jeudi 13 juin 2013

Données privées : protéger ou monétiser, il faut choisir

A lire sur:  http://pro.clubic.com/technologie-et-politique/actualite-564904-protection-donnees-quid-france-ue.html

Publié par Ludwig Gallet le mercredi 12 juin 2013
Les pays de l'Union européenne ne parviennent pas à trouver un accord sur le projet de règlement européen visant à renforcer la protection des données des citoyens européens. En pleine affaire PRISM, les points d'accrochage sont encore nombreux.

Fleur Pellerin
L'affaire PRISM pose le débat sur l'arbitrage à effectuer entre protection de la vie privée et la sécurité des citoyens. Mais cette première notion est également pondérée par des considérations économiques, puisque de nombreuses entreprises prospèrent grâce au traitement des données personnelles.

Ce marché pèserait au total 315 milliards de dollars, a affirmé hier Fleur Pellerin, ministre déléguée chargée des PME, de l'innovation et de l'économie numérique, dans le cadre d'un débat parlementaire sur le sujet. Un véritable trésor, qui profite en grande partie aux plus grandes firmes américaines, mais également à des petites start-up qui vivent aujourd'hui de ce business.

Le projet de règlement européen visant à renforcer la protection des données des citoyens européens vient d'ailleurs d'être retoqué la semaine dernière par les États membres de l'Union européenne. Il s'inscrit dans le cadre de la « mise aux normes » de la législation communautaire à l'ère du numérique. L'UE s'en tient à ce jour à la Directive de 95, malgré quelques aménagements. Un projet bien difficile à ratifier et qui, aux dires de Viviane Reding, commissaire européen à la justice, fait l'objet d'un lobbying encore jamais vu auparavant.

Un casse-tête juridique

Les instances européennes se trouvent aujourd'hui confrontées à un choix stratégique. Ce que confirmait mardi à l'Assemblée Nationale le journaliste Jean-Marc Manach. « On a deux visions de la notion de protection des données qui s'opposent. La vision européenne, humaniste, qui vise à protéger le citoyen avant de faire quelque chose de ses données. Il y a ensuite la conception américaine, qui dépend de la Federal Trade Commission, pour laquelle le citoyen est avant tout un consommateur et on va chercher à protéger le fait pour des entreprises de faire du business avec les données des consommateurs ». Une confrontation des intérêts que Fleur Pellerin semble elle aussi avoir du mal à trancher. Si elle considère ainsi que l'internet ouvert s'avère être « un outil radical et unique pour l'émancipation des peuples », elle met aussi en avant « les perspectives formidables » qu'offre l'exploitation des données personnelles.

Reste à savoir ce qu'est une donnée personnelle et ce qui relève ou non de la vie privée. Le journaliste se demande ainsi si des données publiées sur Facebook ne deviendraient pas plutôt des données sociales plus que des données privées, notamment « lorsque l'on a entre 100 et 400 amis dans son réseau ». Ce qui pose immanquablement la question de la maîtrise de ces services par les consommateurs.

Le travail de prévention pourrait en ce sens répondre à cette méconnaissance du traitement des données des citoyens. C'est dans cette optique que Fleur Pellerin milite pour la mise en place de l'école numérique, censée apporter une culture numérique aux plus jeunes. Dès la primaire, ils pourraient par exemple être sensibilisés aux rudiments du codage.

La France veut accroître la protection des données

En dépit de l'intense pression qui se joue à Bruxelles pour alléger le texte en faveur des entreprises exploitantes de données personnelles, l'essence du projet de règlement européen portait sur le renforcement des droits des citoyens européens. Il a toutefois été retoqué, y compris par la France, car jugé trop lourd pour les PME. Le règlement leur imposerait en effet de se plier à un mécanisme d'évaluation de leur politique en matière de protection des données. Ce qui pourrait nuire à certaines entreprises face à leurs concurrents, relèvent les détracteurs du texte. Protéger les données, oui, mais pas au détriment de l'activité économique des entreprises. Tout l'enjeu est donc de savoir si ces deux concepts sont ou non conciliables.

Si le texte a été maintes fois amendé, certains points pourraient bien faire encore l'objet de vives discussions. La France est en effet partisane de la notion de « consentement explicite », qui est loin de prévaloir en matière de protection des données. Les firmes ont en effet plutôt tendance aujourd'hui à user de publications de politiques de confidentialité peu lisibles pour les internautes, qui y adhèrent dès l'instant où ils s'inscrivent sur le service.

La CNIL, par l'intermédiaire de sa présidente Isabelle Falque-Pierrotin, entend bien ces considérations. « Il y a un effort à effectuer de la part des entreprises pour lever cette opacité. La situation n'est clairement pas satisfaisante », confirme-t-elle. « Dans les discussions que nous avons avec les grands acteurs de l'internet et notamment Google, nous devons pousser cette entreprise à avoir une granularité de l'information beaucoup plus fine et à donner aux clients la possibilité à un moment donné de dire oui ou non ».

drapeau UE union europeenne
Des risques de dumping ?

Parmi les raisons qui ont poussé les entreprises à peser sur le débat et à user de lobbying figure en bonne position la proposition de mise en place d'un guichet unique, visant à consacrer la compétence de la CNIL du pays sur lequel est implanté la société en cause.

Certains États membres se montrent frileux devant cette perte potentielle de compétences. Pour eux, une telle mesure risquerait de favoriser un certain « dumping », au profit des pays les moins regardants en matière de protection des données ou du moins ceux n'ayant pas forcément les capacités de déployer tous les moyens nécessaires pour la contrôler. Une crainte partagée notamment par Fleur Pellerin, qui sur ce point plaide pour la mise en place du double guichet, tel que proposé par la CNIL. La ministre relève qu'il s'agit là de l'un des points majeurs ayant justifié le désaccord de la France avec le projet.

Il s'agirait alors de favoriser la coopération entre les différentes autorités nationales en ajoutant au dispositif initial la compétence de l'autorité nationale du plaignant.

Retrouver une certaine souveraineté nationale

L'actualité de ces derniers jours pousse le débat sur le terrain de la souveraineté de l'Union européenne quant à la protection des données de ses citoyens. Fleur Pellerin promet que le gouvernement se montrera très ferme dans les discussions à venir concernant le règlement européen. « Nous voulons que les entreprises non-européennes respectent la législation européenne lorsqu'il s'agit des données de citoyens, même si celle-ci s'avérerait plus contraignante », affirme-t-elle. Et d'ajouter : « la directive de 95 à un champ d'application extrêmement peu clair. Il y a beaucoup de débats, notamment sur son application à tout traitement de données appartenant à des résidents européens et quant à la question du transfert vers les territoires sans législation de protection des données ».

Pour que l'Europe retrouve en partie sa souveraineté, Fleur Pellerin estimerait « pertinent » de localiser les data centers en Europe, « pour protéger les données les plus sensibles ». Et d'ajouter: « la nécessité d'avoir un cloud souverain se pose avec beaucoup d'acuité », comme « un moyen pour des entreprises qui détiennent des informations stratégiques de protéger leurs données ».

Se disant préoccupée par l'affaire PRISM, Fleur Pellerin attend un retour et des explications des autorités américaines pour prendre définitivement position. Elle constate en ce sens que l'Europe et la France ont mis beaucoup trop de temps à comprendre la nécessité de s'affranchir des infrastructures, des plateformes ou des points d'accès à Internet autres qu'américains.

Aucun commentaire:

Enregistrer un commentaire