Ces dernières années, on ne compte plus les scandales liés aux données personnelles : Facebook-Cambridge Analytica, le piratage de l’agence d’évaluation de crédits Equifax, le piratage des données d’utilisateurs d’Uber, cyberattaque du site de rencontres extra-conjugales Ashley Madison, comptes Yahoo piratés… La protection des données personnelles est régulièrement au centre de l’actualité. Cependant, si on sait que ces données sont précieuses, il est parfois difficile de cerner les enjeux de leur protection.
D’où viennent les données personnelles, qu’est-ce qu’elles représentent ? Le gardien des données personnelles, le Règlement Général sur la Protection des Données (RGPD), définit les données personnelles comme “toute information se rapportant à une personne physique identifiée ou identifiable” en son article 4. On ne limite pas la notion aux informations permettant d’identifier les personnes physiques, il suffit que la personne soit identifiable. De plus, on ne s’intéresse pas à la publicité de la donnée : publique ou confidentielle, une donnée personnelle reste personnelle.
La notion de données personnelles est donc très large, permettant une protection élargie de celles-ci même lorsqu’elles ne se limitent pas à un nom : la Cour de cassation a en 2016 confirmé qu’une adresse IP était une donnée personnelle car était rattachable à une personne identifiable.
Pour résumer, les données personnelles sont l’équivalent de notre vie sur internet et c’est en ce sens qu’elles doivent être protégées.
Comme souvent en droit, l’innovation précède les enjeux qui ne se manifestent qu’une fois celle-ci bien installée. En France, c’est le projet SAFARI qui a fait émerger l’idée qu’il faut protéger les informations numériques des utilisateurs. Le projet SAFARI, c’était l’ambition de réunir toutes les données administratives d’un individu sous son numéro INSEE. Si des arguments liés à la simplification ou à la centralisation des documents sont avancés, le journal Le Monde titre “Safari” ou la chasse aux français : en effet, ce projet ouvre la voie à un fichage généralisé et décomplexé des individus. Le projet est finalement abandonné et, suite aux inquiétudes des citoyens, naît la Loi Informatique et Libertés qui crée notamment la CNIL, gardienne des libertés dans le domaine des usages numériques.
Alors pourquoi le fichage a-t-il fait si peur ? On pourrait avancer que les données ne sont rien, que des informations numériques après tout.
- Les données personnelles, une propriété ?
Les données personnelles ne font certes pas l’objet d’un droit de propriété au sens du droit civil, cependant il est indiscutable qu’elles nous appartiennent au sens commun du terme. Il ne nous viendrait pas à l’idée de donner nos clés de voiture à un inconnu alors pourquoi rendre publiques toutes nos informations sous prétexte qu’elles existent sous une forme incorporelle ?
- “Je n’ai rien à cacher”
On peut opposer à cet argument deux choses évoquées par le Professeur Pete Fussey de l’Université d’Essex et par Edward Snowden.
“Chaque adulte a probablement commis une infraction pénale dans sa vie”
Pete Fussey
Vous n’avez peut-être effectivement pas de cadavre dans votre placard, en revanche la probabilité que vous ayez commis des infractions routières par exemple est importante. On peut encore penser aux périodes de confinement et de couvre-feu : il est peu probable que chacun puisse prétendre avoir respecté l’entièreté des règles relatives au covid, et encore moins de manière générale avec 53 lois promulguées sur la session parlementaire 2021-2022 d’après le site de l’Assemblée Nationale. “Nul n’est censé ignorer la loi” est certes un bel adage mais avec près de 400 000 normes, 125 000 décrets et 10 500 lois (Frédéric Paya et Marie de Greef-Madelin dans Normes, réglementations… mais laissez-nous vivre), il paraît ambitieux de s’aventurer à l’appliquer avec rigueur.
“Ne pas se préoccuper de la surveillance de masse parce que vous n’avez rien à cacher, c’est comme ne pas se préoccuper de la liberté d’expression parce que vous n’avez rien à dire”
Edward Snowden
Quand bien même vous seriez un citoyen irréprochable, le fait que vous n’utilisiez pas un droit ne peut pas revenir à dire que personne n’en aurait l’utilité. Lorsque votre mode de vie est accessible aux assurances par le biais de données, il n’est pas impossible que celles-ci soient utilisées pour calculer le coût de votre assurance par exemple ; idem pour les prêts bancaires.
Nous disposons aujourd’hui de capacités algorithmiques impressionnantes, il n’est dès lors pas difficile de rentrer dans un programme les données concernant la consommation de fast food d’un individu afin de déterminer si les frais médicaux suite à un AVC seront remboursés ou non par l’assureur. La seule protection face à ce type de pratique est la protection des données.
- Les publicités personnalisées
On peut tout à fait préférer avoir des publicités personnalisées selon nos goûts, c’est pourquoi en effet l’autorisation des “cookies” ne semble en premier lieu pas poser problème. Seulement, derrière l’autorisation des cookies se cache en réalité l’autorisation de la circulation de nos données. La plupart des plateformes proposant ce genre de publicités personnalisées sont des plateformes gratuites, on ne peut dès lors s’empêcher de penser au dicton “Si c’est gratuit c’est toi le produit”.
D’un point de vue économique, comment la plateforme fait-elle entrer de l’argent pour subvenir à ses besoins ? C’est la commercialisation des données qui répond à ces besoins. Les données personnelles ne sont pas simplement récoltées, elles sont ensuite vendues à d’autres sociétés sans que l’utilisateur n’ait aucun pouvoir sur leur circulation, puisque ce dernier a accepté les cookies : dès lors que vous acceptez les cookies, vos données ne sont plus vraiment vôtres.
Le site Your Online Choice permet d’avoir un aperçu de quelles entreprises ont vos données : dès lors que vous consultez un site, c’est comme s’il y avait plusieurs personnes derrière votre épaule regardant ce que vous faisiez.
- La surveillance de masse
Ce faisant, et par une connexion des plus évidentes : dès lors qu’on partage tout, on prend le risque d’être surveillé. De nombreux Etats sont connus pour la surveillance de masse exercée sur leurs citoyens et les conséquences de cette surveillance sont importantes : liberté d’expression entravée, fichage des individus, vie privée devenue publique…
Notre comportement dans la sphère privée et publique n’est pas le même et le partage excessif des données vient confondre ces deux sphères, au moins à l’égard des gouvernements. L’utilisateur viendra alors réfréner son comportement car aura toujours un pied dans la sphère publique dès lors qu’il est surveillé. La peur de faire un pas de travers peut pousser à se restreindre et donc limiter son développement personnel en tant qu’individu.
Les scandales relatifs aux données personnelles ont permis cette remise en question : si on ne peut pas interdire totalement la récolte des données personnelles par les gouvernements, notamment pour des raisons de sécurité intérieure, le RGPD la limite. Aujourd’hui, les gouvernements européens ne peuvent plus récolter les données personnelles des citoyens au cas où celles-ci deviendraient utiles dans le futur. Ce qu’on peut appeler le traitement par défaut est donc désormais interdit : il faut justifier d’une raison suffisante (notamment dans le cadre de l’état d’urgence) toute surveillance.
- La protection des données, un droit fondamental ?
La loi Informatique et Libertés fait le lien entre le numérique et les droits humains dans les motifs de son adoption : « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte, ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou politiques« .
Avant de consacrer un droit fondamental à la protection des données personnelles, il ne faut pas oublier la définition même de celles-ci, ce sont les informations relatives à une personne physique. Dans ces informations, on va trouver les informations se rapportant à la vie privée de la personne et c’est là qu’on trouve un fondement inattaquable à la protection des données personnelles : tant qu’un droit à la protection de la vie privée est garanti, les données personnelles entreront dans cette protection.
Il convient de rappeler que le droit à la protection de la vie privée est systématiquement garanti par les déclarations de droits en plus de l’article 9 du Code civil : article 2 de la Déclaration des Droits de l’Homme et du Citoyen, article 8 de la Convention Européenne de Sauvegarde des Droits de l’Homme, article 7 de la Charte des droits fondamentaux de l’Union européenne, article 12 de la Déclaration Universelle des Droits de l’Homme, article 17 du Pacte international relatif aux droits civils et politiques…
Pour solidifier le raisonnement, il faut souligner que le droit à la protection de la vie privée comprend deux volets : la protection de l’intimité et de la vie privée qu’on peut appeler sociale. La vie privée sociale est comprise en ce sens qu’il ne doit pas y avoir d’entrave au bon développement de l’individu. La Cour européenne des Droits de l’Homme a rendu plusieurs décisions en ce sens notamment en droit du travail (Niemietz c/ Allemagne 16 déc 1992 ; Barbulescu c/ Roumanie 5 sept 2017).
Aujourd’hui, la Charte des droits fondamentaux de l’Union européenne, qui a une force juridique contraignante depuis 2000 grâce à l’article 6 du Traité sur l’Union européenne, prévoit un droit à la protection des données personnelles en son article 8 : “Toute personne a droit à la protection des données à caractère personnel la concernant.”
A l’échelle nationale, il n’y a pas de protection constitutionnelle par les textes des données personnelles autre que par le biais de la vie privée mais le Conseil constitutionnel a reconnu ce droit dans deux décisions de 18 janvier 1995 Loi de programmation relative à la sécurité et de 22 mars 2012 Loi relative à la protection de l’identité.
- Comment protéger ses données ?
Au sein de l’Union européenne, c’est le Règlement Général sur la Protection des Données qui est gardien de nos données personnelles : le RGPD harmonise les règles en la matière au sein de l’UE et pose un cadre général de protection avec des règles relatives à la nécessité des données collectées, l’interdiction de collecter des données sur les mineurs de 13 ans, le droit à l’effacement des données, mais surtout l’essentiel consentement avant de collecter les données. Le RGPD crée également des sanctions lourdes pour ceux qui ne respecteraient pas le règlement.
Il faut garder à l’esprit que dès lors que les micros de nos appareils sont activés ils collectent des données. Amazon a par exemple fait l’objet d’une affaire lorsqu’il a été mis en lumière que des salariés écoutaient nuit et jour ce que captait le micro de l’assistant vocal Alexa. De la même manière, il peut être judicieux de désactiver l’actualisation de micro (Siri en reconnaissance vocale pour Apple) en arrière-plan des assistants vocaux des téléphones.
Toujours sur les téléphones, les applications demandent parfois l’accès à des fonctionnalités de l’appareil qui ne sont pas nécessaires à son fonctionnement : Exodus Privacy donne par exemple un aperçu des autorisations que demandent certaines applications sur Android comme les contacts, caméra, micro…
Le choix des outils numériques a aussi une grande importance. Côté messageries, certaines privilégient des conversations cryptées, illisibles pour toute personne extérieure à l’échange ce qui permet de protéger une partie de vos données. Tous les navigateurs ne se valent pas non plus, tandis que certains vont être gourmands des données personnelles des utilisateurs, d’autres se contenteront du strict minimum voire ne garderont pas d’historique de vos recherches. Certains vont même jusqu’à avoir un impact bénéfique sur l’environnement, d’une pierre deux coups.
Enfin, à notre échelle, il ne faut pas oublier qu’accepter les cookies n’est jamais obligatoire, si le bouton pour les refuser peut être discret, il est obligé d’exister. Et si jamais il est impossible de refuser les cookies, la CNIL est chargée de traiter les signalements pour sanctionner les sites qui ne respectent pas la règle.
Les données personnelles sont aussi précieuses qu’une adresse et sont aujourd’hui un enjeu essentiel dans la protection des droits humains. Pourtant on continue d’accepter les cookies par défaut même après le scandale Facebook – Cambridge Analytica . Il est essentiel de se détacher de l’idée que ce qu’il se passe sur les appareils numériques n’a aucun effet sur la réalité : données numériques ou non, toutes ces informations personnelles doivent être protégées.
Anastasia Marucheau de Chanaud, membre de l’ADHS
Sources :
- Pourquoi protéger ses données personnelles ? – Médiapart
- RGPD, de quoi parle-t-on ? – CNIL
- Le règlement général sur la protection des données – CNIL
- Drôle de safari…à la chasse aux données – Usine Digitale
- Qu’est-ce qu’une donnée personnelle ? – Usine Digitale
- C’est quoi, la protection des données personnelles ? – 1 jour 1 actu
- Données perso : 10 réflexes à adopter pour protéger votre vie privée – Capital
Association des Droits Humains de la Sorbonne | 