La question de la protection de la vie privée et des données personnelles sur Internet intéresse et inquiète de plus en plus.

Une donnée à caractère personnel ou plus simplement une donnée personnelle est toute information permettant l’identification d’une personne (nom, numéro de sécurité sociale, numéro de téléphone, empreinte digitale, ADN etc.)

Les données personnelles sont protégées notamment par le droit à la vie privée (article 9 du Code civil), mais d’autres textes sont venus adapter cette protection lorsque l’informatique et l’Internet sont apparus dans nos vies, notamment la loi « informatique et libertés » de 1978 (modifiée par la loi du 6 août 2004 qui transpose une directive européenne de 1995), et la « Charte des droits fondamentaux de l’Union Européenne de 2000 ».

Traditionnellement, la protection de la vie privée et des données personnelles s’articulait autour du consentement de l’individu. Mais avec la généralisation de l’outil informatique (enregistrement et traitement informatique des données personnelles dans tous les aspects de la vie) et la digitalisation de notre société (réseaux sociaux sur Internet ; consommation de tous biens y compris culturels en ligne…), le fait de consentir à l’utilisation de ses données personnelles est devenu vide de substance.

Il est vrai que consentir à l’usage de ses données dans la vie numérique revient à perdre tout contrôle sur celles-ci puisque la technologie est telle qu’en pratique vous ne pouvez pas vous assurer réellement du chemin pris par vos données, du destinataire de celles-ci, de la durée de leur conservation, et de l’usage qui en sera fait.

Cependant, ne pas consentir à l’utilisation de ses données personnelles est quasiment impossible en pratique puisque nous sommes contraints d’utiliser Internet et l’informatique dans beaucoup d’aspects de nos vies (par exemple, la déclaration d’impôt en ligne), et que lors de ces démarches, la communication de nos données est inévitable.

Il est aujourd’hui illusoire d’espérer contrôler soi-même l’utilisation de ses données. 

Qu’en est-il dès lors du dispositif de protection de nos données personnelles dans le monde numérique ? 

Le dispositif de protection est différent entre les Etats de l’Europe et ceux du reste du monde.

  • En Europe 

Dans tous les états membres de l’Union Européenne, il existe une autorité indépendante qui veille au respect de la vie privée dans le monde numérique. En France, il s’agit de la « CNIL ».

En substance, toute personne ou société qui opère un traitement de données personnelles doit informer les personnes concernées par ce traitement :
– de l’identité du responsable de traitement
– de la finalité du traitement
– du caractère obligatoire ou facultatif des informations collectées/traitées
– des droits d’accès à ces données, de rectification, de suppression de celles-ci, et d’opposition au traitement de celles-ci.

En fonction du type de traitement des données personnelles, le responsable du traitement doit effectuer des formalités auprès de la CNIL (déclaration ou demande d’autorisation).

Le non-respect de toutes ces obligations emporte des sanctions pour le responsable du traitement (pour un aperçu des sanctions sur le site de la CNIL).

Sachez également que chaque individu à un droit au « déréférencement » de contenus le concernant sur les moteurs de recherche (également parfois mal appelé droit à « l’oubli ») si les informations ne sont pas ou plus pertinentes ou inadéquates ou excessives. Ce droit est récent et il résulte d’une décision de la Cour de Justice de l’Union Européenne (arrêt Google Spain du 13 mai 2014).

  • En dehors de l’Europe

Si nos données personnelles sont exportées en dehors de l’Europe – ce qui est fréquemment le cas car les « data centers* » peuvent être localisés partout dans le monde – alors il est nécessaire que ce pays tiers offre un niveau de protection équivalent. (*site physique sur lequel se trouvent regroupés des équipements constituants du système d’information de l’entreprise : ordinateurs, serveurs, équipements réseaux et de télécommunications, etc.)

Or, ce niveau de « protection équivalent » peut être difficile à atteindre car il existe entre les pays des différences parfois profondes, comme par exemple aux Etats-Unis où la logique est celle de la marchandisation des données personnelles alors qu’en Europe les personnes sont certes propriétaires de leurs données mais celles-ci sont inaliénables, elles ne peuvent être vendues par les individus.

Ce sujet est particulièrement d’actualité puisque le « Safe Harbor » mis en place en 2000, a été récemment invalidé (décision de la CJUE du 6 octobre 2015). Le « Safe Harbor » ce sont des principes établis entre l’Union Européenne et les Etats-Unis qui garantissaient un niveau de protection suffisant des données transférées de l’Union Européenne vers des entreprises américaines ayant adhéré à ces principes. La liste de ces entreprises figure sur le site Internet du Département du Commerce américain.

Grâce au « Safe Harbor », une entreprise française pouvait licitement transmettre des données vers les entreprises américaines adhérentes, pour y être stockées ou  traitées, et ce, sans demande d’autorisation préalable auprès de la CNIL. Une déclaration de fichier auprès de la CNIL suffisait.

Suite à l’invalidation du « Safe Harbor », il existe aujourd’hui une réelle insécurité juridique, et une solution doit être trouvée pour le mois de janvier 2016. Dans l’intervalle, les entreprises devront soit accepter de prendre des risques de sanction pour traitement illicite de données personnelles ou alors relocaliser toutes leurs données en Europe (utiliser des « data centers » en Europe).