Entretien avec Mr J. VAN LANDUYT

Dans le cadre de leurs recherches des attachés stagiaires de la promotion Martin Luther King ont pu échanger avec monsieur Julien VAN LANDUYT doctorant en droit privé général à l’université de Franche-Comté qui travaille actuellement sur la notion d’identité numérique. Ces échanges évoquent la plupart des thématiques abordées dans le séminaire.
  • Vos travaux vous ont-ils permis de définir l’identité numérique ?

A ce stade de mes recherches, il serait présomptueux de vous affirmer que j’ai arrêté une définition de l’identité numérique.
Il suffit, pour s’en rendre compte, de revenir à la notion d’identité ; cette dernière est aujourd’hui très populaire et « inonde » le débat public : identité nationale, crise identitaire, etc. Pourtant, l’ensemble des sciences humaines et sociales qui s’y sont intéressées se sont heurtées à une notion des plus complexes, floue, et source de nombreuses contradictions. Aucune n’a vraiment dégagé de définition satisfaisante, ni arrêté un contenu précis satisfaisant pour l’identité. Claude Lévi-Strauss, qui en 1974 organise le premier congrès interdisciplinaire sur l’identité, plaidera même pour un abandon de la notion dans les travaux scientifiques, face à ses contours vaporeux.
Ainsi, je ne peux que m’en tenir à certaines généralités. On pourrait définir, sans prendre trop de risque, l’identité numérique comme la représentation de la personne sur les réseaux électroniques ou, dans une approche plus pratique, sur internet.

Au niveau de ses composantes, de nombreuses distinctions sont possibles ; je m’en tiendrais ici à deux. Il existe, d’une part, les données techniques de connexion, d’authentification, etc. (l’exemple type étant l’adresse IP) : elles forment une identité « donnée », c’est-à-dire imposée à l’internaute. A mon sens, elles font aussi partie d’une identité inconsciente, puisque l’immense majorité des internautes n’y a pas accès et ne les connaît pas. D’autre part, il y a un vaste ensemble de données formant une identité « construite, choisie ». Celle-ci est consciente, puisque ce sont les individus qui la construisent eux-mêmes.

Si l’on se concentre sur cette dimension choisie, construite, l’identité numérique va se composer de nombreux éléments : pseudonymes, adresses e-mail, profils d’identification (type Facebook), et avatars.
Différents caractères de l’identité numérique se dégagent alors :

– elle est morcelée (on ne la trouve pas à un endroit précis sur le réseau) ;
– elle est changeante (ce qui fait dire à certains auteurs qu’il n’y a pas une, mais des identités numériques, et donc qu’elle est multiple) ;
– elle est très exposée (un très grand nombre d’utilisateurs du réseau peut avoir accès à l’identité numérique d’un individu) ;
– elle est hybride, pouvant se composer d’éléments issus de l’identité « réelle » de la personne (nom, prénom, domicile, etc.), d’éléments purement fictifs (pseudonyme inventé, avatar…) ou, comme c’est généralement le cas, d’un mélange des deux.

  • Peut-on qualifier d’identité numérique des avatars ?

L’avatar est un cas un peu particulier. Sa place dans l’identité numérique est en quelque sorte calquée sur les progrès de la technique : si vous prenez les premiers jeux-vidéos en multi-joueurs, les joueurs n’avaient le choix qu’entre un nombre exigu de modèles de personnages, limitant considérablement l’identification, puisque les joueurs avaient tous les même avatars. Le développement de la technologie a conduit à des jeux-vidéos de plus en plus puissants, offrant notamment des options de personnalisation des avatars de plus en plus poussées : taille du nez, couleur des yeux, carrure, compétences, etc. Plus les univers virtuels se développent techniquement, plus l’avatar du joueur a des chances d’être unique, ou du moins le fruit d’un véritable investissement personnel. Que nous réserve l’avenir ? En tout cas, à l’heure de la réalité virtuelle, l’avatar a le potentiel pour incarner le « corps » des internautes.

  • Les moteurs de recherche collectent chaque jour des milliards de données produites par les internautes. Comment font-ils pour les stocker ? Quels sont leurs outils ? Quel est l’intérêt, pour les moteurs de recherche, de stocker autant de données ? S’agit-il tout simplement d’intérêts commerciaux ?

Là encore, je ne suis pas un spécialiste des aspects techniques de ces questions. Concernant le stockage, tout ce que je peux vous dire est qu’il s’agit d’un enjeu de taille pour les principaux acteurs du réseau, et pas seulement pour les moteurs de recherche, même si ceux-ci viennent immédiatement à l’esprit. Le stockage des données se fait dans des bases de données, dans de vastes centres communément appelés des data center. En tout cas, il n’y a pas de secret, si vous voulez stocker plus de données, il faut augmenter votre capacité de stockage physique.

Le stockage des quantités incroyables de données collectées est un enjeu important : il faut de la place pour le stockage physique, de l’énergie (essentiellement électrique), mais aussi des capacités de refroidissement ; et tout cela a un coût. Pour mesurer l’importance que revêtent ces questions aujourd’hui, il suffit de voir que le stockage de données fait l’objet de projets et de recherches très ambitieux : stockage sur des bases de données flottantes alimentées par l’énergie des marées, stockage biologique sous forme de brin d’ADN, etc.
Pour ce qui m’intéresse, l’un des points essentiels est la sécurisation de ces données : si je prends la législation française, les responsables des traitements de données à caractère personnel (c’est-à-dire des données directement ou indirectement identifiantes) ont une obligation de sécurisation de ces données, mais aussi de ne collecter et de ne traiter ces données qu’au regard de finalités déterminées, et ce dès lors qu’ils mettent en oeuvre tout ou partie de leur traitement de donnée en France ; dès lors que l’objectif du traitement est atteint, les données doivent en principe être supprimées. Or, vu la multiplication du nombre de bases de données dans le monde, il apparaît très difficile de contrôler efficacement le respect de ces dispositions.

On parle aujourd’hui de la « société d’information » ; et on entend dire, des données à caractère personnel, qu’elles sont « l’or noir du XXIème siècle ». Toutes les données n’ont pas la même valeur pour les acteurs du web : en principe, ce sont les données à caractère personnel qui vont les intéresser le plus, puisqu’elles identifient les internautes. Cependant, elles ne deviennent véritablement intéressantes pour eux au niveau commercial que lorsqu’elles sont mises en relation avec d’autres données (centres d’intérêts, habitudes de navigation, d’achat, etc.) qui, prises en tant que telles, ne vous identifient pas. L’intérêt ? On est passé d’une stratégie de consommation de masse (qui vulgairement pourrait se réduire à vendre le même produit ou service au plus grand nombre de personnes possibles) à une stratégie d’offres personnalisées : vous connaître, connaître vos goûts et vos attentes, pour vous diriger vers le produit ou service susceptible de vous intéresser. Plus on a un grand nombre de données sur un grand nombre de personnes, plus on est à même de développer cette stratégie efficacement. Ce que vous tapez dans un moteur de recherche, les clés de requêtes, ne sont pas dans l’ensemble considérées comme des données à caractère personnel ; les moteurs de recherches peuvent donc, en principe, les conserver sans aucun problème. Prenons un exemple un peu absurde : admettons qu’un moteur de recherche possède l’information suivante : ces derniers mois, des milliers d’internautes ont tapé « robinet en ivoire ». Quelle est la valeur de cette information pour un fabricant de robinet ? Je ne saurais vous le dire avec précision, mais elle n’est pas négligeable.

Il faut toutefois bien préciser que les moteurs de recherche s’engagent à ne conserver les données de leurs utilisateurs que pendant une durée déterminée, ou du moins de les anonymiser, notamment afin de respecter les législations européennes. Le G29, rassemblement des CNIL européennes, plaidait pour une durée maximale de 6 mois ; c’est notamment sous la pression de ce groupe, que Google a par exemple réduit sa durée de conservation des adresses IP des utilisateurs de 18 à 9 mois.
Ce qu’il faut retenir, c’est qu’on est aujourd’hui un petit peu dans le flou quant à ce qui est conservé, pour combien de temps ; néanmoins, les moteurs de recherche, comme les autres acteurs du net, ne peuvent plus conserver, en principe, des données identifiantes ad vitam aeternam.

Il est assez difficile de voir dans la collecte des données par les moteurs de recherche, comme par toute entreprise, autre chose qu’un intérêt économique, à plus ou moins long terme, même s’il n’est que potentiel : même si une donnée n’a aucune valeur commerciale aujourd’hui, peut-être en aura-t-elle une demain ? Il s’agit de rechercher le point d’équilibre entre le maximum de données qui peuvent être conservées et leurs moyens matériels et financiers, puisque (comme je l’ai dit précédemment) le stockage a un coût. Toutefois, vous n’aurez pas manqué de remarquer que certains « géants du web » ont des ambitions prométhéennes concernant l’évolution de la société, pour lesquelles il est difficile de faire la part des choses entre leur intérêt commercial et « l’intérêt de l’humanité ». Si je prends par exemple Google, ses créateurs entendent faire progresser la médecine et visent l’objectif très vendeur de l’immortalité. Une partie des données collectées par ce moteur de recherche contribue ainsi à ses recherches dans ce domaine.
On pourrait presque dire que, dans certains cas, la collecte de données est en quelque sorte devenue une fin en soi : il n’est pas rare que la quantité de données collectées par un acteur soit largement au-dessus de sa capacité de traitement de ces dernières. Je pense notamment aux États et aux collectes de données à des fins de sécurité ; si je reviens au scandale à la « Big Brother » de la NSA, il est incontestable que – quels que soient les moyens humains, matériels et financiers de cette agence de renseignement – la quantité de données qu’elle collecte est bien supérieure à ses capacités de traitement. C’est là que peuvent intervenir des algorithmes, qui vont aider à faire le tri dans cette masse incommensurable d’informations (par exemple, ne signaler à l’opérateur que les messages contenant « bombe »).
Il y a un aspect presque comique dans tout cela : c’est qu’on chasse l’hypothèse du « si j’avais su » pour tomber sur celle du « j’aurais pu savoir ».

  • Nous savons que les moteurs de recherche utilisent des algorithmes pour cerner les comportements des internautes sur le web. Pourriez-vous nous en dire davantage ? Est-ce que les moteurs de recherche sélectionnent au préalable les données qu’ils collectent ?

Un algorithme est, de façon basique, une suite d’opérations programmées qui, quand on lui soumet un problème, apporte une réponse, un résultat. Tous les moteurs de recherche reposent sur des algorithmes ; et l’incroyable succès de Google tient autant à la richesse du contenu qu’il référence, qu’à l’efficacité et la complexité de ses algorithmes. Ainsi, à la base d’un moteur de recherche, il y a un algorithme qui, à partir des mots-clés de votre recherche, va vous sortir une liste de résultats. Si je m’arrête sur la hiérarchisation justement, elle est aussi le fruit d’un algorithme. Ce qui a fait le succès de Google, c’est qu’il est le premier moteur de recherche à avoir hiérarchisé les sites en fonction de leur popularité.

Avec les progrès de la technique, les algorithmes sont devenus de plus en plus complexes : aujourd’hui, un même moteurs de recherche ne donnera vraisemblablement pas la même liste de résultats pour une même recherche effectuée sur l’ordinateur de deux utilisateurs différents ; actuellement, pour une simple recherche, les algorithmes des moteurs de recherche vont faire jouer plusieurs centaines de critères pour proposer et organiser une liste de résultats à l’utilisateur : popularité, habitudes de recherche, position géographique, etc.

Lorsque vous parlez « d’algorithme pour cerner les comportements des internautes », il s’agit plutôt d’algorithmes qui vont exploiter d’autres données (ex : habitudes de navigation, sites fréquentés, etc.) pour vous donner un résultat qui vous correspond, ou pourrait vous intéresser.
Son fonctionnement en ressort optimisé, personnalisé pour votre navigation. Aujourd’hui, les usagers sont de plus en plus invités à participer eux-mêmes, en quelque sorte, à la « personnalisation et optimisation des algorithmes » : sur de nombreux sites marchands, sont mises en avant des « suggestions » censées vous correspondre. Vous pouvez alors signaler les suggestions susceptibles de vous intéresser ou, au contraire, qui ne vous correspondent pas ; ainsi, vous contribuez à affiner les résultats par rapport à vos goûts pour vos prochaines visites.

Le flou, le secret entretenu autour du fonctionnement des algorithmes, et la complexité de leur fonctionnement, alimentent beaucoup de fantasmes. Il y a, actuellement, un mouvement vers plus de transparence : de nombreux moteurs de recherche visent à rassurer leurs utilisateurs en expliquant avec précision le fonctionnement de leurs algorithmes. De la même façon, regardez ce qui se passe aujourd’hui en France : le projet de loi « pour une République numérique » va peut-être rendre obligatoire la diffusion au public du fonctionnement des principaux algorithmes publics (impôts, allocations familiales, etc.) ; et dans cette dynamique, l’algorithme qui se « cache » derrière le site d’orientation post-bac « Admission Post-Bac » devrait être dévoilé dans les prochains mois.

Sur les données collectées par les moteurs de recherche, là encore votre question porte plus sur des aspects techniques que juridiques, et je ne pense pas être le mieux placé pour y répondre ; je m’en tiendrais donc à ce que j’ai déjà souligné auparavant, c’est-à-dire que je pense qu’il y a une certaine tendance à collecter et stocker le maximum de données possibles. Evidemment, il y a sans nul doute des données qui ne présentent que très peu d’intérêt, voir aucun intérêt, et qui ne sont pas stockées.
Si vous prenez Google, par exemple, le moteur de recherche, dans ses « Règles de confidentialité », liste les différentes données qu’il collecte sur ses usagers : fichiers journaux, données de localisation, cookies, etc.

  • Dans quels cas s’applique le droit à l’oubli ?

Le droit à l’oubli est le nom d’apparat donné à un droit plus précis et plus limité : le droit au déréférencement.

Avant de parler de ce droit au déréférencement, il faut tout de même relever qu’une sorte de droit à l’oubli existe déjà dans la protection des données à caractère personnel en France. En effet, celui-ci se traduit par un droit pour les personnes dont les données font l’objet d’une possibilité de s’opposer à ce traitement (art. 38), soit à la collecte des données, soit à leur diffusion ou transmission à un tiers, ou à leur conservation.

Le fameux droit au déréférencement, lui, est issu d’un célèbre arrêt de la Cour de justice de l’Union européenne du 13 mai 2014, « Google Spain ». Il ne s’agit pas d’un droit permettant d’exiger la suppression d’informations vous concernant disponibles en ligne : le droit au déréférencement vous permet d’exiger que ces informations ne soient plus répertoriées par les moteurs de recherche, c’est-à-dire qu’elles n’apparaissent plus dans leurs résultats de recherche.

Ce droit prévaut sur « l’intérêt économique de l’exploitant du moteur de recherche » et sur « l’intérêt public à accéder à ladite information » ; en revanche, le droit au déréférencement cède s’il existe, en raison du rôle joué par la personne concernée dans la vie publique, un « intérêt prépondérant » à ce que cette information reste publique. Ainsi, vous pouvez demander à ce qu’une information vous concernant soit déréférencée : ce droit prime sur l’intérêt économique du moteur de recherche et sur le droit à l’information du publique, sauf si le déréférencement porte trop gravement atteinte à ce dernier, c’est-à-dire si le public a un intérêt prépondérant à accéder à cette information.
On peut imaginer, par exemple, que l’on puisse sans trop de mal demander le déréférencement d’un vol à l’étalage commis il y a 8 ans ; en revanche, il apparaît moins concevable que le droit au déréférencement l’emporte sur le droit à l’information du public dans le cas d’un détournement de fonds publics par un ministre commis il y a 2 ans.
Google, qui était directement mis en cause dans cette affaire, a pris acte de la décision et a créé un formulaire, destiné à ses utilisateurs, permettant de formuler des demandes de déréférencement ; aujourd’hui, tous les principaux moteurs de recherche offrent la possibilité d’un déréférencement, a minima pour les ressortissants de l’Union européenne (petit bémol : celles-ci sont appréciées par les exploitants du moteur de recherche et non par une autorité indépendante).

Ce droit au déréférencement devrait être consacré par le projet de loi pour une République numérique. Ce projet prévoit notamment :
– une information de la part des plateformes sur les possibilités de déréférencement de contenu ;
– un droit d’opposition au traitement « amélioré » pour les mineurs, puisque ceux-ci pourront exiger du responsable de traitement une suppression « accélérée » des données les concernant.
Ce droit au déréférencement est une très bonne première pierre dans l’édification d’un véritable droit à l’oubli. Cependant, comme le concluait Yann Masson dans son mémoire de fin d’études, « le droit à l’oubli » ne donne pas le droit d’exiger l’effacement de données, mais uniquement leur déréférencement des moteurs de recherche, soit la possibilité d’exiger que l’information litigieuse n’apparaisse plus dans les résultats donnés par les moteurs de recherche.

Qui plus est, et sans surprise, ce droit n’est pas inconditionnel, c’est-à-dire qu’il doit être mis en balance avec le droit à l’information du public, auquel la demande ne doit pas porter trop gravement préjudice. Enfin, si ce droit n’est reconnu par Google qu’au profit des ressortissants européens, il est à noter que le déréférencement, s’il porte sur toutes les extensions du moteur de recherche (ex : le Google français, allemand, espagnol, chinois, australien, etc.), vaut uniquement pour les recherche émanant du pays d’origine du demandeur. En principe donc, un utilisateur américain peut toujours accéder par le biais du moteur de recherche à des informations déréférencées sur requête d’un français. Toutefois, la CNIL, qui avait mis en demeure Google de faire évoluer sa position sur ce point, a condamnée Google à une sanction pécuniaire le 10 mars 2016, ce qui pourrait conduire le moteur de recherche à infléchir sa position.

  • Malgré une conscience des dangers pour la protection de la vie privée, liées à la traçabilité permanente des données, de plus en plus d’internautes – et notamment les jeunes – renseignent des informations qui leur sont personnelles. Jusqu’à quelle limite peut-on invoquer la responsabilité individuelle ?

Concernant l’équilibre des responsabilités, tout dépend du dispositif juridique que vous considérez : si je prends la protection des données à caractère personnel, il y a un ensemble de droits reconnus au profit des personnes visées par les traitements, et une série d’obligations à la charge des responsables de traitement ; si les droits ou les obligations ne sont pas respectés par les responsables de traitement, ils peuvent se voir sanctionner par la CNIL ou au pénal.

Certaines situations illustrent bien le difficile partage de responsabilité. C’est notamment le cas des conditions générales d’utilisations (CGU) et des privacy policy. Afin de remplir leur obligation d’information, les responsables de traitement ont généralement recours à des mentions spécifiques, notamment dans leurs CGU. Or, une pratique assez courante à une époque consistait à rendre ces mentions quasiment illisibles, tant elles étaient rédigées dans de petits caractères, ou alors difficilement accessible depuis la page d’accueil des sites web. On a pu critiquer les pratiques de ces sites sur la base de nombreux fondements, mais je crois que le plus pertinent est le non-respect de l’obligation d’un traitement (ainsi que d’une collecte) loyal des données. Pour autant, les utilisateurs ne sont pas « blancs comme neige » : aujourd’hui, les acteurs des réseaux de communication ont tendance à rendre leurs modalités de gestion des données et de la vie privée beaucoup plus accessibles, d’autant qu’une politique transparente et respectueuse en la matière est devenue un véritable argument commercial. Néanmoins, cela ne veut pas dire que les internautes prennent plus le temps de réellement prendre connaissance de ces informations : les études réalisées, visant à savoir si les internautes étaient convenablement informés de leurs droits en matière de protection des données à caractère personnel, se sont révélées assez alarmantes. Il est vrai que le caractère un peu austère de ces pages d’information tranche sensiblement avec la vitesse, l’instantanéité des réseaux et le caractère très intuitif de la plupart des actions que va faire en ligne l’internaute lambda. Mais aussi, différents sentiments – comme la résignation ou l’impuissance – peuvent venir rendre l’utilisateur quelques peu insensibles quant à la protection de ses données, notamment à cause des nombreux scandales, voire des mythes, des fantasmes, que cette question nourrit.

Plus important encore, le fait de « troquer » l’exploitation de ses données personnelles contre un avantage est relativement bien entré dans les moeurs. Les difficultés que posent le comportement des internautes ont été assez bien soulignées dans le débat autour de l’idée de rendre les utilisateurs des réseaux propriétaires de leurs données personnelles, c’est-à-dire de leur reconnaître un véritable droit de propriété sur leurs données, qu’ils pourraient « vendre » (ou plus vraisemblablement, sur lesquels ils pourraient accorder des licences d’exploitation). A ce sujet, le Conseil d’État, dans son rapport annuel de 2015 (« Le numérique et les droits fondamentaux »), a souligné que le premier problème touchait justement au comportement des usagers des réseaux, qui risqueraient d’abandonner toute protection en échange de certains avantages. Si ce problème peut être compensé en prévoyant l’impossibilité de céder complètement ses données, il reste en revanche un problème majeur : si on reconnaît aux internautes un droit de propriété sur leurs données personnelles, il sera beaucoup plus difficile d’imposer certaines limites dans la capacité des individus à décider de l’utilisation de leurs données. Par exemple, aujourd’hui, la législation interdit en principe la collecte de certaines données, comme les données médicales. Or, si l’individu était propriétaire de ses données, il serait bien plus difficile de venir limiter son droit à disposer de ses propres données médicales, puisqu’il s’agirait de restreindre l’exercice d’un droit fondamental : le droit de propriété.
On trouve ici une logique de « protéger les individus contre eux-mêmes », assez rare dans le discours juridique, mais qui m’apparaît comme des plus pertinentes quant à la protection des données à caractère personnel.

Un autre dispositif législatif est beaucoup plus parlant en termes d’équilibre de la responsabilité : il s’agit de la protection de la vie privée. Je ne reviens pas sur la notion de vie privée, très large et relativement complexe, qu’on considérera ici comme un droit de chaque individu à une « sphère d’intimité » (pour reprendre Jean Carbonnier).
En matière de protection de la vie privée, vous pouvez engager la responsabilité d’un tiers (qui pourrait parfaitement être l’exploitant d’un moteur de recherche, d’un site Internet…) dès lors qu’une atteinte à votre vie privée est caractérisée : par exemple, si l’on diffuse sans votre consentement des informations sur votre vie intime sur les réseaux sociaux. Toutefois, vous ne pouvez pas en principe invoquer une atteinte à votre vie privée si vous avez en premier lieu diffusé l’information litigieuse, et donc si vous l’avez vous-même rendue publique. C’est pourquoi la vie privée n’est pas le dispositif de protection idéal dans l’exemple que vous m’avez soumis : les individus sont responsables de l’exposition de leur vie privée dans un espace public (Internet, les réseaux sociaux…).

Comme je l’ai souligné plus haut, la vie privée est une notion complexe, notamment en ce que ses contours sont variables, évolutifs, suivant les personnes. Ainsi, aujourd’hui, il y a un peu l’idée que la vie privée est ce que nous décidons, par notre comportement, de mettre dedans. Une personne très expansive sur les réseaux sociaux, par exemple, aura une vie privée moins large : elle aura elle-même décidé que les éléments qu’elle publie quittent, en quelque sorte, sa « sphère d’intimité ». Cela ne veut pas forcément dire qu’elle ne pourra protéger ces éléments et qu’elle ne pourra absolument rien faire si une simple publication sur Facebook, accessible à un cercle d’amis, finit en une de tous les journaux. Mais, dans tous les cas, il sera tenu compte du comportement de la personne vis-à-vis des informations relatives à sa vie personnelle : soit l’atteinte ne sera pas caractérisée, soit l’évaluation du préjudice subi par la personne et la réparation de l’atteinte seront moindres, compte tenu de sa propre responsabilité dans la communication d’informations personnelles.

Dans le même ordre d’idées, dans la loi « Informatique et liberté » de 1978, la collecte de certaines données dites « sensibles » est en principe interdite, comme par exemple les données portant sur l’origine raciale, l’opinion politique ou religieuse de la personne. Cette interdiction connaît différentes exceptions, l’une d’entre-elles étant que le traitement, si ses finalités le justifient, porte sur des données sensibles qui ont été rendue publiques par la personne concernée. Cela ne veut pas dire que l’on « punit » la personne pour avoir révélé ces informations, ni qu’elles pourront être collectées en toute impunité, puisque le traitement devra tout de même respecter les droits des personnes et son responsable, les obligations qui lui incombent.

Pour finir sur ce point, j’aimerais tout de même souligner le fait qu’il ne faut pas avoir non plus une réaction épidermique au comportement des jeunes sur les réseaux, à l’exposition volontaire de leur vie personnelle sur les réseaux. Les générations nées dans le bain du numérique développent et vont développer des pratiques, des formes de socialisation, qui pourront nous paraître choquantes, mais qui pourraient bien devenir la norme de demain : il ne faut pas chercher à « tuer » ces comportements, mais plutôt à les accompagner, les encadrer, et bien évidemment chercher à éviter que certains n’abusent de l’insouciance et de l’enthousiasme des plus jeunes sur les réseaux.

  • Est-ce que l’État a vraiment les moyens pour protéger l’internaute lambda faisant un usage raisonné d’Internet ? Et si un individu fait preuve de manque de responsabilité, est-ce encore le rôle de l’État de le protéger ?

Il est dur de donner une réponse affirmative ou négative à cette question ; je ne prendrais pas vraiment de risque en disant qu’en tout cas l’État essaie d’y parvenir. La protection des données à caractère personnel est un dispositif solide, relativement complet et, surtout, proche de l’harmonisation complète au niveau européen.

Et, justement, on touche là à l’une des limites de l’État dans la protection des individus sur les réseaux : l’État et sa législation sont intrinsèquement limités par les frontières, au contraire d’Internet et des multinationales que sont les « géants du web ». Dans l’idéal, Internet appellerait à une réponse internationale, mondiale ; mais vous vous doutez bien qu’à l’heure actuelle, elle n’est pas véritablement envisageable. En revanche, l’harmonisation au sein de l’Union européenne de la protection des données à caractère personnel offre aux États membres et à l’Union beaucoup plus de poids, de crédibilité. Il est à noter qu’on a déjà, dans la protection actuelle des données à caractère personnel, mis en place des mécanismes permettant d’éviter que les multinationales ne puissent la contourner ; ainsi, par exemple, il n’est pas indispensable pour être reconnu comme responsable d’un traitement de données à caractère personnel, au regard de la loi française, d’être établi sur le territoire français : il suffit « d’avoir recours à des moyens de traitement situés sur le territoire français ». Une telle disposition visait avant tout à empêcher les entreprises établies hors de l’Union de collecter des données dans l’Union en toute impunité.

Une autre limite de la législation étatique, mais également des normes européennes, est la relative lenteur du processus par rapport à la vitesse de développement des technologies et des usages sur les réseaux. C’est pourquoi les juges, et plus spécifiquement la Cour de justice de l’Union européenne, jouent un rôle central dans le développement de la protection des personnes sur les réseaux de communication électroniques. L’invalidation du Safe Harbor (permettant le transfert de données de l’Union européenne vers les États-Unis, invalidé au motif que le pays de destination assurait un niveau de protection inférieur aux données personnelles des internautes que les États membres) et le droit au déréférencement sont issus de sa jurisprudence (ce dernier étant en passe d’intégrer notre législation).

Une réponse européenne permet d’envisager un « bras de fer » plus équilibré avec les « géants du Web » ; toutefois, il faut aussi que les sanctions en cas de manquement à la législation soient suffisamment dissuasives, et c’est précisément celle-ci l’une des ambitions du projet de loi pour une République numérique. Encore aujourd’hui, l’amende maximale que peut prononcer la CNIL s’élève à 150.000€ pour le premier manquement à ses dispositions, 300.000€ en cas de réitération. Ces amendes sont conséquentes et dissuasives pour de nombreux acteurs des réseaux, mais pas vraiment pour les ténors comme Google, Apple ou Microsoft. Le nouveau texte prévoit des amendes pouvant monter jusqu’à 20 millions d’euros ou, pour une entreprise, 4% du chiffre d’affaire annuel total mondial ! Si l’on prend par exemple Apple, qui, ironiquement, bat tous les records précédemment établis de chiffres d’affaires, l’amende pourrait ainsi s’élever à près de 9 milliards d’euros…

Toutefois, et c’est là que le bât blesse, il faut se montrer, il me semble, un tant soit peu réaliste : au vu de l’étendue des réseaux, du nombre d’usagers, de données qui transitent et d’entreprises qui les utilisent, les moyens de contrôle restent très limités ; il faudrait des moyens humains et financiers inimaginables pour s’assurer que tous les traitements de données à caractère personnel réalisés sur le territoire français se conforment à la législation.

Je pense avoir déjà suffisamment évoqué le cas de l’individu « irresponsable » et sa protection par l’État. J’ajouterais simplement ceci : le manque de responsabilité s’apprécie à l’aune de l’information reçue par la personne. Il est évident qu’il faut un minimum de bonne volonté de la part des usagers dans ce processus, mais je pense qu’il reste encore des efforts à faire en matière de pédagogie et d’information, de sensibilisation.
Il est intéressant que vous souleviez la question du rapport entre les éventuels scandales et la législation : il s’avère qu’en matière de protection des personnes sur les réseaux, les grandes évolutions législatives ont souvent été précipitées par des scandales.
La protection des données à caractère personnel repose en France sur la loi du 6 janvier 1978. Avec cette loi, la France va faire partie des premiers pays au monde à apporter une réponse à l’univers numérique : elle aura ainsi une influence notable sur les premières législations européennes.

Comment expliquer la clairvoyance du législateur de l’époque ? En grande partie, justement à cause de scandales, dont l’affaire « SAFARI ». SAFARI (Système informatisé pour les fichiers administratifs et les répertoires des individus) visait à la création d’une base de données centralisée de la population, en s’appuyant sur les numéros de sécurité sociale des individus, pour créer un identifiant commun pour les fichiers des différentes administrations. Dénoncé par des associations de défense des droits des personnes, ce projet a fini par soulever un véritable tôlé dans l’opinion publique, conduisant à la création de la CNIL et à l’adoption d’une loi en 1978.

La procédure législative est intrinsèquement plus lente que le développement technologique, et l’évolution des moeurs sur les réseaux : de manière générale, la législation a donc plus tendance à « répondre » à des scandales ou à l’apparition de nouvelles pratiques, plutôt qu’à les anticiper. C’est encore le cas d’une partie des dispositions de la loi pour une République numérique : celle-ci prévoit, ainsi, une réponse pénale à une pratique particulièrement nauséabonde sur les réseaux, consistant à diffuser « sans le consentement exprès de la personne l’image ou la voix de celle-ci, prise dans un lieu public ou privé, dès lors qu’elle présente un caractère sexuel ». Si l’incrimination pénale ne vise pas spécifiquement les réseaux de communication électroniques, son intégration dans le projet de loi en fait clairement une réponse à ce qu’il était devenu commun d’appeler le revenge porn.

De manière générale, comme le relève Bénédicte Ray dans son ouvrage La vie privée à l’ère numérique, la législation autour de l’univers numérique s’est souvent présentée comme une réponse à des scandales. L’auteur relève toutefois que, dans la majorité des cas, l’opinion publique était alertée et maintenue en « éveil » par des associations de défense des droits des personnes. Elle note aussi (comme j’ai pu l’indiquer un peu avant dans mon propos) que la contestation et l’impact des scandales semblent diminuer, alors même qu’ils peuvent prendre de l’ampleur : par exemple, le scandale de la NSA. Elle l’explique en partie par le sentiment de résignation, d’impuissance des internautes que j’ai précédemment évoqué, mais aussi par une discordance entre le discours et les actes des usagers d’Internet : beaucoup sont préoccupés par l’utilisation de leurs données personnelles, mais peu s’informent réellement ou prennent des mesures pour assurer leur sécurité. Comme le résume Bénédicte Ray, on est dans une situation paradoxale, où la peur du fichage généralisée reste prégnante, mais où les « pratiques expressivistes » des individus ne cessent de se développer.

  • En matière de protection des données dans le domaine de la santé, quels systèmes de protection sont mis en place ? Existe-t-il des risques de fuite de données ?

Les données médicales entrent dans la catégorie des données dites sensibles de la loi du 6 janvier 1978 ; le traitement de ces données est en principe interdit (art. 8-I.). Toutefois, plusieurs exceptions sont prévues à cette interdiction : si la personne a donné son consentement exprès et si les finalités du traitement le justifie, si le traitement est nécessaire « à la sauvegarde de la vie humaine » et que la personne n’est pas en état de consentir, ou à « l’exercice ou à la défense d’un droit en justice ».
Des exceptions spécifiques sont prévues pour les données de santé : des traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitement, ou bien de la gestion de service de santé si ce traitement est mis en oeuvre par un professionnel de la santé ou une personne soumise au secret professionnel.

Le traitement de données médicales est aussi possible pour les besoins de la recherche dans le domaine de la santé, qui fait l’objet d’un chapitre spécifique de la loi de 1978.
Ce chapitre prévoit un encadrement spécifique des traitements de données pour les besoins de la recherche dans le milieu de la santé pour lesquels, par exemple, les patients ne doivent pas, en principe, pouvoir être identifiés sur les bases des données transmises par les professionnels de la santé aux chercheurs.

Le législateur a parfaitement conscience du caractère sensible des données de santé, comme le traduit la loi de 1978. Il ne faut pas oublier que cette protection vient en complément du secret professionnel, qui concerne en principe l’ensemble des personnes à même d’être en contact avec des dossiers de patients, des données de santé.
Par ailleurs, je ne vais pas détailler tout le dispositif de protection, mais les données biométriques et biologiques, au premier rang desquelles le matériel ADN, bénéficient elles aussi de protections renforcées. Pour un traitement de données les concernant, il ne faut pas le déclarer à la CNIL, mais obtenir son autorisation.

Aussi, il est toujours bon de rappeler que les informations intéressant l’état de santé d’une personne relèvent de sa vie privée : si ces dernières sont rendues publiques sans le consentement de cette dernière, elle pourra invoquer une atteinte à sa vie privée.
Concernant les fuites de données, évidemment, en pratique, le risque zéro n’existe pas, et ce pour tout type de données. Il est sans doute un peu plus réduit pour les données de santé puisque, comme je l’ai déjà souligné, les professions de santé sont (par le biais du secret professionnel, du secret médical…), portés à la vigilance.

Le risque de « fuite » relève de la responsabilité du l’organisme ou la personne qui traite les données (un hôpital, un médecin, un centre de recherche, etc.), puisque le responsable de traitement a une obligation de sécurisation des données : il doit prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données ». Les données médicales étant considérées comme des données sensibles, il sera attendu du responsable du traitement de données de santé une vigilance particulière.

Dans les faits, je le répète, le risque zéro n’existe pas : il suffit de voir le nombre de scandales sur les fuites de données chez des opérateurs, des grandes entreprises, mais aussi chez des autorités étatiques pour s’en rendre compte. La sécurisation est d’autant plus difficile qu’il n’y a une multitude de traitement de données : les hôpitaux, les laboratoires, les médecins libéraux, se livrent à des traitements de données. Même si – je le répète – les médecins ont l’obligation d’assurer la sécurité des informations de santé en leur possession, la sécurité de ces dernières repose en partie sur les mesures qu’ils vont prendre et sur leur comportement (logiciel médical à jour, matériel de cryptographie pour les e-mails entre confrères, par exemple). Encore une fois, et comme l’a souligné la CNIL elle-même à de nombreuses reprises, il apparaît aujourd’hui difficilement imaginable de réaliser un contrôle sur l’ensemble des traitements de données portant sur des données de santé.

Il faut donc que les données soient sécurisées et que les acteurs de santé soient également vigilants, pour éviter des fuites de « négligence », d’inattention (ex : un e-mail transmis à un mauvais destinataire). D’un autre côté, on ne peut pas non plus raisonnablement demander à tout médecin, toute infirmière, d’avoir les compétences techniques pour barrer la route à un hacker qui aurait décidé de s’infiltrer sur un terminal un tant soit peu sécurisé pour en extraire des données de santé…