Décryptage - 19 mai 2016

Données personnelles, quel cadre juridique ?

Même sans être excessivement connecté, vous l’êtes forcément un peu. Votre ordinateur et votre smartphone sont déjà des objets connectés.

Le monde d’aujourd’hui est connecté, et vous fournissez des données à un tas d’organismes sans même vous en apercevoir : quand vous prenez un transport collectif avec une carte nominative, quand vous êtes dans un lieu public avec les caméras de surveillance, quand vous roulez, quand vous utilisez une carte de fidélité dans un magasin, quand vous envoyez un email ou un sms,  quand vous effectuez un achat par carte bancaire…

De nos jours, presque tout ce que nous faisons est mesuré, et tout peut potentiellement être suivi par un moyen ou un autre.

Il en résulte des quantités astronomiques de données  qui représentent une véritable manne financière, puisqu’elles peuvent être utilisées pour vous proposer des produits ou des services. Ces données valent de l’argent, et pas qu’un peu. D’après une étude menée par Orange en 2014, les données personnelles des européens valent entre 170 et 240€ par personne[1].

Il faut savoir que ces données ne sont pas exploitables en tant que telles. Avec l’essor des dispositifs connectés, nous émettons tellement de données qu’il faut faire le tri avant de pouvoir en tirer parti.

Pour vous donner une idée, en 2020, les données représenteront plus de  5000 GO par personne ![2] C’est l’équivalent d’une dizaine de disques durs.

C’est ce qu’on nomme le « Big Data » : une émission de données exponentielle et déjà tellement impressionnante que son exploitation représente un chantier titanesque. Selon un rapport de l’entreprise de stockage EMC  «en 2013, seules 22% des données numériques étaient exploitables et 5% seulement d’entre elles ont été analysées, laissant un vaste trou noir dans l’univers numérique».

Mais même en partant du principe que toutes nos données ne sont pas traitées et exploitées, nous sommes en droit de nous poser les questions qui s’imposent : où vont les données récupérées par nos objets connectés ? A qui profitent-elles ? Peut-on s’opposer à leur traitement ?

Le cadre juridique des données en France et en Europe

D’après la Loi Informatique et Libertés du 6 janvier 1978, on entend par donnée personnelle « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ».

Lorsque vous achetez un bracelet connecté et que l’application vous demande votre prénom, votre poids, votre taille, votre âge, ces informations constituent des données personnelles (elles peuvent permettre de vous identifier).

Par définition, elles vous appartiennent et à ce titre, vous avez des droits.

En Europe, la directive 95/46/CE de 1995 pose un socle commun à tous les pays de l’UE pour la protection des données à caractère personnel et à leur libre circulation. Elle vise notamment à protéger la vie privée des individus.

Devant l’insuffisance de cette directive au regard des évolutions technologiques, la Commission Européenne a proposé en 2012 une réforme globale de la législation sur les données personnelles dans une optique toujours plus protectrice. Le législateur européen entend placer l’individu  au cœur du dispositif de protection des données à caractère personnel : il pourra disposer du droit à la notification d’une violation de ses données à caractère personnel lors de l’apparition de failles de sécurité, du droit d’opposition à une mesure de profilage ou encore, et d’un « droit à l’oubli numérique » (effacement des données sur demande si aucun motif légitime ne justifie leur conservation).

Le 14 avril 2016, après 4 ans de débats, le texte a été voté par le Parlement Européen. Il remplace la directive de 1995.

Pendant ce temps en France, le Sénat a adopté en première lecture le 3 mai 2016 le projet de Loi Numérique d’Axelle Lemaire, après de multiples revirements. Cette loi consacre le principe de neutralité des réseaux, de portabilité des données et de loyauté des plateformes, elle entend améliorer l’accès à internet et ouvrir davantage des données publiques.

Les législations à travers le monde

Pour Axelle Lemaire, Secrétaire d’état au numérique « Les robots, les drones, les objets connectés sont à terme bénéfiques pour tous. Il faut en renforcer l’utilisation dans les métiers du droit. »

A l’échelle mondiale, il est impossible de se référer à une loi « générale » qui serait la même pour tous : les pays légifèrent eux-mêmes (ou en groupe, à l’image de l’Europe).

La CNIL tient une cartographie mondiale de la protection des données personnelles pays par pays.

On constate que l’Europe, le Canada et l’Argentine ont un niveau adéquat de protection des données personnelles. En ce qui concerne les Etats-Unis, un accord avec l’Union Européenne est en cours de signature. En attendant, les transferts de données entre ces deux entités nécessitent l’accord de la CNIL.

Certains, sans répondre aux critères de protection des données selon la CNIL disposent cependant d’une autorité de contrôle : l’Australie, l’Inde, le Mexique, le Japon ou encore l’Ukraine.

Pour le reste du monde, le niveau de protection des données est considéré comme « inadéquat » : cela signifie soit qu’ils n’ont pas légiféré sur la question, soit que les lois en question sont insuffisantes.

Globalement, on constate que la technologie avance plus vite que le droit. Les législations tentent de suivre, mais l’idéal d’une législation unique à travers le monde sur les données reste en l’état une utopie.

[1] Source
[2] Source

Donnez votre avis

avis global

Enthousiasmant

4.67

6 avis

 

Commentez cet article