Protection des données personnelles: le casse-tête numérique

Jean-Marc Ayrault a annoncé jeudi qu'une loi renforçant "la protection des données personnelles" des citoyens sur Internet serait soumise au Parlement début 2014, à l'issue d'un séminaire fixant la feuille de route du gouvernement dans le domaine numérique. Quels sont les enjeux d'une telle réglementation? Eléments de réponses.

> Est-il urgent de légiférer sur la protection des données?

L’arsenal législatif actuel sur les données personnelles se base sur une directive européenne de 1995, il est donc largement considéré comme obsolète tant les usages et l’économie de ce secteur ont changé. Jean-Marc Ayrault lui-même constate, dans son discours d'introduction au séminaire gouvernemental sur le numérique de jeudi: "Les fichiers, publics et privés, se sont multipliés. De nombreux services en ligne exploitent les données des personnes mais les individus comme les institutions sont aujourd’hui dépassés par le nombre et la complexité des traitements."

Facebook, Google, Instagram (qui appartient désormais à Facebook)… Les nombreuses polémiques concernant le traitement des données privées dans ces services, qui regroupent des centaines de millions d’utilisateurs, sont une bonne illustration de cette urgence.

> Pourquoi c'est si compliqué de légiférer?

Toute la difficulté du problème du contrôle des données vient du caractère mondial du réseau. Les entreprises concernées ne sont presque jamais françaises, et l’exploitation de ce marché se fait souvent hors de nos frontières.

Difficile, dans ces conditions, de négocier avec des poids-lourds tels que Google. On l’a vu, dans un autre domaine, dans le bras-de-fer avec la presse en Belgique, en Allemagne et en France. On continue de le constater concernant les données personnelles: les 27 commissions de l’informatique et des libertés de l’Union s’apprêtent à poursuivre Google qui n’a pas suivi leurs recommandations en ce qui concerne la fusion de ses conditions d’utilisations. Cette impuissance ajoute à l’urgence de la situation.

> Que prévoit la future loi européenne?

Les dernières versions de la proposition de loi européenne a sévèrement braqué les compagnies américaines. Ses principales exigences sont le droit à l’oubli numérique, soit la possibilité légale, pour les internautes, d’effacer toute trace numérique s’ils le souhaitent.

Le deuxième point concerne la transparence: l’obligation, pour le collecteur de données personnelles, d’informer les internautes de la manière dont seront utilisées ces données. Par ailleurs, toute faille de sécurité concernant ces données devrait être signifiée aux utilisateurs sous 24 heures.

Mais ce qui fait le plus tiquer les géants de l’Internet tels que Google ou Facebook, c’est que le non-respect de ces règles pourrait être soumis à des sanctions financières pouvant aller jusqu’à 2% du chiffre d’affaires annuel global de l’entreprise. Soit des montants faramineux, vu les colosses concernés.

> Que veut la France?

Le séminaire sur le numérique organisé par le gouvernement le 28 février n’a pas donné de réponse très concrète, sinon que la déclinaison française de la loi sera votée d’ici fin 2014 au plus tard. Le gouvernement "souhaite renforcer les droits des personnes vis-à-vis des fichiers contenant leurs données personnelles, et accorder une place et des pouvoirs plus importants à la Cnil".

En contrepartie, l’accès à ces données par les services de police sera aussi facilité. Pour ce qui est de la neutralité du Net, le gouvernement laisse au Conseil national du numérique le soin de proposer ses recommandations avant de s’exprimer.

> Comment soumettre les collecteurs de données?

Pour que la loi puisse être suivie du moindre effet, il faut soumettre les géants du numérique non pas à la loi de leur pays d'origine, mais à celle de leurs utilisateurs. Soit, pour les utilisateurs français, la loi française. C’est ce qu’a affirmé Arnaud Montebourg, le ministre du Redressement productif, dans le 20 Minutes publié le matin même du séminaire gouvernemental.

Le ministre propose ainsi d’obliger les entreprises qui collectent les données personnelles d’installer leurs data-centers en Europe, pour que les données européennes y soient stockées et ainsi protégées par la loi. Une proposition qui semble difficile à mettre en œuvre, puisque la plupart des services web récoltent des données personnelles sur leurs utilisateurs…