Vous êtes ici : Accueil » Vie associative » Médias » Vu sur la toile » Le texte du règlement sur les données personnelles sous pression

Le texte du règlement sur les données personnelles sous pression

D 20 juin 2013     H 17:24     A    


Il y a des batailles menées très loin qui nous échappent totalement. Très loin comme Bruxelles par exemple. Actuellement, et depuis des mois, les députés planchent pour mettre au point le règlement européen sur la protection des données personnelles. Et, d’ici, on n’imagine pas les forces en jeu entre les entreprises qui souhaitent commercer et les citoyens qui souhaitent être protégés. Pour l’heure, le projet, au départ très protecteur des citoyens, est en train de se réduire à peau de chagrin.

Souriez, vous êtes fichés ! Et non seulement fichés mais aussi pistés. Et peut-être spoliés. Parce que oui, cher abonné, nous laissons des traces dans l’espace numérique, des traces qui peuvent se monnayer et beaucoup rapporter. Ce commerce juteux et prometteur est-il suffisamment soucieux de la protection des utilisateurs qui livrent leurs données ? Selon des députés européens, non. C’est tout l’objet de l’enjeu du nouveau règlement sur la protection des données personnelles en cours de discussion au Parlement européen et dont l’adoption est prévue entre 2014 et 2016 selon que l’on est optimiste, ou non.

A ce jour, la protection des données est encadrée par une directive européenne qui date de 1995. On est d’accord : c’est vieillot. D’autant qu’en vingt ans, les usages ont sensiblement évolué. La directive a été transposée dans la loi française en 2004, elle est venue modifier la loi relative à l’informatique, aux fichiers et aux libertés de 1978 qui fit naître la Cnil, la Commission nationale de l’informatique et des libertés. Aujourd’hui, l’Union européenne s’apprête à refondre sa loi mais cette fois-ci sous forme de règlement, c’est-à-dire un texte qui, contrairement à une directive, s’appliquera tel quel à tous les Etats membres, sans condition, sans dérogation. Bon, d’accord, il y a également une directive en préparation mais elle concerne les infractions pénales relatives à la protection des données personnelles. Eh oui les gars, n’oubliez pas, c’est l’Europe, donc pourquoi faire simple quand on peut faire compliqué. D’autant que dans le genre compliqué, nous ne sommes pas au bout de nos peines…

Vivianne Reding, vice-présidente de la Commission européenne, photo trouvée sur le site de L’Informaticien

100 000 euros d’amende pour Google, vous rigolez ?

Je vous le disais : les usages ont évolué, la masse de données traitées est devenue considérable, et dans ce trafic, la sécurité ou le droit à la vie privée ne sont pas toujours assurés. Pour preuve : en 2011, un étudiant autrichien du nom de Max Schrems entreprend, tout seul avec sa souris et son couteau, un audit sur Facebook. Après avoir trouvé une trentaine de failles de sécurité et découvert que le réseau social possédait des tas d’informations sur lui alors qu’il pensait les avoir effacées, il dépose vingt-deux plaintes contre le géant installé en Irlande. « Cette histoire fait prendre conscience de l’ampleur du phénomène » estime Thiébaut Devergranne, docteur en droit et auteur du site donneespersonnelles.fr. « Les Cnil européennes comptent moins de deux mille personnes : il est temps, avec ce nouveau règlement, de se concentrer sur l’essentiel, la protection des données et le droit à la vie privée. Pas que la directive de 95 soit obsolète – au contraire, elle est plutôt protectrice – mais elle n’est pas assez dissuasive. Pensez : la Cnil en France a condamné récemment les Google cars (ces petites voitures chargées de photographier les rues) à 100 000 euros d’amende. 100 000 euros, j’ai calculé, c’est le budget café des ingénieurs de la firme sur deux jours ». Et encore, sans compter le sucre. Et les touillettes.

Un arsenal de guerre donc, voici ce que propose notamment le règlement. C’est-à-dire des amendes qui pourront atteindre 2% du chiffre d’affaires d’un groupe – soit l’équivalent d’1,2 milliard de dollars pour Microsoft en 2008 – et 1 million d’euros pour les organismes publics. Des gros chiffres à nuancer en rappelant que la sanction est prise par les 27 et pour les 27 pays membres et non plus via les pays un à un qui, du coup, devront se partager le gateau. Selon Devergranne, l’arsenal devrait faire passer l’envie d’être peu consciencieux – quand ce n’est pas malhonnête – sur la récolte et le traitement des données. « Et encore, ajoute-t-il, initialement, le montant était fixé à 5% du chiffre d’affaires ». Une reculade ? Oui, et ce n’est pas la seule. C’est d’ailleurs la spécificité de ce texte : au départ très ambitieux, il doit faire face au poids prodigieux des 4 000 amendements déposés et qui risquent de le dénaturer.

L’ambition affichée était sincère, selon mes interlocuteurs interrogés sur le sujet : le règlement devait redonner le pouvoir aux citoyens sur leurs données. Le texte aujourd’hui en discussion prend pour point de départ le projet de résolution porté par l’eurodéputé allemand Axel Voss (de droite) et adopté en juin 2011 à la quasi-majorité (49 voix pour, une contre et aucune abstention). Ce projet est clairement pro-consommateurs, comme on peut le lire ici… D’ailleurs, Viviane Reding, vice-présidente de la Commission européenne, a fait sienne la volonté de protéger fermement les utilisateurs et l’a réaffirmé dans un discours en février dernier. Et, ça tombe bien, le rapporteur du texte de la Commission des libertés civiles, de la justice et des affaires intérieures, c’est-à-dire la Commission chef (car elles sont quatre à plancher sur le projet – simple, je vous le disais) est un élu vert allemand, Jan Albrecht, connu pour vouloir en découdre avec le laisser-aller sur la protection des données.

Jean-Philippe Albrecht

De fait, le texte du règlement est blindé de garde-fous. Commençons par le consentement explicite de l’internaute. Quand vous remplissez un formulaire d’inscription en ligne (ou non), on vous demande souvent si vous souhaitez recevoir des informations de partenaires (en gros, de la pub). Parfois la case est pré-cochée et vous pouvez ne pas vous en apercevoir. Avec le règlement, non seulement il faudra explicitement votre accord (en cochant vous-même la case) mais le site devra prouver que votre accord a bien été demandé. On entrevoit déjà la grimace chez les éditeurs qui vont devoir mettre en place l’outil approprié pour stocker ces informations. Passons à la portabilité des données. Si vous souhaitez consulter votre profil élaboré avec les données que vous avez fournies sur un réseau social ou auprès de la Redoute, le site ou le commerçant doit vous livrer un fichier lisible vous concernant et pas un gloubi-boulga incompréhensible. L’étudiant autrichien qui a combattu Facebook, par exemple, a reçu du réseau social un fichier de 900 Mégabits illisible. Débrouille-toi avec ça.

Tant que j’y suis avec le profilage, on ne pourra pas vous refuser un boulot, un prêt ou un crédit immobilier sur la seule base de votre profil informatisé. Prenons un exemple : disons que mon profil se résume « à femme de 40 ans avec enfant, voiture pourrie, vie de débauchée et un faible pour l’excellent whisky irlandais ». On ne pourra pas me refuser un poste de présentatrice du JT France 2 avec comme seul argument ce profil peu vertueux. Il faudra forcément l’intervention d’un homme ou d’une femme pour argumenter le refus. Autre protection : les données des Européens exportées à l’étranger devront continuer à être soumises au règlement. Si Ikea France duplique sa base vers Ikea Australie, mes données seront protégées de la même façon qu’en Europe. Un dernier pour la route, et de taille : la notification des failles de sécurité. Genre : oups, cher client, on m’a volé un fichier dans lequel il y a vos données, dont votre mot de passe. Information capitale car ce mot de passe vous sert probablement à accéder, au hasard, à votre compte bancaire. Ne le niez pas, je parie un excellent whisky irlandais que vous avez le même mot de passe pour toutes vos connexions. Si vous êtes informés d’une faille de sécurité, vous pouvez ainsi changer vos codes d’accès.

Voilà pour le côté utilisateur. Côté mise en œuvre technique maintenant, le règlement prévoit des avancées : les entreprises de plus de 250 salariés ou toute institution publique devront nommer un monsieur ou madame données personnelles. Ce ou cette délégué (e) garantira que la loi est bien respectée au sein de son organisation. De même, le système de déclaration à la Cnil est simplifié : on ne déclare plus, on garde traces des collectes de données. En revanche, les autorisations pour les fichiers à risque (avec des données très personnelles genre sur la santé ou le casier judiciaire) sont maintenues. Enfin, le texte prévoit la mise en place d’un guichet unique pour recueillir les plaintes des citoyens. C’est ce dernier point qui fait grincer les dents de la Cnil.

Le cas de la Cnil

Fin janvier, sur son site Internet, l’autorité de contrôle craignait de voir la défense de la vie privée s’éloigner du citoyen et de devenir une simple boîte aux lettres. Une boîte aux lettres ? Édouard Geffray, secrétaire général de la Cnil, modère aujourd’hui ce propos, mais continue de penser que le règlement, tel qu’il est rédigé, ne va pas dans le bon sens : “notre inquiétude concerne les cas de plaintes émanant de citoyens de différents pays. Disons qu’un Français, un Espagnol, un Lituanien et un Allemand portent plainte contre une grande chaîne commerciale. Ils vont se plaindre auprès de la Cnil de leur pays respectif mais seule la Cnil du pays où est installé l’établissement principal de l’enseigne sera compétente pour rendre la décision. Et l’établissement principal, ce n’est pas forcément le lieu du siège social mais le lieu où l’enseigne traite ses fichiers. Cette grande chaîne peut avoir son siège en France par exemple mais traiter les données de ses clients en Irlande”.

Mais où est le mal ? Après tout, puisqu’il y aura un même règlement européen, il s’appliquera partout pareil pour toutes les Cnil non ? Geffray tique : “d’abord, ce principe éloigne le citoyen de la décision. Ensuite, une loi peut être interprétée différemment. Enfin, cela pose un problème du droit au recours. Imaginez que la plainte passe au tribunal : on ne peut saisir un juge du pays en question mais un juge du pays d’origine de la plainte. Le règlement a donc prévu que les Cnil nationales prennent en charge les plaintes. C’est-à-dire que les Cnil se porteront plainte entre elles”. Pas terrible comme ambiance, en effet. Mais alors que souhaite la Cnil ? Un guichet unique, oui, mais la coordination des Cnil concernées pour prendre la décision finale. A ce jour, Geffray ne sait pas si ce point précis sera pris en compte dans le texte final affublé, on l’a vu, de 4 000 amendements. D’ailleurs, à sa petite échelle, on peut considérer que la Cnil a opéré une forme de lobbying pour faire valoir son point de vue. Une forme minuscule comparée au poids des lobbies des entreprises et notamment des géants de l’Internet américain.

L’amendement m’a tuer

Ce jeu de couloirs des lobbyistes est raconté dans un article du Monde paru ce week-end. Le journaliste y décrit un déjeuner entre députés, fonctionnaires, assistants parlementaires et « quatre membres de l’US Chamber of Commerce, association défendant les intérêts des entreprises américaines partout dans le monde ». Objet du repas : « présenter un rapport très alarmiste sur l’impact du [règlement] s’il était voté en l’état : diminution des échanges transatlantiques, baisse du PIB européen, et même chute du revenu des ménages pouvant atteindre 3,9 % ». Selon le journaliste, cette vaste offensive est orchestrée par les grandes entreprises américaines par ailleurs grosses jongleuses de données comme Facebook, Google, Amazon, eBay…

Si cette parade ressemble à celle exercée par l’industrie bancaire et son armée mexicaine déployée lors du projet de réforme entamé à Bruxelles, le Monde rapporte cependant une cocasserie : des petits malins – un journaliste allemand et un ami pirate – ont mis en place un moteur de recherches – accessible ici – qui permet de comparer les amendements déposés par les députés et les amendements écrits directement par les lobbies. Résultat : « on découvre, par exemple, qu’un député britannique conservateur a déposé 55 amendements, dont 14 sont en fait des textes envoyés par Amazon, eBay et l’American Chamber of Commerce. Ils visent à supprimer les protections pour les données stockées sous pseudonyme, à baisser le montant des amendes en cas de violation du règlement, à faciliter le transfert de fichiers vers des sous-traitants, ou à limiter les droits des citoyens contre les profilages abusifs. »

L’article du Monde donne des boutons à Marielle Gallo, eurodéputée de droite et rapporteure du texte pour la Commission des affaires juridiques : « il y a lobbies et contre-lobbies, ne l’oublions pas ! Le journaliste est borgne car on croit comprendre que seuls les géants du web américains font pression. Mais j’ai reçu dans mon bureau la Poste française, la Poste belge, la Poste néerlandaise, mais aussi le Nouvel Obs qui s’inquiète de savoir si la loi va contraindre voire restreindre leur relance d’abonnés. Et non seulement il est borgne mais il est également presbyte : le projet de règlement européen ne concerne pas seulement Internet mais aussi, par exemple, les fichiers classiques d’envoi de publicité par courrier. En fait, ce texte concerne tous les citoyens et tous les secteurs d’activités. »

Gallo reconnait que l’exploitation des données est « un nouveau capitalisme », et donc que les entreprises défendent leurs intérêts. Pour elle, cette pression fait contrepoids à la position de Jan Albrecht. Selon Gallo, les Verts ont très bien joué le coup : le groupe a refusé tous les autres projets de loi pour être sûr de décrocher le rôle de rapporteur sur les données personnelles. « S’il ne devait y avoir qu’un texte à défendre pendant leur mandat, c’était celui-là. Et ils l’ont eu ! » L’eurodéputée nuance aussi le rôle des lobbies : « il y a eu également une grosse pression exercée par l’EDRI (European Digital Rights), la structure qui chapote les communautés Internet très protectrices des données. Personne ne le dit mais 80% des amendements déposés par les Verts, les socialistes ou les Pirates ont été rédigés directement par l’EDRI ! De même, Françoise Castex, l’élue socialiste, travaille main dans la main avec La Quadrature du net ». Que répond Castex, elle-même contre-rapporteure du texte dans la même Commission ? Elle soupire : « oui, il y a ceux qui écoutent les lobbies des grandes entreprises et ceux qui écoutent les lobbies qui défendent les consommateurs. A chacun sa vision de l’intérêt des citoyens ». Elle s’inquiète cependant du détricotage d’un projet qui lui semble pour l’heure équilibré :« pour une fois que la Commission travaille pour la protection du citoyen ! » Est-elle proche de la Quadrature du net, l’association de défense des droits et libertés des citoyens sur Internet ? Bien sûr, elle ne s’en cache pas.

méga Goliath contre nano David

La Quadrature ? Vous vous souvenez peut-être de son co-fondateur et porte-parole Jérémie Zimmermann venu sur notre plateau. Quand on évoque les deux sortes de lobbies, il rigole : « c’est méga Goliath contre nano David ! Et quand je dis Goliath, il faut entendre les banques, les assurances, les géants de la Silicon Valley, et le gouvernement américain, excusez du peu ! » Zimmermann est remonté. Il me répond au téléphone depuis Bruxelles où il doit passer ces journées. Quand je lui demande quels points du règlement lui semblent compromis du fait des amendements, il confie ne pas le savoir et, pire, ne pas pouvoir le savoir : « on peut engager une armée d’analystes pour dépiauter ces amendements jour et nuit, un par un, mais ça ne servirait à rien ! Je viens de croiser un attaché parlementaire qui travaille sur le texte depuis des mois, donc aux premières loges, et il le dit : il ne lira pas les amendements, personne n’y comprend rien ». Thiébaut Devergranne, le docteur en droit cité plus haut, me dira la même chose : pour l’instant c’est une nuée d’abeilles, impossible de s’en approcher.

Zimmermann

Mais peu importe, confie Zimmermann, parce que l’enjeu n’est pas là : « maintenant, tout est entre les mains des rapporteurs shadows - on dit parfois rapporteur fictif, mais ils n’ont rien de fictif, ils œuvrent et ils manœuvrent. Ce sont des responsables de partis, de tous les partis, qui se mettent autour d’une table pour décider de ce qu’on appelle des amendements de compromis. Ces amendements seront au nombre de 93, soit un par article du règlement. » Est-ce forcément un mal, le compromis ? « Non, pas forcément, on peut trouver des points médians intelligents. Mais comme le compromis est occulte, il peut ne plus rien avoir avec l’article de départ. Plus probablement, le jeu va consister à ajouter des petits mots pour créer des zones de flou, et donc d’interprétation de la loi ». Conclusion : ces amendements de compromis ont une valeur supérieure au texte originel établi puis voté par les Commissions. « Et on appelle ça une démocratie » s’étrangle Zimmermann.

C’est dire si l’ambiance est chaud-bouillante dans les couloirs de Bruxelles. La Commission chef, celle de Jan Albrecht, n’a toujours pas voté le texte, un vote prévu initialement fin mai, puis mi-juin, puis juillet mais qui sera probablement reporté à la rentrée. Selon les bruits de couloirs, l’élu vert va sûrement manger son chapeau. Voire renoncer à mettre son nom sur le rapport si vraiment il ne correspond plus aux idées qu’il défend. Zimmermann est amer : « on passe à côté d’une formidable opportunité. L’Europe aurait pu créer les conditions de confiance pour voir émerger un nouveau marché ». Euh… ce n’est pas l’avis des entreprises qui y voient une entrave au commerce des données. « C’est sûr, ces entreprises exigent l’open-bar sur les données ! D’ailleurs, celles qui râlent contre le règlement me font penser à l’industrie automobile qui s’opposait à la ceinture de sécurité au nom de la liberté d’entreprendre et celle des utilisateurs… au bout du compte, tout le monde y a gagné par la confiance accrue des utilisateurs dans l’auto. On aurait pu créer un label européen pour les sites vertueux et voir les internautes délaisser les géants actuels pour des services européens plus soucieux de la vie privée. Mais on en est en train de laisser filer l’occasion. A moins d’une grande prise de conscience citoyenne » soupire Zimmermann. On peut toujours rêver.

Par Anne-Sophie Jacques le 05/06/2013

source : http://www.arretsurimages.net/