L'Europe et la révision de la directive sur les données personnelles
Viviane Reding, Vive-Présidente de la Commission européenne, a annoncé il y a quelques jours l’orientation que devrait prendre la révision de la Directive européenne sur les données personnelles (Directive 95/46/CE).
While social networking sites and photo sharing services have brought dramatic changes to how we live, new technologies have also prompted new challenges. It’s now more difficult to detect when our personal data is being collected. Sophisticated tools allow the automatic collection of data. This data is then used by companies to better target individuals. Public authorities are also using more and more personal data for a wide variety of purposes, including the prevention and fight against terrorism and serious crime.
Mme Reding propose ainsi quatre piliers pour la révision.
The first is the “right to be forgotten”. […] I want to explicitly clarify that people shall have the right – and not only the “possibility” – to withdraw their consent to data processing.
Tout d’abord, elle souhaite que le droit à l’oubli soit affirmé et qu’il soit effectif, de façon à ce que les gens aient non seulement la possibilité mais aussi le droit de retirer leur consentement à des traitement de données. (Voir par exemple le cas de cette institutrice française, ex actrice porno, qui a demandé sa désindexation de Google.)
The second pillar is “transparency”. It is a fundamental condition for exercising control over personal data and for building trust in the Internet. Individuals must be informed about which data is collected and for what purposes. They need to know how it might be used by third parties. They must know their rights and which authority to address if those rights are violated. They must be told about the risks related to the processing of their personal data so that they don’t loose control over their data or that their data is not misused. This is particularly important for young people in the online world.
Ensuite, les gens doivent pouvoir être et être informés au sujet des données récoltées et dans quel but, des risques que constitue un traitement de données et si elles seront utilisées par des tiers. Il faut aussi qu’ils sachent vers quelle autorité se tourner en cas de violation des droits, de façon à ne pas perdre la maîtrise de ces données.
The third pillar is “privacy by default”. Privacy settings often require considerable operational effort in order to be put in place. Such settings are not a reliable indication of consumers’ consent. This needs to be changed.
Puis, les paramètres de confidentialité doivent être facilement modifiables et mis en œuvre par les particuliers. Ils ne reflètent souvent pas la volonté de la personne. Le consentement de la personne doit être demandé obligatoirement si les données vont être utilisées à d’autres fins que celles auxquelles la personne avait précédemment consenti.
The fourth principle is “protection regardless of data location”. It means that homogeneous privacy standards for European citizens should apply independently of the area of the world in which their data is being processed. They should apply whatever the geographical location of the service provider and whatever technical means used to provide the service. There should be no exceptions for third countries’ service providers controlling our citizens’ data. Any company operating in the EU market or any online product that is targeted at EU consumers must comply with EU rules.
Enfin, le dernier principe concerne la territorialité et la localisation des données. Des standards homogènes et applicables à tous les citoyens européens doivent être mis en place et applicables quel que soit l’endroit où sont traitées des données. Tout fournisseur de service qui souhaiterait opérer sur le marché intérieur devrait s’y conformer. De fait, il faudra donc également renforcer les pouvoirs des organes de contrôle (la CNIL française, ou le Préposé fédéral à la protection des données et à la transparence en Suisse, par exemple).
Je dois avouer que je suis heureux de voir que l’Europe se réveille et avance dans la bonne direction. Toutefois, je vois mal comment mettre en œuvre le dernier principe. Autant les trois premiers me semblent louables et facilement réalisables à court terme, autant le dernier me paraît presque utopique. En effet, comment voulons-nous imposer à une société basée aux USA, dont les structures et infrastructures sont basées aux USA et qui ne fait qu’utiliser le réseau international pour véhiculer de l’information, de respecter des normes européennes ? Le seul moyen efficace que je vois revient à limiter un droit fondamental qui est la liberté d’information en bloquant les sites et services qui ne se conforment pas à ces règles, alors qu’ils ont été (largement) utilisés auparavant. Cela dit, je ne crois pas cette entreprise capable de renoncer à un marché de 500 millions de consommateurs… Si la Directive est modifiée dans ce sens, ce sera un sacré moyen de pression. Peut-être que le monde nous imitera, avec, qui sait, les Etats-Unis…
Mais le bras de fer ne fait que commencer, et la route est encore longue.