXT000006068624&dateTexte=20140525 22
http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=ABADBB07FB77480504746CBE2DCD4819.tpdjo07v_3?idArticle=LEGIARTI000006528061&cidTexte=LEGITEXT000006068624&dateTexte=20140610 23
http://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528139&dateTexte&categorieLien=cid
14
4025. Tout réutilisateur doit donc mettre en capacité les personnes concernées
d’exercer leurs droits. Parallèlement, la loi impose aux responsables qui mettent
en œuvre ces traitements des obligations prévues aux articles 626 à 1027 de la loi
« Informatique et libertés », en particulier l’obligation de traitement loyal des
données et de recueil du consentement. De plus, la loi fait obligation à tout
responsable de traitement de respecter des formalités préalables, en particulier
l’obligation de déclaration auprès de la Commission nationale de l’informatique et
des libertés (CNIL). Il appartient donc au réutilisateur de procéder, le cas
échéant, à ces formalités.
Ainsi, dès 1978, le législateur français a édicté une réglementation très
complète afin de garantir les droits des individus contre des traitements de
données personnelles. L'idée était davantage de protéger l'individu contre les
ingérences de l'Etat que de protéger l'individu contre les abus des entreprises
privées. Cependant, aujourd'hui dans un contexte de domination certaine des
géants du net comme Google et de Facebook, il semble évident que le danger
provient davantage des abus que peuvent commettre les personnes privées.
Ainsi, ces transformations exposent les données personnelles à de nouveaux
risques rendant le périmètre de la vie privée de plus en plus étroit. Le Web
repousse les frontière de la vie privée et les contours de cette notion de cessent
d’évoluer dans le monde des octets rendant toujours plus complexe son
appréhension par le droit.
En effet, le respect de la vie privée est de plus en plus mise à mal par les
acteurs économique. Considéré comme l’un des droits fondamentaux de l’être
humain, le droit à la protection de la vie privée est établi dans la Déclaration
universelle des droits de l'homme de 1948 (article 12), dans la Convention
24
http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=DF47DA9E3D0E5C75EE5A94FA278A52CE.tpdjo12v_1?idArticle=LEGIARTI000006528143&cidTexte=JORFTEXT000000886460&dateTexte=20140525&categorieLien=id&oldAction=&nbResultRech= 25
http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=DF47DA9E3D0E5C75EE5A94FA278A52CE.tpdjo12v_1?idArticle=LEGIARTI000006528146&cidTexte=JORFTEXT000000886460&dateTexte=20140525&categorieLien=id&oldAction=&nbResultRech= 26
http://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528068&dateTexte=&categorieLien=cid 27
http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=DF47DA9E3D0E5C75EE5A94FA278A52CE.tpdjo12v_1?idArticle=LEGIARTI000006528078&cidTexte=JORFTEXT000000886460&dateTexte=20140525&categorieLien=id&oldAction=&nbResultRech=
15
européenne des droits de l'Homme de 1953 (article 8), et, en France, dans la
Déclaration des droits de l'homme et du citoyen de 1789 et enfin dans le code
civil (article 9). Or, ce droit est de plus en plus rongé par la société grâce à des
systèmes de fichages systématiques des personnes, aujourd’hui devenus
incontournables afin d’accomplir tous les actes courants de la vie quotidienne.
Ainsi, les outils aujourd’hui disponibles permettent de croiser toutes les données
d’un individu (habitudes de vie et de consommation, utilisations d’Internet,
contenus des courriers électroniques, numéros de téléphone, etc.) aboutissant à
une réelle transparence du citoyen et, peut-être même, à une inquiétante ré-
identification de personnes au détriment de leur vie privée.
Si les principes de la loi de 1978 reste éminemment valables, ils
demeurent mal connus et sont perçus comme des corps étrangers tant par les
organisations que par les individus. En France, chacun peut y avoir accès grâce à
la loi informatique et liberté de 1978 mais selon Geoffrey Delcroix chargé
d'études innovation et prospective au sein de la Direction des études, de
l’innovation et de la prospective de la CNIL, rencontré lors d’un entretien dans
ses locaux, « c’est un droit très peu exercé. Et, quand il l’est, c’est toujours de
manière défensive, suite à un problème ou un litige». En pratique, ces droits sont
très rarement mis en œuvre malgré leur gratuité. Cette situation qui perdure
depuis plus de trente ans, illustre bien la complexité des droits et le déficit
pédagogique de la loi. Même si l’architecture de cette loi, entrée en vigueur il y a
30 ans, a fait preuve d’une remarquable anticipation, c’est une loi défensive qui
n’a pas d’utilité en tant que tel en dehors de la surveillance des pratiques des
entreprises. Au sein de son article 128, elle affirme que « l’informatique doit être
au service de chaque citoyen » et n’édicte que des limites. Cette loi, datant du 6
janvier 1978, souffre de ne proposer aucun principe positif capable de mobiliser
les individus et demeure aujourd’hui très largement perçue comme une
contrainte. Or, on ne peut pas envisager la question de la circulation et de
l’usage des données personnelles sous un angle uniquement protecteur et les
moyens de la CNIL apparaissent aujourd’hui quelque peu inadaptés eu égard à la
multiplication du nombre de données à caractère personnel, de fichiers et de
traitements.
28
http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=DF47DA9E3D0E5C75EE5A94FA278A52CE.tpdjo12v_1?idArticle=LEGIARTI000006528059&cidTexte=LEGITEXT000006068624&dateTexte=20140525
16
De plus, le paysage numérique s’est considérablement modifié depuis
l’écriture de cette loi « informatique et liberté ». Les innovations récentes des
TIC ont déstabilisé le contexte règlementaire de la protection des données
personnelles. Lorsque la loi a été écrite dans les années 1970, le contexte n’était
véritablement pas le même. A l’époque, il n’y avait pas encore de moteurs de
recherche, de flux de données et de réseaux sociaux. Les évolutions
technologiques et les pratiques des acteurs économiques n’ont cessé d’évoluer
avec notamment l’apparition de la globalisation des échanges, de la
multiplication des flux de données et des nouvelles technologies de
communications. Aujourd’hui, l’accroissement constant des données circulant sur
la toile et la multiplication des litiges relatifs au traitement illégal des données
personnelles ne cessent d’élargir les déséquilibres entre les organisations et les
individus. Le gouvernement ne peut plus se contenter de protéger les individus à
l’aide d’un édifice, certes indispensable, mais débordé de toute part. Les abus
dans la collecte, le traitement et la circulation des informations se multiplieront
encore plus dans les années à avenir. Il est donc primordial d’agir afin de les
prévenir et de les corriger. Pour cela, il est nécessaire de prendre le temps de
réfléchir à la voie à adopter pour pallier à ces difficultés et trouver de nouvelles
pistes.
La France a toujours été pionnière en matière de protection des données à
caractère personnel, comme en témoigne l'adoption dès 1978, de la loi
« informatique et liberté », loi qui a fortement inspiré la directive du 24 octobre
1995 fondement de la politique européenne en la matière. Or, ce corpus élaboré
dans une époque où la révolution d’internet n’avait pas encore eu lieu, est
aujourd’hui devenu obsolète. Cette dernière souffre de son inadaptation au
développement quantitatif et géographique des données. À l'heure de nos
sociétés « numérisées» et « globalisées » l'adoption de nouvelles règles adaptées
à la réalité de notre économie doit être envisagée. C’est le futur règlement
européen qui permettrait d’apporter une réponse globale satisfaisante à l’échelle
européenne concernant la protection des données personnelles et de la vie privée
du consommateur.
17
B. Vers une harmonisation des droits nationaux par
le règlement européen
En quelques années, le monde numérique s’est installé en passant par
internet, par les réseaux sociaux et par la dématérialisation progressive de
toutes les activités humaines qui s’étend désormais du monde physique au
monde virtuel. La donnée est au cœur de ce monde offrant de nouvelles
perspectives prometteuses et étonnantes. Cependant, cette évolution doit
nécessairement être accompagnée dans sa structuration et son déploiement. En
effet, pour garantir son développement harmonieux à moyen et long terme et
favoriser un nouvel écosystème économique innovant et créateur de valeur
pérenne, il faut s’assurer que l’échange et l’utilisation massive des données
personnelles se fassent dans le respect de la vie privée de chaque individu tout
en favorisant les investissements des entreprises quant à la collecte et à
l’organisation des données. C’est la lourde tâche qui a été confiée au futur
règlement européen. En effet, l’Europe doit montrer qu’elle est capable de
s’adapter aux nouvelles réalités du numérique tout en préservant un haut niveau
de protection pour l’individu. Elle doit démontrer que sur un sujet aussi
fondamental, elle est capable d’innover et de construire une gouvernance
crédible et légitime de données personnelles. Ce règlement européen qui répond
au besoin d’adapter le cadre législatif aux évolutions technologiques et aux
pratiques de collecte et d’échange de données en forte augmentation devra
poursuivre deux objectifs qui sont la transparence et la traçabilité des données
personnelles. L'adoption par l'Union européenne d'un ensemble de textes
réglementant la collecte et l'utilisation des données personnelles permettra de
redonner à chacun le contrôle sur ses données tout en assurant un encadrement
identique et modernisé dans tous les pays de l’Union. En effet, cet ensemble
uniforme de règles aidera les entreprises à optimiser leurs activités dans l'Union
européenne grâce à une application largement plus simple et plus économique.
Aujourd’hui, l’activité des entreprises internet en Europe est alourdie par la
complexité juridique, liée à la gestion des données personnelles des internautes.
La directive de 1995, qui a fait l’objet de transpositions nationales variées
facilitant des disparités entre Etats membres, ne constitue plus un instrument
parfaitement adéquat. Aujourd’hui, chaque pays dispose de ses propres
18
règlementations ce qui complique inévitablement le marché. L’adoption d’un
règlement européen sur les données personnelles permettra d’appliquer les
mêmes règles dans chacun des pays de l’Union Européenne, ce qui permettra
aux entreprises de travailler plus facilement au-delà des frontières, et aux
citoyens d’être sensiblement plus sereins concernant le traitement de leurs
données personnelles. Ainsi, après deux longues années de vifs débats sur la
très attendue réforme du cadre juridique des données personnelles au sein de
l’Union Européenne, le parlement européen a adopté en première et unique
lecture, le 12 mars 2014, le projet de règlement29 sur la protection des données
personnelles déposé en janvier 2012. La majorité écrasante de ce vote (621
pour, 10 contre et 22 abstentions) a lancé un message sans équivoque. Selon la
commissaire européen à la Justice, aux Droits fondamentaux et à la Citoyenneté,
Viviane Reding, « le progrès sur la réforme de la protection des données est
désormais irréversible». La règlementation de la protection des données
personnelles assurée par une directive vieille de 18 ans, pourra être révisée dans
un sens favorable aux citoyens des 28 pays de l’union européenne.
Cependant, l’adoption de la version du projet de règlement dépendra de la
validation par le conseil européen. Cette étape décisive pour l’avenir va s’avérer
délicate car deux camps bien tranchés se disputent la place. D’un côté, les
défenseurs de la vie privée qui souhaitent que le texte réaffirme les règles
démocratiques de plus en plus bafouées aujourd’hui, comme en France où la
CNIL perd de plus en plus son pouvoir de contrôle, et d’un autre côté, les géants
du net qui craignent l’application de règles plus strictes en Europe qu’ailleurs en
offrant un cadre trop protecteur pour le citoyen.
Parmi les éléments phares du texte validé par le parlement européen, on
observe une réaffirmation des principes généraux relatifs à la protection des
données personnelles, tant en ce qui concerne les obligations des personnes
(droits d'information, d'accès, de rectification, d'opposition, etc.), qu’en ce qui
concerne les obligations des responsables de traitement (licéité et légitimité du
traitement, proportionnalité des données collectées, durée de conservation
limitée, etc.). En outre, ce texte introduit de nouveaux concepts pour les
responsables de traitement (réalisation d'analyses d'impact, désignation
29
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//FR
19
obligatoire d'un délégué à la protection des données etc.), pour les personnes
dont les données sont traitées (renforcement du principe de consentement,
reconnaissance d'un droit à l'oubli numérique et d'un droit à la portabilité, etc.)
et également pour les régulateurs eux-mêmes (principe de « guichet unique »,
mécanisme de cohérence, etc)30. La cour de justice de l’Union Européenne n’a
d’ailleurs pas attendu le futur règlement européen pour consacrer le droit à
l’oubli numérique dans un arrêt du 13 mai 2014 GOOGLE SPAIN31. En effet, la
cour a estimé que les moteurs de recherche sont responsables du traitement des
données à caractère personnel qui apparaissent sur leurs pages internet et ont le
devoir dans certains cas de les supprimer. Cette décision est emblématique dans
la mesure où un consensus européen semble se dessiner au sujet du futur
règlement européen visant à refondre la règlementation applicable en matière de
protection des données à caractère personnel. Cependant, la formalisation d’un
droit à l’oubli recouvre de nombreuses difficultés comme la nécessité de trouver
un réel équilibre entre ce droit irrévocable et la liberté d’expression ou la
préservation du patrimoine informationnel.
Pour ce qui est du droit à la portabilité, le règlement souhaite mettre en
place ce nouveau droit afin que les citoyens puissent mieux contrôler leurs
données personnelles. Chaque individu obtiendrait un droit de récupération de
ses données personnelles qu’une entreprise ou une administration possède sur
lui. Ce droit à la portabilité permettrait aux individus de faire migrer à un
système de traitement ou une plateforme concurrente ou d’être inscrit au deux,
en emportant ses données personnelles (comme les profils ou les carnets
d’adresses) dans un format lisible. Le responsable de traitement actuel ne
pourrait naturellement pas s’y opposer. L’individu pourra tout à fait conserver
ses données au sein d‘une organisation mais les utiliser dans une autre, afin
d’obtenir différents services complémentaires par exemple. Cette démarche
favorisera la liberté de choix du consommateur qui pourra mieux maitriser ses
données et en tirer profit dans plusieurs systèmes de traitement ou dans un
seul.
30
http://www.cnil.fr/linstitution/actualite/article/article/seance-pleniere-du-g29-ordre-du-jour-des-9-et-10-avril/?tx_ttnews%5BbackPid%5D=91&cHash=c7d0a0ba00fa1e3e4870b89417008e44 31
http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4131
20
Ainsi, l’introduction de ces futurs droits dans le règlement européen
permettra de redonner aux consommateurs une certaine protection et un
meilleur contrôle sur leurs données personnelles.
On peut se réjouir des progrès réalisés grâce à l’adoption de ce projet de
règlement européen sur la protection des données personnelles. Les eurodéputés
sont finalement parvenus à résister aux pressions des lobbys et ont rejeté la
plupart de leurs propositions préjudiciables. Cependant, plusieurs bémols sont
présents dans cette proposition de loi. En effet, des notions dangereuses
conservées au sein du rapport pourraient empêcher le texte définitif de protéger
les citoyens de manière effective. La définition de la notion d'« intérêt légitime »
semble bien trop large et pourrait être utilisée comme fondement légal
permettant d'outrepasser le consentement d'un individu afin de traiter les
données le concernant ». Sa définition sera au centre des débats lors de la
délibération par le conseil européen début juin 2014. En outre, le rapport
introduit le concept insidieux de données «pseudonymisées», si cher aux lobbys
des technologies. Or un amalgame est fait entre les pseudonymes (permettant
de singulariser l’individu sans avoir besoin de connaitre son identité civile) et les
données pseudonymisée (on remplace les données identifiantes par un code)
avec l’idée de créer une sous-catégorie de données personnelles soumise à un
régime de protection allégée sous prétexte que leurs traitements présenteraient
moins de risques. Ce terme de données « pseudonymisées » représente un réel
danger pour la protection des données personnelles du consommateur. Ainsi, ce
texte amendé par le Parlement a été transmis au Conseil mais laisse présager de
nouveaux remaniements de cette proposition de Règlement. Une fois approuvée,
le texte devra obligatoirement s'appliquer, deux ans plus tard, dans chaque pays
de l'Union.
Néanmoins, l’harmonisation aboutissant au futur règlement européen sera
forcément un compromis entre les différents droits nationaux. Ainsi, toute la
difficulté sera de respecter les différentes sensibilités nationales tout en
garantissant la protection des données personnelles, l’innovation et le
développement économique. La France souhaite agir pour la sauvegarde et la
protection des données personnelles de ses citoyens. Cependant, il s’avère
capital de bien réfléchir à la mise en œuvre d’un cadre légal adéquat pour la
protection des données personnelles des citoyens. Alors que l’Europe, et
21
notamment la CNIL en France, souhaite réglementer pour assurer la protection
des données personnelles des internautes, les Etats-Unis prônent le « tout
ouvert » pour protéger les mastodontes du net comme Google, Facebook,
Amazon et Apple où tout leur business model est basé sur la récolte des données
personnelles des usagers. Deux visions stratégiques totalement opposées se
dessinent pour les années à venir. Ainsi, la France doit réfléchir à la meilleure
solution à adopter. Dès lors, où placer le curseur ? Une trop grande
réglementation pourrait nuire au développement des entreprises européennes
ayant engrangées un retard conséquent. A contrario, vouloir renforcer la
protection des données personnelles en empêchant le recueil de données, c’est
bloquer l’innovation et donc freiner l’économie numérique. C’est pourquoi tous
les lobbys se pressent à Bruxelles32 concernant la négociation du futur règlement
européen en matière de protection des données personnelles en demandant la
sauvegarde de l’innovation.
Ainsi, selon Marielle Gallo33, députée européenne : « il faut trouver un
consensus sur ce texte européen et trouver un équilibre entre un niveau élevé de
protection des données personnelles et une flexibilité suffisante pour que
l’innovation et les entreprises puissent continuer à croître à et s’épanouir dans le
secteur du numérique »34. Ainsi, pour réaliser le marché unique du numérique en
Europe, on ne doit pas faire peser sur nos entreprises trop d’obligations qui
entraveraient cette marche d’innovation et de création de nouveaux services
basés sur le pétrole du XXI e siècle. On doit trouver un consensus entre les
groupes politiques et entre les 28 nationalités différentes. Dès lors, vont donc
s’opposer deux camps bien distincts, entre ceux qui ne veulent pas accabler de
charges trop lourdes aux acteurs économiques, et ceux qui veulent arriver à une
protection pratiquement absolue des données personnelles. Il est donc primordial
d’établir un équilibre sain entre ces deux positions.
En outre, il est important de souligner que si les citoyens affirment
toujours plus leur inquiétude vis-à-vis du fichage numérique, ces derniers
divulguent de manière très libérale les informations sur eux-mêmes et prennent
32
http://www.lemonde.fr/international/article/2013/12/05/les-geants-du-net-font-un-lobbying-intense-a-bruxelles_3526037_3210.html 33
http://fr.wikipedia.org/wiki/Marielle_Gallo 34
http://www.dailymotion.com/video/xu27td_itw-marielle-gallo-deputee-europeenne-colloque-fieec-cnil-sur-les-donnees-personnelles-3-octobre-201_news
22
peu de mesure pour se protéger d’éventuels abus de leurs données personnelles.
Daniel Kaplan précise qu’il s’agit là de la théorie du « privacy paradox »35. C’est
en 2005 que la fondation Pew36 résumait ainsi les pratiques des utilisateurs
américains de l’internet. D’un côté plus de 80% s’inquiètent de ce que des
entreprises qu’ils ne connaissent pas obtiennent et partagent de l’information sur
eux, et plus de la moitié pensent que les sites internet enregistrent des
informations personnelles à leur insu. De l’autre, les deux tiers de ces
internautes ont fourni des informations sur eux pour accéder à un site ou acheter
un produit en ligne et tout en sachant que cette recherche pouvait produire des
traces. Ainsi, tout en percevant les risques, les internautes ont tendance à
divulguer facilement des informations sur eux y compris des informations
considérées comme « sensibles ». Dès lors, quelle est la logique des
consommateurs ? Quoi qu’il en soit, il est nécessaire de bien réfléchir à la
règlementation à adopter et trouver un équilibre viable entre d’une part, une
surprotection des données qui nuirait à nos modèles économiques ou leur
patrimonialisation, et d’autre part, un système trop libéral où le consommateur
subirait la situation, impuissant, face aux géants du net.
L’adoption dans chaque pays membre de l’Union Européenne d’un même
règlement de protection des données personnelles sera une belle avancée. En
effet, ce futur cadre juridique permettra à l’Europe d’être plus intégrée et mieux
armée pour faire face à la mondialisation des transferts de données, sans
renoncer à ses principes et ses valeurs dont le citoyen est le centre de gravité.
Cependant, le cadre légal reste un minimum juridique permettant aux
consommateurs les plus fragiles de bénéficier d’une protection sur ses données
personnelles afin qu’ils ne subissent pas des abus des entreprises et
organisations. Si les individus veulent gérer leurs données comme ils l’entendent,
alors c’est à la société civile de se mobiliser afin de convenir d’un cadre de liberté
contractuelle pour définir de nouvelles manières d’utiliser et de gérer ces
données personnelles.
35
http://www.fing.org/?Informatique-Libertes-Identites 36
http://firstmonday.org/article/view/1394/1312
23
La législation française a pour but de prescrire un minimum légal à adopter pour
la gestion et la protection des données personnelles des individus mais cela ne
doit pas empêcher le citoyen libre et éclairé de choisir une solution
complémentaire afin de défendre au mieux leurs données personnelles. En effet,
la société civile a toutes les capacités requises pour adopter d’autres outils
permettant une meilleure gérance des données personnelles des
consommateurs. Des solutions existent et peuvent tout à fait être choisies en
complément de la règlementation actuelle ou future. Ces différents systèmes
n’ont pas vocation à s’opposer mais peuvent, non seulement cohabiter, mais
surtout, se compléter. Ces différentes solutions loin d’être antinomiques, peuvent
être mises en œuvre pour la gouvernance des données personnelles selon leurs
natures ou leurs fonctions. Ces options peuvent aller d’une marchandisation
classique (A), jusqu’à un changement total des mentalités pour aboutir à une
propriété partagée (B).
A. La propriété cédée
On peut imaginer un système ou les données auraient une réelle valeur. En effet,
ces données personnelles pourraient être échangées aussi bien contre une
rémunération, alors on parle d’une patrimonialisation des données personnelles
(1), que contre une multitude de services (2). Malgré tout, ces solutions devant
respecter le cadre légal établi en France, interviendraient en complément de la
règlementation française et européenne sur les données personnelles.
II. La mise en œuvre par la société
civile de compromis garantissant la
protection des données personnelles
I.
24
1. La Marchandisation des données
personnelles
a. Description
Une solution régulièrement avancée en matière de données à caractère
personnel est celle de la reconnaissance d’un droit de propriété sur ses données
personnelles. Ce mouvement dirigé principalement par l’avocat Alain
Bensoussan37, rencontré lors de la conférence à la fondation Télécom Paris sur
« les nouveaux droits de l’homme numérique », prône pour une
patrimonialisation des données personnelles38, c’est-à-dire un régime de droit de
propriété individuel commercialement cessible. Selon lui, ce droit de propriété
des données à caractère personnel constitue un véritable droit de l’homme
numérique car permettrait une allocation optimale des données personnelles
ainsi qu’une prise de conscience par l’individu de la valeur économique des
données le concernant. A l’ère de l’internet, les données sont des biens
incorporels, dont la propriété permettrait d’organiser leur protection, les
modalités de détention et les échanges de toutes natures, sous réserve des
règles d’ordre public.
Gilles Babinet responsable des enjeux du numérique pour la France auprès
de la Commission européenne et Pierre Bellanger, fondateur et PDG de Skyrock
ont une position similaire sur la politique de gestion des données personnelles.
Selon Mr. Babinet « à chaque révolution industrielle, on a construit le type de
droit approprié. A la première révolution industrielle, on a fait le Code civil […].
La deuxième révolution industrielle a amené le droit du travail. Il me semble que
va apparaître une sorte de droit de la donnée, et que ce droit va pallier la notion
de maîtrise territoriale : il va être associé à la notion de maîtrise personnelle de
ses données par l'utilisateur. […] « Chacun est propriétaire de ses propres
37
http://www.alain-bensoussan.com/ 38
http://blog.lefigaro.fr/bensoussan/2010/05/la-propriete-des-donnees.html
25
données » » 39. Ainsi, tous d’eux s’accordent à dire que les personnes doivent
être propriétaires de leurs traces numériques sur le réseau.
Très rapidement, les starts up y ont vu une opportunité d’affaire et n’ont
pas attendu pour se positionner sur un tel marché en pleine expansion. C’est le
cas de l’entreprise Américaine « Datacoup »40 ou de l’entreprise française « Yes
Profile »41 qui collecte les données personnelles d’un individu afin de les louer à
des tiers en échange d’une rémunération. Sur le site « Yesprofile », les
internautes doivent constituer un « profil » créé par l’accumulation des données
personnelles provenant à la fois des traces numériques sur le web, mais aussi
des informations telles que son e-mail, son adresse, son âge. Des
renseignements qui valent de l’or pour les publicitaires afin de cibler les clients.
Selon Viviane Reding, vice-président de la Commission européenne et
commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté énonce
que « Nos données sont devenues la monnaie de l’économie numérique ».
Cependant, si la raison première pour reprendre le contrôle de nos données est
l’aspect financier, les individus vont être déçus. En effet, ils vont mettre à
disposition leurs précieuses données personnelles en échange de revenus plus
qu’anecdotiques (la société « Datacoup » propose une rémunération de huit
dollars par mois42), ce qui conduira à un accroissement de l’asymétrie
informationnelle et du rapport de force entre entreprises et utilisateurs. Ce
concept à première vue attractif est très désavantageux pour le consommateur.
b. Mise en œuvre
Isabelle Falque-Pierrotin, présidente de la CNIL43, n'est pas favorable à
l'idée de laisser les individus commercialiser leurs propres données. Elle énonce
« Que l'individu devienne propriétaire de ses données personnelles est une
mauvaise idée, même si elle peut paraître séduisante a priori. Cela n'apporterait
rien voire moins que le système actuel : aujourd'hui vous avez des droits sur vos
39
http://www.lesechos.fr/13/02/2014/LesEchos/21626-060-ECH_la-propriete-des-donnees--defi-majeur-du-xxi-e-siecle.htm 40
https://datacoup.com/ 41
http://www.yesprofile.com/ 42
http://www.usine-digitale.fr/article/une-start-up-offre-huit-dollars-par-mois-aux-internautes-pour-acheter-leurs-data.N241039 43
http://www.cnil.fr/linstitution/qui-sommes-nous/membres/commission/isabelle-falque-pierrotin/
26
données personnelles, vous pouvez demander qu'elles soient rectifiées ou
supprimées. Si vous les cédez, vous n'aurez plus aucun droit »44. La secrétaire
d'Etat Axelle Lemaire est également contre l’idée d’une patrimonialisation et
invite à « ne pas s'enfermer dans l'idée de la propriété individuelle des
données », qu’elle considère comme une utopie. Axelle Lemaire veut moderniser
notre cadre législatif en légiférant rapidement sur la question.
Ainsi, cette solution ne semble pas la plus adéquate car revient à résumer
la donnée personnelle à une simple valeur transactionnelle et donc économique,
alors qu’aujourd’hui, l’édifice de la protection des données personnelles se fonde
avant tout sur la liberté, l’usage et surtout l’autonomie. Parler de propriété
reviendrait à appliquer un droit économique qui peut s’avérer complexe de
réalisation compte tenu de sa nature impalpable. Une analyse rigoureuse semble
analyser les données personnelles non en termes de droit patrimonial mais en
termes d’attributs de la personnalité qui se veut incessible « Bien que la
personne concernée ne soit pas « auteur » de l’information, au sens de la mise
en forme, elle est le titulaire légitime de ses éléments. Leur lien avec l’individu
est trop étroit pour qu’il puisse en être autrement. Quand l’objet des données est
un sujet de droit, l’information est un attribut de la personnalité »45. Ainsi
comment pourrait-on céder une donnée qui peut aussi être un attribut de sa
personnalité ? Ce régime semble totalement inadapté au monde d’Internet.
D’autres inconvénients surgissent quant à l’adoption de cette approche. La
propriété des données conduirait l’individu à gérer et protéger ses données pour
son propre compte alors que ce problème est mondial et relève de la société
toute entière. Cette vision aboutit à la montée inéluctable de l’individualisme et
donc à une augmentation des inégalités entre les citoyens numériques. En effet,
un fossé se formera entre les individus en capacité de gérer leurs données, de
les monétiser, de les protéger et les autres qui par manque de compétences, de
temps ou d’envie laisseraient faire l’économie de marché. La société se diviserait
en deux entre les personnes qui commercialisent leurs données sous forme
monétaire ou en échange de service et ceux qui préfèreraient les protéger de ce
44
http://www.latribune.fr/technos-medias/20140522trib000831369/un-an-apres-snowden-la-france-envisage-de-mieux-encadrer-l-utilisation-des-donnees.html 45
P. Catala, « Ebauche d’une théorie juridique de l’information «, repris in Le droit à l’épreuve du numérique, « Jus ex machina «, PUF, 1998.
27
vice. Aujourd’hui on peut déjà voir apparaitre des services comme Doodle46 ou
les individus payent le prix fort pour ne pas avoir de publicité (service
premiums)47. Or notons que cette dernière solution n’est absolument pas viable
pour la protection des données personnelles car certes la publicité directe n’est
pas utilisée, mais les opérateurs procèdent quand même à la collecte massive
des données personnelles et donc à leur monétisation.
Cette conception de patrimonialisation des données favorisera également
l’apparition d’un nouveau marché de protection des données personnelles où
fleuriront des sociétés chargées de la « protection des données numériques »
afin de vérifier quels organismes collectent les données personnelles de
l’individu, comment, pour qui ect. Aujourd’hui, ce type de service existe déjà,
notamment sur le thème de la e-réputation sur internet où des entreprises
comme RéputationVIP48 ou Fidzer49 ont pour mission de gérer, surveiller et
maîtriser la visibilité et notoriété dans le but de contrôler l’image d’un individu.
Là encore, une inégalité forte se créera entre les individus ayant les moyens de
s’offrir un tel service et les autres. Ce fossé numérique est induit par un
glissement d’un régime de droit vers un régime de propriété. Pour beaucoup
d’observateurs, cette patrimonialisation des données pose plus de problèmes
qu’elle n’en résout. En effet, « Comment fera un journaliste qui voudra, pour un
article, utiliser les données que vous avez publiées sur un blog ou un réseau
social ? énonce Justin Brookman, responsable de la vie privée des
consommateurs, au sein du CDT (Center for Democracy and Technology). Par
ailleurs, « si vous cédez la propriété de vos données, que deviendront les droits
attachés à ces données ? Seront-ils cédés avec ? », demande Edouard Geffray,
secrétaire générale de la Cnil50.
Dès lors, même si cette solution recouvre de nombreux risques pour les
données du consommateur ce dernier peut très bien vouloir gérer ses données
personnelles en les marchandant via des sites dédiés. L’individu peut tout à fait
autoriser la transmission de ses données aux entreprises, c’est à lui de décider
46
http://doodle.com/fr/fonctionnalites 47
http://www.ictjournal.ch/News/2014/03/28/Doodle-lancera-bientt-une-version-premium.aspx 48
http://www.reputationvip.com/ 49
http://www.fidzer.com/ 50
http://www.lesechos.fr/04/03/2014/LesEchos/21639-050-ECH_comment-se-reapproprier-nos-donnees.htm
28
en fonction des avantages qu’il attend, ou des risques qu’il redoute, de
communiquer ou non ses données à ces sociétés privées.
Cependant, une autre option semble possible afin de réguler les relations
entre les différents acteurs, sans passer par une marchandisation des données
personnelles. Cette solution prône pour une restitution de l’intégralité des
données personnelles aux individus par les entreprises privée en échange d’un
service. Ce nouveau concept innovant pourrait aboutir in fine à une économie
plus saine et plus pérenne et ainsi bouleverser notre modèle économique
d’aujourd’hui.
2. La restitution des données
personnelles contre des services
Aujourd’hui, les individus ont de multiples raisons de vouloir faire usage de
leurs données personnelles en ligne et même d’autoriser certains acteurs
économiques à les utiliser. Si aujourd’hui, les puissants outils permettant
d’extraire la connaissance et produire de la valeur à partir de ces informations
sont encore réservés aux entreprises ou aux administrations, une solution existe
pour rompre avec cette situation d’asymétrie devenue insupportable. Les
individus disposent désormais de puissants moyens de traitement et d’échanges
d’informations et s’en servent pour échanger, contracter et s’exprimer. Et si les
individus pouvaient utiliser, à leurs propres fins, les masses de données dont les
organisations disposent sur eux ?
a. Description
Basé sur un pari osé, l’idée est que les entreprises qui depuis des années
accumulent sur tous les citoyens des informations, acceptent de les rendre ! Un
espace dédié sur le web concentrera toutes les données du client ou seul ce
dernier aura la clé. Née aux Etats-Unis, cette initiative vise à redonner au
consommateur la maîtrise de ses données personnelles issues de la sphère
marchande. Dans ce système, les sociétés mettent à disposition de leurs clients
29
les historiques de consommations et les autres informations à caractère
commercial qu’elles possèdent sous forme de fichiers exploitables par le grand
public. Cette démarche est basée sur le concept VRM51 (Vendor Relationship
Management ou gestion de la relation avec les vendeurs), le symétrique côté
consommateur du CRM52, (Customer Relationship Management), défini en 2006
par le blogueur et journaliste américain Doc Searls53 dans le cadre d’un
programme de recherche du Berkman Center for Internet & Society de
l’université d’Harvard. Cette initiative souhaite bouleverser le modèle
économique d’aujourd’hui en rejetant l’actuelle « économie de l’attention » dans
laquelle la publicité et le marketing dirigent les achats des citoyens.
La France est plutôt en avance sur ses confrères européens concernant
cette nouvelle révolution de la société numérique. C’est le projet MesInfos54,
mené par la Fondation pour l’internet nouvelle génération (FING55) qui vise à
expérimenter le retour des données personnelles vers les individus. Cette
expérimentation est basée sur une réflexion simple : « si j’ai une donnée sur
vous, vous l’avez aussi. Et vous en faites… ce qui a du sens pour vous! » C’est
autour de cette idée que, depuis 2012, la Fing et plusieurs partenaires dont la
Caisse des dépôts, le Groupe la poste, Alcatel-lucent ont engagé le projet
MesInfos. Le but est d’explorer ce qu’il se passerait si les organisations qui
possèdent des données personnelles partageaient ces données avec les individus
qu’elles concernent. En effet, selon Daniel Kaplan, co-fondateur et délégué
général de la FING56, rencontré lors de l’assemblée générale de la FING se tenant
à la Caisse des Dépôts «Les données personnelles sont une matière première
précieuse pour les entreprises qui n’hésitent pas à s’en servir. Il n’y a aucune
raison que les consommateurs n’en tirent aucun profit». Dans ce programme,
300 individus volontaires57 ont accès à leurs données personnelles restituées par
les organisations partenaires du projet via une plateforme personnelle de
données sécurisées. Mais parce qu’avoir accès à ses propres données brutes ne
suffit pas à leur donner de la valeur, une communauté de développeurs et
51
http://en.wikipedia.org/wiki/Vendor_relationship_management 52
http://fr.wikipedia.org/wiki/Gestion_de_la_relation_client 53
http://www.searls.com/ 54
http://mesinfos.fing.org/ 55
http://fing.org/ 56
http://www.20minutes.fr/magazine/secoacher/donnees-objets/si-ces-donnees-ont-tant-dimportance-pour-les-entreprises-pourquoi-nen-auraient-elles-pas-pour-nous-92538/ 57
http://mesinfos.fing.org/projet/
30
designers est mobilisée pour concevoir des applications et services innovants
autour de ces données ouvrant un nouveau champ d’usages pour les individus.
Plusieurs entreprises notamment Axa, Banque postale, Crédit coopératif, Google,
Mousquetaire ou encore la Société générale ont participé à l’expérimentation qui
s’est déroulée de septembre 2013 à avril 2014. A terme, chaque individu pourra
avoir accès à l’ensemble des informations le concernant stockées sur une plate-
forme unique approvisionnée par les entreprises dont il est client et les données
pourront être partagées entre les applications.
Ce projet MesInfos est né en prenant le contre rebond de la situation
actuelle. Depuis des décennies, les entreprises et les administrations se sont
dotées de moyens toujours plus performants afin de capturer, retenir et exploiter
les données relatives à leurs clients et usagers afin de devenir plus intelligents à
propos de leurs clients. En revanche, les citoyens ne possèdent quant à eux,
aucune information, aucune connaissance et ignorent exactement quelles
données sont détenues et pour quels usages. Ainsi, cette asymétrie de plus en
plus mal supportée couplée avec le récent scandale PRISM58 sur la transmission
de données d’utilisateurs d’internet à des fins de surveillance entre des
puissantes entreprises comme Yahoo, Google, Microsoft, Apple, Skype,
Facebook, a été un catalyseur de prise de conscience sur la problématique de
l’utilisation des données personnelles et de la protection des données. Ceci a
profondément changé la perception des citoyens sur leurs données et ils sont
conscients que de nombreuses organisations possédaient des données sur eux
sans pour autant en connaitre exactement la nature. Le risque de cette approche
marketing fondée sur une connaissance unilatérale et purement quantitative du
client est, qu’à terme, toute possibilité réelle de dialogue entre le client et
l’entreprise disparaisse.
Ainsi, ce projet vise à renverser le rapport de force vis-à-vis des
consommateurs en leur donnant les moyens de tirer parti des technologies pour
augmenter la capacité des individus à se connaître, à s’informer, s’exprimer,
décider, négocier et maîtriser leur degré de visibilité. Ce projet pourrait à terme
s’appliquer dans le cadre d’une relation usagers/administrations dans cette
même optique de restitution des données personnelles aux individus. Le point de
58
http://lexpansion.lexpress.fr/high-tech/scandale-prism-comment-les-etats-unis-espionnent-le-web_1340388.html
31
départ de ce projet ambitieux est de redonner confiance aux individus. En effet,
ce lien si précieux qui unissait les individus et les organisations ne cesse de
s’effilocher de jour en jour et ce dans la majorité des secteurs (banques, les
médias, les services publics ect). Les institutions et les entreprises, suréquipées
réutilisent abondamment les données personnelles des individus, favorisant ainsi
une relation inégale avec un public de plus en plus méfiant et désengagé. Le
rétablissement de la confiance s’avère donc primordiale pour mener à bien la
transition numérique. Ce n’est que si les consommateurs ont confiance dans le
traitement de leurs données à caractère personnel qu’ils continueront à les
transmettre aux entreprises et autorités publiques. Si les causes de cette rupture
de confiance étaient connues depuis longtemps, les solutions tardaient. La FING
à l’audace de proposer un modèle symétrique différent de la relation actuelle
entre organisations et individus, un partenariat 2.0 se veut être « gagnant-
gagnant ». Dès lors, la relation entre des entreprises et des clients également
informés et outillés ne pourrait-elle pas produire plus de confiance et de fidélité
que la situation actuelle d’asymétrie totale ?
Le projet MesInfos recouvre de nombreux avantages pour tous les
protagonistes de cette expérience. En effet, l’individu en acceptant de participer
à cette nouvelle expérience en retirera de nombreux bénéfices comme
notamment un contrôle sur ses données personnelles. En effet, MesInfos permet
à l’individu de posséder son propre « entrepôt de données personnelles » lui
permettant de contrôler son partage d’informations avec les entreprises. L’usager
peut choisir les informations qu’il souhaite partager avec les entreprises. Pour le
fondateur de MesInfos, « l’économie de marché a besoin de consommateurs
libres » (« Free markets need free customers »). Ainsi, dotés d’une vision globale
de leur identité numérique auparavant dispersée, les consommateurs pourront
dialoguer sur un pied d’égalité avec les entreprises. Grâce à leur plateforme
sécurisée dite « de cloud personnel » les consommateurs peuvent conserver,
observer et interagir avec leurs données notamment grâce à des services et
applications inventés spécialement pour leurs besoins. Cette pratique favorisera
leur prise de conscience quant à la valeur réelle de leurs données personnelles et
ils seront probablement plus actif quant à leurs protections. L’utilisation de leurs
données à leurs propres fins et leurs partages facilitera la comparaison entre des
offres de plus en plus complexes et permettra aux consommateurs d’exprimer
32
plus clairement leurs attentes, ce qui rendra le marché notablement plus
efficient.
L’autre aspect avantageux de ce projet pour le consommateur est l’arrivée
du « quantified self » c’est-à-dire le micro management de soi permettant de
mieux se connaitre à travers ses propres donnés dans des domaines variés
comme la santé, la consommation, les finances, la mobilité, l’énergie ou encore
l’impact écologique. Les individus vont prendre conscience de la valeur
personnelle, sociale, économique, qu’ils peuvent tirer de leurs propres données
personnelles qui leur permettra de mieux se connaître et d’être plus armés dans
la prise de décision. La société d’assurance AXA a créé un contrat d’assurance
individualisé « Pay as you drive »59 offrant une tarification basée sur l’usage qui
est fait du véhicule grâce à l’installation d’un dispositif sur le véhicule qui
enregistre les parcours effectués. Ainsi, l’assuré ne paiera que ce qu’il a
consommé et sa prime sera calculée sur cette base. Cette solution permet de
souscrire des contrats non plus standards mais individualisés répondant aux
besoins spécifiques du consommateur. De plus, le projet Mesinfos fait appel à
des développeurs et designers pour concevoir des services et applications
innovantes au service des consommateurs. Ces applications et services, en
interprétant les données des consommateurs, leur permettront de faire de
meilleurs choix de consommation et ainsi faciliter leur quotidien. Par exemple, les
internautes peuvent utiliser un relevé bancaire intelligent qui permet de renvoyer
pour chaque opération à l'url du site marchand où a été effectuée une
transaction par carte bancaire, ou vers le ticket de caisse du supermarché visité.
L'application va ensuite analyser les dépenses en repérant les dépenses
régulières. Un autre service permet grâce à l’analyse des données personnelles
au sein des tickets de caisse du supermarché de visualiser la consommation de
lipide, glucide ect ou de mettre en évidence les coûts des courses réalisées
(temps passé, trajet effectué, poids porté) afin de choisir le mode de course le
plus adapté.
Du côté des entreprises et des administrations, ce projet présente également
de nombreux avantages. Depuis des années, les départements marketing des
entreprises dépensent des sommes colossales pour arriver à toucher le
59
http://www.news-assurances.com/le-pay-as-you-drive%C2%A0ou-l%E2%80%99assurance-auto-sur-mesure/016717946
33
consommateur sans grands résultats. Les bases de données restent imprécises,
incomplètes et obsolètes. Ce projet permet une réduction significative des coûts
de marketing en permettant aux clients de s’adresser directement au marché en
exprimant clairement leurs besoins, au lieu de dépenser des millions d’euros à
tenter de deviner leurs intentions. Aujourd’hui, le client connait ses besoins mais
n’a pas véritablement de moyens de communication. Un retour des données
permettra à l’offre et la demande de communiquer plus directement. De plus, les
individus utilisant leurs données personnelles pour leur propre compte et leurs
propres usages (via des services) auront intérêt à les compléter et les actualiser
régulièrement auprès des organisations ce qui rendra le marché plus efficient.
Ainsi, en rassemblant des données de très nombreuses sources et en les
complétant, les consommateurs constitueront des gisements d’informations qui
pourraient faire émerger de nouveaux services et la perspective de se
positionner sur de nouvelles activités rémunératrices.
L’autre impact bénéfique du retour des données personnelles aux
consommateurs est le rétablissement d’une relation de confiance entre le
consommateur et l’entreprise privée. En effet, les consommateurs, conscients du
système actuels de l’utilisation incessante des leurs données personnelles,
laissent place à la crainte et à la défiance vis-à-vis de ces sociétés. Ce projet
permet aux entreprises privées d’être notablement plus transparentes et donc
moins soupçonnables de pratiques hasardeuses. En recréant une confiance
solide, on retrouvera le sens de la relation commerciale avec les clients et
usagers. Un client fidèle et confiant est le bien le plus précieux des marketers.
Cette réciprocité et transparence aboutira à une relation plus équilibrée et
sensiblement plus respectueuse. Ainsi, les entreprises pourront imaginer de
nouveaux services sur les bases de données issues de plusieurs sources afin de
se positionner.
Du point de vue de la société, ce projet permettra d’atténuer petit à petit
la tension montante autour de l’usage croissant des données personnelles et de
la vie privée en associant protection et mise en capacité d’agir des individus.
Cette expérience MesInfos n’est pas unique au monde et des pays comme le
Royaume-Uni ou les Etats-Unis se sont déjà lancés dans des initiatives
34
comparables. Le projet Midata60 appuyé par le gouvernement britannique a été
mis en place en partenariat avec une vingtaine d’entreprises de différents
secteurs (dont MasterCard, Google). Ces dernières s’engagent à rendre aux
individus les données personnelles et transactionnelles les concernant dans un
format lisible. Aux Etats unis, l’initiative Smart Disclosure61 a donné naissance
aux Green button, Blue button et Purple button. En un clic, les individus peuvent
ainsi télécharger leurs données dans les secteurs de l’énergie, de la santé ou de
la formation62.
Par conséquent, cette nouvelle démarche a pour objectif de permettre au
consommateur d’opter pour des choix plus éclairés, d’exprimer ses attentes et
ainsi de prendre en mains son quotidien. Un nouvel écosystème d’applications
pour exploiter ces données va émerger mais il est nécessaire d’appréhender les
difficultés de mise en œuvre afin de rendre ce projet complètement réalisable.
b. Les difficultés de mise en œuvre
Si le projet de restitution des données personnelles aux consommateurs
semble être une avancée technologique considérable pour la société numérique,
ce retournement de la relation client fait émerger beaucoup d’interrogations. En
renversant ce qui se pratique depuis plusieurs décennies, à savoir, l'accumulation
unilatérale de données personnelles et de moyens de les traiter au seul bénéfice
des organisations, MesInfos ouvre de nouveaux questionnements. Comment être
certain que cette gestion des données personnelles ne favorise pas une inégalité
entre les individus ? Comment faire en sorte que cette restitution des données
personnelles n’aboutisse pas à l’apparition de nouveaux risques pour la sécurité ?
Juridiquement, comment ce projet peut être mis en œuvre ?
En effet, cette nouvelle relation client/entreprise basée sur le numérique pose
des questions sur la faisabilité de ce concept pour l’ensemble de la population. A
terme, cette pratique pourrait aboutir comme pour la propriété des données
personnelles à un renforcement des inégalités entre citoyens numériques.
60
https://www.gov.uk/government/news/the-midata-vision-of-consumer-empowerment 61
http://www.cil.cnrs.fr/CIL/IMG/pdf/informing-consumers-through-smart-disclosure.pdf 62
https://www.data.gov/consumer/page/smart-disclosure-policy
35
Comment éviter un fossé entre ceux capables de gérer leurs données, de les
protéger, de les monétiser et ceux qui par manque de temps ou d’habilité
laisseraient faire le marché ou s’en remettraient vite à de nouveaux « tiers de
confiance » ? À défaut, seuls les consommateurs les plus actifs et compétents
devenus consommateurs experts tireront profit de la situation tandis que la
masse des autres consommateurs se retrouvera moins protégée et moins
capable de faire valoir ses droits.
De plus, la restitution des données aux consommateurs posera de nombreux
problèmes de sécurité, créant un nouveau risque juridique pour les entreprises.
Dans un contexte de regroupement et de « mash-up » des données sur une
plateforme personnelle tel que Cozy cloud63, les problématiques de sécurisation
des données sensibles s’avèrent être un enjeu fondamental. Le rassemblement
sur une seule plateforme d’un grand nombre d’informations sur des millions de
consommateurs peut s’avérer être dangereux. En effet, les pirates seront à
l’affût de données monétisables, d’où la nécessité de prévoir des architectures
techniques solidement protégées mais également interopérables, permettant
aux individus de gérer leurs propres données en les déplaçant ou en les
hébergeant eux-mêmes. Il faut mettre en place un système de dialogue entre les
individus et les entreprises faisant circuler l’information entre plusieurs
terminaux. Il faut que les données d’un individu puissent lui devenir accessibles
sans jamais avoir besoin de quitter le système d’information des entreprises qui
les détiennent à l’origine. Cette solution peut tout à fait voir le jour avec
l’adoption dans le futur règlement européen d’un droit à la « portabilité des
données »64, qui pourra parfaitement s’adapter aux projets Mesinfos.
Cependant, même si cette solution de décentralisation semble la plus adaptée, il
faut rester très vigilent car ce choix regorge également de nombreux risques
notamment concernant les différents niveaux d’alphabétisation qui peuvent
s’avérer préjudiciables pour la sécurité de nos données personnelles.
De plus, les recoupements de données personnelles à grande échelle peuvent
menacer l’anonymisation et faire craindre l’apparition de « Big brothers ». Plus
notre modèle économique inventera des services qui auront besoin de collecter
63
https://www.cozycloud.cc/ 64
http://www.cabinet-cilex.com/uploads/Projet%20de%20R%C3%A8glement%20-%20Version%20Cilex%20avec%20table%20et%20renvois.pdf
36
des données pour fonctionner, plus on verra apparaitre toutes sortes de
surveillance possibles. Le risque est l’interconnexion des fichiers contenant toutes
les données personnelles. C’est pourquoi, Geoffrey Delcroix chargé d'études
innovation et prospective au sein de la CNIL, en charge du projet de la Fing,
énonce que « le projet MesInfos prône plutôt pour la création d’une table de
correspondance qui rend difficile de relier les informations venant de deux
entreprises différentes, ce qui aboutira à une non-interconnexion des fichiers
contenants des données personnelles ». Ainsi, il est primordial de faire la
distinction entre production et analyse des données personnelles d’une part, et
risque de surveillance et problématique de sécurisation de données personnelles,
d’autre part. Il est aisé d’imaginer les dérives possibles, par exemple une
assurance de santé pourra savoir si l’individu, officiellement en arrêt maladie,
utilise son automobile pour se déplacer.
Juridiquement, si le concept MesInfos est mis en œuvre, alors les services et
applications qui y sont rattachés doivent respecter de manière stricte, la lettre et
l’esprit la loi « Informatique et Libertés » du 6 janvier 1978, les directives
européennes et bientôt le règlement européen relatif à la protection des données
personnelles. On pourrait tout à fait imaginer que les nouveaux droits issus du
futur règlement européen (oubli numérique, droit à la portabilité des données)
s’appliqueront au projet MesInfos, ce qui permettra de renforcer encore plus la
maitrise des données personnelles par les individus. Notons que la CNIL sans
être partenaire du projet est membre du comité de pilotage veille et contrôle au
respect de l’application des lois.
Cependant, même si les moyens juridiques et techniques de protection
existent, ils demeurent mal connus tant par les organisations que les citoyens.
Ainsi, est-il envisageable que l’informatique contribue à l’identité humaine, aux
droits de l’homme, à la vie privée, aux libertés individuelles et publiques à partir
de nos propres données personnelles ? Le pari est de faire un droit d’accès 3.0
ne comprenant pas seulement un droit d’accès mais également une utilisation.
Avant tout, la confiance s’avère être un élément déterminant pour réussir
cette transition numérique. Pour cela, il serait pertinent de mettre en place un
cadre combinant des règles techniques (des outils) et juridiques. La perspective
réglementaire présente l’avantage de convaincre les organisations hésitantes
37
quel que soit leur avis sur la question. Cependant, la loi n’est pas suffisante et
doit être doublée d’un accord entre les organisations et les individus. En effet,
l’individu doit être au centre du cadre de confiance. Il sera ainsi important de
créer des règles simples que les individus pourront comprendre, et auxquelles ils
pourront adhérer. Les organisations abusent aujourd’hui du concept légal de «
consentement informé ». Dès lors, dans l’hypothèse de l’adoption de ce projet
MesInfos, ne serait-il pas envisageable de créer un outil en complément de la
règlementation française et européenne qui permettrait aux citoyens de mieux
gérer et maitriser leurs données personnelles ?
On pourrait tout à fait s’inspirer d’un courant juridique ayant émergé aux
Etats-Unis au début du XXe siècle dit « bundle of rights » (faisceau de droit)
pour la gestion des données personnelles. Trouvant son origine dans la pensée
juridique américaine dite du « legal realism » ou réalisme juridique, ce concept
conçoit la propriété comme un ensemble complexe de relations légales entre des
personnes et non comme un droit antérieur à la loi conférant un droit absolu
d’une personne sur une chose. Ainsi, la propriété relèverait d’un faisceau de
droits reliant le propriétaire à d’autres personnes à propos de son bien. Cette
vision permettrait de saisir le fonctionnement social et les effets sociaux et
économiques produits par le droit en s’émancipant de l’emprise du formalisme
juridique. Ce concept permet autour d’une même ressource matérielle ou
immatérielle, d’identifier différent droits comme par exemple le droit de
posséder, d’utiliser, de gérer, de monétiser, de transmettre ou encore de
modifier. Ainsi, appliqués aux données produites sur le web par les actions des
individus, les faisceaux de droits permettraient d’imaginer trois ensembles de
droits :
On peut imaginer que certains usages assortis de droits soient garantis à
l’utilisateur, comme par exemple, le droit de rectification de ses données,
le droit à la portabilité des données, le droit de savoir ce que l’on collecte
sur lui ect.
A l’inverse, d’autres droits peuvent être octroyés à la plateforme, au
producteur du service, comme par exemple le droit de gestion pour une
amélioration de la relation client.
38
Enfin, les usages intermédiaires, qui sont ceux qui dégagent le plus de
valeur d’usage à la fois pour l’entreprise et pour l’individu, peuvent quant
à eux faire l’objet d’un usage par l’entreprise sous deux régimes possibles:
Soit on prône pour une ouverture de la donnée individuelle à un
tiers sur base d’une autorisation explicite de la part de l’individu
coproducteur, en échange d’un service. C’est l’illustration du projet
MesInfos porté par Fing. Le consommateur peut autoriser une
marque d’une boutique de vêtement d’accéder à ses données afin
de lui proposer un produit qui correspond parfaitement à ses
besoins (approche dite VRM).
Soit une ouverture de la donnée agrégée et anonymisée à des tiers
sous condition de partage limité dans le temps. Ainsi, sur une
période bien délimitée, lorsque la donnée est au sommet de ses
capacités, la plateforme aurait le droit de monétiser celle-ci.
Cependant, à l’expiration du terme, la donnée cessera d’être
disponible par la plateforme productrice qui devra la détruire ou la
transférer vers un espace personnel sécurisé pour sa conservation
par l’individu.
Dès lors, ce système respectant la loi pourrait aboutir à un cadre à la fois
protecteur pour l‘individu et avantageux pour les entreprises du net dont le
business model est basé principalement autour de la donnée. Malgré ces
incertitudes et son manque de maturité vis-à-vis des consommateurs et des
entreprises, MesInfos propose une voie nouvelle pour sortir à la fois de la crise
de confiance qui mine aussi bien la relation entre les consommateurs et les
entreprises, qu’entre les citoyens et les administrations. Le vrai potentiel de ce
projet est la mise en lumière d’un réel gisement de valeurs et de services, mais il
faudra encore du temps pour faire murir ce concept et envisager son application
dans notre société. En effet, les entreprises doivent faire des efforts concernant
le niveau technique et l’interopérabilité des données accessibles au grand public
et cela demande un investissement considérable. De plus, les individus sont
encore trop fragiles pour comprendre concrètement comment fonctionne cette
réutilisation des données pour leurs propres comptes. Ainsi, une règlementation
39
immédiate serait naturellement prématurée. Cependant, ce projet mérite une
attention particulière car il propose une solution pour estomper la tension
montante autour de la vie privée et de l'usage croissant, par les grandes
entreprises du numérique, des données personnelles comme "matière première"
de leur modèle économique. Enfin, il fera naître un marché entièrement nouveau,
ouvert aux innovateurs, celui des "services personnels de données". Ce
changement profond, complexe, prendra du temps mais sera à terme source
d’avantages compétitifs durables. Il y a du pari dans MesInfos, mais les bénéfices
potentiels motivent à l'oser.
Ainsi, différentes options ont pu être évoquées allant de la
patrimonialisation des données personnelles contre un revenu, à une acceptation
de l’utilisation des données personnelles en échange de services innovants et
efficients (A), cependant, ne pourrait-on pas imaginer un tout autre système
prenant sa source en Angleterre et aboutissant à un retournement total des
mentalités pour le bien commun de tous ? Telle est le concept de la propriété
partagée (B)
B. La propriété partagée
Aujourd’hui, à mesure qu’on ajoute des données sur la toile, nous
construisons les conditions de la surveillance de masse. En effet, plus nous
produisons du « big data », plus nous verrons apparaitre de plus en plus
d’infrastructures favorisant la collecte de nos données personnelles, ce qui
conduira à une surveillance toujours plus poussée. Selon Valérie Peugeot65 « Le
web est un espace contributif et distribué qui nous fascine, mais qui masque les
couches d’infrastructures construites elles sur des logiques de contrôle et de
centralisation ». Ainsi, pour trouver un équilibre entre cette situation d’asymétrie
technologique, la société civile peut se mobiliser afin d’élaborer de nouvelles
règles de gouvernement dans le but de repenser la donnée comme un bien
commun et non comme un bien public. La donnée doit être considérée comme
une ressource commune et non publique, ni privative. Aujourd’hui, il s’avère
65
http://www.cnnumerique.fr/membres/valerie-peugeot/
40
nécessaire de réétudier la notion de propriété commune longtemps malmenée et
occultée par les théories économiques. Selon ces derniers, la propriété est très
souvent synonyme de propriété privée, considérée comme l’un des piliers
fondamentaux des économies de marché. Dès lors, ils ont ignoré, pour la
plupart, toutes possibilités de formes plurielles de propriété jugées par essence
inefficaces. Cependant, il est peut être venu le moment d’essayer de
reconsidérer la notion de propriété commune qui peut avoir des enjeux politiques
et intellectuels colossaux.
Cette théorie a été conçue grâce aux travaux d’Elinor Ostrom de l’école de
Bloomington66 Prix Nobel d’économie en 2009. Cette piste pertinente pourrait
être envisageable pour encadrer juridiquement les données personnelles.
L’utilisation de sa théorie des biens communs ou plus précisément
des « communs » permettrait de développer une sphère de données en
commun. Cette approche considère les données personnelles comme une
ressource collective qui n’entrent ni dans le régime des biens gérés par la
puissance publique, ni dans un régime de marché. Ces fameuses données
personnelles seraient des biens communs c’est à dire quelque chose qui
appartient à tout le monde et à personne. Cette approche par « faisceau de
droit », pilier de la pensée des communs, a pour objectif de développer un
schéma conceptuel permettant de distinguer et caractériser les différents
régimes de propriété (publique, privée et commune) pouvant être tenus par des
utilisateurs de ressources. Le but n’est pas de sanctuariser ces données
personnelles par la loi, ni de les commercialiser abusivement mais de repenser
autour de leurs usages un faisceau de droits.
La théoricienne démontre que les communautés locales peuvent tout à fait
parvenir par elles-mêmes à mettre en place une gestion efficiente, sans avoir
recours aux autorités publiques ou aux lois du marché. Ainsi, ce régime de
communs ouvre une troisième voix à côté de la propriété privée et de la
propriété publique, un espace protégé dans lequel les données, ne sont pas
soumises à un régime de droits exclusifs mais peuvent être utilisées, selon
certaines conditions fixées par la communauté. Ces sphères n’ont pas vocation à
s’opposer mais à se compléter. La communauté, veillant à a protection et à la
66
http://regulation.revues.org/10471
41
gestion de ces données, va organiser leurs règles de gouvernance en s’appuyant
sur un faisceau de droit, rendant possible les régimes de propriétés partagées.
Ce qui intéresse la théoricienne c’est le partage de l’utilisation des ressources par
les participants. Ainsi, sa volonté ultime est d’appliquer le concept de bundle of
rights, au cas des ressources partagées, de décrire ces droits, d’explorer leur
distribution et d’en exposer le fonctionnement. Evidemment, ce concept, venant
en complément de la règlementation juridique, permet au citoyen de décider
quels types et quelles quantités de données personnelles il souhaite placer au
sein de cet espace commun. Chaque individu va catégoriser le contenu qu’il est
prêt à partager avec leur communauté. Ainsi, le choix des usagers tient compte
du caractère intrinsèquement plus ou moins appréciable de l’information
partagée. Il va de soi que toutes les données ne peuvent pas être mises en
propriété partagée. Qui accepterait de divulguer son numéro de téléphone ou son
code de carte bancaire ? Les choses sont évidemment différentes lorsqu’on parle
de l’âge, des habitudes de consommation, ou des mensurations.
De plus, ce concept permet de ralentir la course toujours plus effrénée à la
marchandisation de la donnée favorisant une société de surveillance. En effet, la
sphère de données « en communs » sera protégée et constituera un gisement
d’informations dans laquelle d’autres acteurs extérieurs à la communauté
peuvent puiser pour innover, créer et proposer d’autres services. Plusieurs
catégories de données pourraient faire parties de cette sphère des communs.
La première catégorie peut concerner les données de source publique
produites par la sphère publique et partagées en open data, sous réserve
qu’elles soient assorties d’une licence de partage à l’identique en
favorisant les licences de type ODBL. En effet, on peut observer la limite
de la licence ouverte Etalab qui n’est pas assez protectrice des biens
communs, car elle n’impose pas le partage à l’identique donc cela signifie
que toute entreprise peut utiliser les données publiques ouverte pour les
commercialiser.
La deuxième catégorie est constituée des données produites par les
citoyens qui désirent placer ces ressources en bien commun. (c’est le
même système que pour les données produites dans Wikipédia ou
OpenStreetMap). De plus en plus d’individus font le choix éclairé de placer
42
leurs créations de l’esprit sous licence libre, participant ainsi à la création
des connaissances en commun. (cette tendance est visible concernant le
partage des modèles imprimés en 3D67). Ces données constituent donc
une œuvre collective, pour lesquelles les communautés ont choisi un
régime juridique qui protège les ressources en biens communs.
La troisième catégorie concerne les données produites par des entreprises
pour les besoins de leur activité (par exemple une liste de point de vente,
les horaires de passage, un taux de fréquentation de ses magasins). A la
base ces données n’ont pas vocation à s’ouvrir mais certaines entreprises
ont compris l’importance de participer aux biens communs et choisissent
de les mettre à disposition de tiers. (c’est le cas de la poste ou SNCF
concernant l’open data). Cependant, cette catégorie doit être envisagée
avec prudence car les données des entreprises font l’objet d’une
gouvernance privée et non collective donc à tout moment l’entreprise
privée peut décider de ne plus les mettre à disposition.
Par conséquent, en définissant une gouvernance partagée de cette ressource
commune, ce régime permet de penser les usages indépendamment de la notion
de propriété et d’adapter les règles de droit pour servir au mieux les usages en
protégeant les données mises en partage.
67
http://www.numerama.com/magazine/26593-impression-3d-les-creative-commons-font-la-loi.html
43
A l’heure de l’économie numérique, les données constituent le véritable
« carburant » de notre économie du XXIe s, et s’avèrent être la clé de la
croissance, de la compétitivité et de l’innovation de demain. Nos sociétés
modernes s’appuient sur les technologies de l’information et les réseaux pour
assurer le fonctionnement des territoires, organisations et services. Cependant,
cette avancée technologique doit se faire avec prudence et réflexion concernant
la gestion et la protection de nos données personnelles. En effet, la protection
des données personnelles est un droit à part entière, qui se trouve à la croisée
d’autres droits fondamentaux, notamment le droit de la propriété, le droit au
respect de la vie privée et la liberté d’expression. Elle interagit également avec
des principes économiques et commerciaux et influe sur l’organisation des
entreprises. C’est cette situation centrale pour l’économie numérique qui doit
être regardée avec prudence et réflexion. Ainsi, l’encadrement de l’usage des
données personnelles, vitales pour le citoyen, la société démocratique et les
entreprises implique de mettre en place un dispositif susceptible d’atténuer les
inquiétudes profondes des citoyens en suscitant la confiance de tous.
Si notre législation actuelle française et européenne nécessite une refonte
pour son adaptation au monde d’aujourd’hui, notamment grâce à la future
adoption du règlement européen, elle devra trouver un équilibre entre un niveau
élevé de protection des données personnelles et une flexibilité suffisante pour
que l’innovation et les entreprises puissent continuer à s’épanouir. Cette
règlementation constitue le minimum légal nécessaire pour que l’individu puisse
obtenir une protection de ses données personnelles, mais cela est-il suffisant ?
En effet, la société civile dispose de tous les outils permettant une véritable
gestion et maitrise des données personnelles des individus.
Différentes solutions existent aujourd’hui permettant d’améliorer notre
situation insupportable d’asymétrie informationnelle avec les organisations
privées et les administrations. Les citoyens aujourd’hui disposent de nombreux
Conclusion
44
outils et leurs données personnelles constituent une ressource précieuse qu’il est
temps de préserver, de gérer et d’utiliser à bon escient. Dès lors, il semble
primordial de développer, à côté de la législation sur la protection des données
personnelles, des outils prônant la liberté contractuelle et permettant au citoyen
d’être actif dans cette économie mondiale basée de plus en plus sur les données.
De la marchandisation à l’utilisation de service en passant par la propriété
partagée, des solutions existent et sont à portée de main pour tous ceux qui
souhaitent. Ces propositions rétabliraient l'équilibre entre les intérêts privés et
publics, favoriseraient la diffusion de la connaissance, l'innovation, le collectif.
Chacune de ces pistes vise à empêcher la construction d’une société de
surveillance. Certaines sont déjà en cours d’exploration. A nous de multiplier les
recherches et de faire se rencontrer les acteurs qui œuvrent à une sortie par le
haut de la société des données de masse. Pour que données puisse rimer avec
libertés.
45
A. Entretien et conférences
Entretien à la CNIL avec Geoffrey Delcroix du département étude,
innovation et prospective, en charge du projet MesInfos, le 14 mai 2014
Conférence d’Alain Bensoussan à la fondation télécom Paris sur « Quels
nouveaux droits pour l’homme numérique d’aujourd’hui ?» le 20 mai 2014
Assemblée générale de la FING à la Caisse des dépôts et consignations
portant sur une rélexion collective du projet MesInfos, le 28 mai 2014
Conférence à la fondation Télécom Paris, « Quelles pistes concrètes pour
la réappropriation des informations personnelles par le citoyen ? », le
mardi 17 juin 2014
B. Bases de données
La proposition de règlement européen en matière de protection des
données personnelles et ses conséquences sur la future stratégie de
contrôle de la CNIL, Communication Commerce électronique n° 12,
Décembre 2012, étude 20, Etude par Thomas DAUTIEU chef du service
des contrôles de la CNIL
Conditions et modalités d'exercice du droit à l'oubli numérique . - ou les
apports de l'arrêt CJUE, 13 mai 2014, C-131/12, Conseil Conseil par Merav
GRIGUER, avocat associée, Dunaud Clarenc Combles & Associés, Lexis
nexis
Isabelle Falque-Pierrotin, Big mother contre Big brother
Affaire PRISM : avis du G29 sur la surveillance massive des citoyens
européensCNIL, communiqué, 11 avr. 2014
Annexes
Sources
46
C. Sites internet
http://www.cil.cnrs.fr/CIL/IMG/pdf/loi_informatique_libertes_resume.pdf
http://www.ls-avocats.com/article-presse/53-donnee-perso
http://www.affiches-parisiennes.com/evolutions-de-la-protection-des-
donnees-personnelles-4038.html#ixzz2zS1THltY
http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/donnees-
personnelles-l-europe-se-reveille-enfin-01-04
http://www.cnil.fr/linstitution/actualite/article/article/seance-pleniere-du-
g29-ordre-du-jour-des-9-et-10-
avril/?tx_ttnews%5BbackPid%5D=91&cHash=c7d0a0ba00fa1e3e4870b89
417008e44
http://www.lesechos.fr/entreprises-secteurs/tech-
medias/actu/0203372527338-le-parlement-europeen-favorable-a-une-
plus-grande-protection-des-donnees-personnelles-656759.php
http://www.alain-bensoussan.com/donnees-personnelles-reglement-
europeen/2014/02/07/
http://sante.lefigaro.fr/actualite/2012/06/26/18499-internet-nouveau-
coach-pour-bien-etre-sante
http://pro.01net.com/editorial/597901/le-projet-mesinfos-rend-a-
linternaute-le-conrtrole-de-ses-donnees/
http://www.lagazettedescommunes.com/228554/la-ville-intelligente-une-
big-mother-en-puissance/
http://www.estarellas.net/2014/01/internet-des-objets-donnees-
personnelles/
http://www.journaldunet.com/management/expert/54161/protection-de-
vos-donne
http://www.rslnmag.fr/post/2012/12/11/Vie-Privee-demain-tous-traders-
de-nos-donnee-.aspx
http://www.bibliobsession.net/2014/03/12/biens-communs-et-donnees-
personnelles-il-nous-faut-inventer/
http://mesinfos.fing.org/
http://mesinfos.fing.org/services-tout/
47
http://rue89.nouvelobs.com/rue89-eco/2012/06/11/entreprises-rendez-
nous-nos-donnees-personnelles-cest-pour-votre-bien-232788
http://www.20minutes.fr/magazine/secoacher/donnees-objets/si-ces-
donnees-ont-tant-dimportance-pour-les-entreprises-pourquoi-nen-
auraient-elles-pas-pour-nous-92538/
http://www.alternatives-economiques.fr/-big-data---le-nouvel-eldorado-d-
internet_fr_art_1227_64679.html
http://www.slate.fr/economie/79564/big-brother-donnees-personnelles
http://www.lemag-numerique-rennais.com/2014/03/mes-infos-projet-
pour-se-reapproprier-ses-donnees-5020
http://www.liberation.fr/economie/2014/04/06/donnez-donnez-le-big-
data-vous-le-rendra_993542
http://www.internetactu.net/2014/01/22/les-biens-communs-un-outil-
politique-pour-repenser-la-technologie/
http://www.clemi-
base.fr/KENTIKA_19176651124919948339_Donnees_personnelles.htm
http://regulation.revues.org/10471#tocfrom1n2
http://www.lesechos.fr/13/02/2014/LesEchos/21626-060-ECH_la-
propriete-des-donnees--defi-majeur-du-xxi-e-siecle.htm
http://blog.lefigaro.fr/bensoussan/2010/05/la-propriete-des-donnees.html
http://blog.lefigaro.fr/bensoussan/2012/01/protection-de-lidentite-v-
dignite-numerique.html
http://blog.grandesvilles.org/4457/regultation/saucissonner-la-loi-sur-la-
protection-des-donnees-personnelles-pour-favoriser-linnovation/