Protection des données : L’Europe contre le reste du monde ?

La CNIL – Commission nationale de l’informatique et des libertés – a 40 ans cette année. Elle trouve son origine dans la réaction au projet initié en 1973 par le ministère de l’Intérieur qui envisageait alors de croiser tous les fichiers administratifs détenus par les services publics et para publics. Intitulé SAFARI, pour Système Automatisé pour les Fichiers Administratif et les Répertoires des Individus, le projet fut mis en lumière par une tribune publiée dans le journal Le Monde daté du 21 mars 1974 sous le titre « Safari ou la chasse aux Français ». Il s’agissait ni plus ni moins de doter chaque Français d’un identifiant unique permettant de connecter l’ensemble des données dont on disposait sur lui. On pouvait, entre autres, lire dans cette tribune la déclaration clairvoyante faite en 1973 par le procureur général de la Cour de cassation : « la dynamique du système qui tend à la centralisation des fichiers risque de porter gravement atteinte aux libertés et même à l’équilibre des pouvoirs politiques ».

Cette affaire a conduit à la création de la CNIL en 1978 et c’est toujours cette institution qui est garante des principes qui régissent la centralisation et l’utilisation des informations personnelles par les organisations, qu’elles soient publiques ou privées. Ce que le procureur général de la Cour de cassation de 1973 ne pouvait pas prévoir, c’est que, 40 ans plus tard, les plus grandes bases de données, les plus grands systèmes de fichage des individus seraient aux mains non pas des États, mais bien d’entreprises privées débordant largement le cadre national. La première d’entre elles s’appelle évidemment Facebook, avec ses 2,2 milliards d’utilisateurs qui, tous, ont accepté – sans les lire, bien sûr – les règles d’utilisation…

Œuvrer à concilier l’inconciliable

« Dans l’univers numérique actuel, la donnée est absolument centrale. Elle a acquis une valeur économique pour les entreprises et les États. Il faut accompagner cette évolution et, en même temps, protéger l’individu et lui donner le sentiment qu’il maîtrise cet univers numérique » expliquait récemment Isabelle Falque-Pierrotin, présidente de la CNIL depuis 2011. Ce n’est pas une mince affaire de concilier de telles missions dans un contexte international où la protection des libertés individuelles et des données personnelles sont des notions qui s’entendent de manière très différente et auxquelles les citoyens sont plus ou moins sensibles selon les pays.

Toujours est-il que la CNIL a beaucoup œuvré à faire valoir la vision française au sein de l’Europe en se battant, par exemple, pour la reconnaissance d’un droit à l’oubli et aussi pour faire de la protection des données personnelles un sujet stratégique pour les entreprises et pour les pouvoirs publics. En ces temps de scandale politico-facebookien pré RGPD, il n’est pas inutile de rappeler que tous les acteurs ne sont exactement enclins à la plus grande transparence quant à leur pratiques en matière d’exploitation de données dont le caractère personnel ne fait aucun doute. Sur fond de lutte contre le terrorisme, il semble qu’on admette beaucoup plus facilement ce manque de transparence de la part des services devant assurer la sûreté d’un État que de la part d’acteurs privés prompts à s’emparer de toutes les innovations algorithmiques possibles et imaginables pour monétiser les données personnelles gracieusement fournies par les citoyens…

Encadrer les usages pour mieux protéger les individus

S’il n’y avait que Facebook, quelques officines douteuses et les services de police en cause, le problème serait presque simple… Mais s’agissant des libertés individuelles, il faut bien reconnaître que les technologies actuelles, de la vidéo protection aux objets connectés en tous genres dont nous nous entourons, conduisent à un fichage sans précédent et à un dispositif de surveillance généralisée des individus par des tiers pas toujours identifiés. C’est un pur euphémisme : en réalité, le citoyen-consommateur ignore largement qui fait quoi avec ses données et plus encore ce qu’il est possible d’en faire – a priori pour mieux le servir, mais peut-être aussi – qui sait ? – pour l’espionner ou l’influencer à son corps défendant. Les lois sont là pour sanctionner les utilisations déviantes et si les entreprises voient l’entrée en vigueur du RGPD comme une contrainte, le citoyen-consommateur devrait, lui, s’en féliciter puisque l’utilisation de ses données personnelles devient impossible sans qu’il y consente explicitement et que la loi le dote de nouveaux droits portant non pas sur la propriété des données, mais sur les usages qui en sont faits.

La nuance est d’importance car, comme le rappelle très justement Isabelle Falque Pierrotin s’opposant à ceux qui plaident pour recentrer le cadre sur la propriété des données et donc sur la possibilité pour les individus de les vendre, « c’est aujourd’hui l’usage qui fait la valeur de l’univers numérique. Cette approche permet d’avoir des droits en tant qu’individus, y compris vis-à-vis d’acteurs mondiaux qui traitent nos données, même s’ils sont localisés à l’autre bout de la planète. » La présidente de la CNIL reconnaît cependant que les individus ne sont pas en capacité suffisante de faire valoir leurs droits et qu’il faut les y aider. C’est la raison pour laquelle, le RGPD prévoit entre autres des possibilités de recours collectif.

Un cadre s’imposant au reste du monde

Des voix s’élèvent ici et là pour dire pis que pendre sur la nouvelle réglementation européenne, au motif qu’elle nous empêcherait de lutter à armes égales avec les GAFA et nous conforterait dans notre position de colonie numérique des Etats-Unis d’Amérique. On peut voir les choses sous cet angle, mais on peut aussi considérer que l’intérêt de ce nouveau cadre est précisément de créer un vrai marché européen de la donnée en s’imposant à tous ceux, européens et non européens, qui opèrent sur le marché européen. Le RGPD est la démonstration qu’il est possible de moderniser le cadre européen, de créer un cadre unique, tout en donnant aux individus des droits qui répondent à leurs nouvelles attentes et à leurs préoccupations vis-à-vis du numérique. C’est l’opportunité pour l’Europe de construire un numérique ‘de confiance’, de dire au reste du monde, notamment aux entrepreneurs « venez en Europe, parce qu’il y a cadre qui rassure les consommateurs et qui en réalité vous protège ».

On ne dit pas que cela va se produire, mais quand on sait que le RGPD intègre un droit à la portabilité des données, on se prend à rêver de l’apparition d’un réseau social concurrent de Facebook que l’on pourrait enfin quitter en emportant ses données avec soi. Cela n’empêcherait ni Google ni Facebook de garder nos anciennes données, mais cela donnerait au moins une chance à de nouveaux acteurs d’émerger. Ce n’est pas gagné, certes, mais il n’est pas interdit de rêver… Et si cela ne se produit pas, on peut toujours espérer que les sanctions prévues par le RGPD (jusqu’à 4% du chiffre d’affaires mondial de l’entreprise) inciteront les mauvais joueurs étasuniens à se racheter une conduite en jouant selon les règles d’un marché de 28 États pesant quelque 511 millions d’individus protégés par une seule et même loi. 511 millions de cibles publicitaires et de fournisseurs potentiels de données, cela devrait faire réfléchir même Facebook…