AEDH

« 10 ans de protection des données personnelles » – Conférence du 27 janvier 2016

This post is also available in: enEnglish (Anglais)

Depuis 10 ans, le Conseil de l’Europe a institué le 28 janvier comme Journée internationale de la protection des données personnelles. A cette occasion, l’AEDH a organisé (avec un jour d’avance) une conférence au Parlement européen afin de revenir sur les principes, standards et défis relatifs à ce droit fondamental.

Lien vers le programme

Dans son discours introductif, Marie-Christine Vergiat députée de la GUE/NGL qui a permis que cet évènement se tienne au Parlement européen est notamment revenue brièvement sur deux points relatifs au contexte sécuritaire actuel : si les citoyens ont droit à la sécurité, c’est le droit à la sûreté (être protégé face à la raison d’État) qui doit être garanti ; elle déplore que la directive PNR européen attentatoire aux libertés soit votée prochainement du fait de très fortes pressions de la part des États membres.


Retour sur les textes et la jurisprudence européens de la dernière décennie.

Peter Hustinx, (Ancien Contrôleur européen de la protection des données) a rappelé les quatre phases de développement du droit à la protection des données :

  • 1970-80, création de ce droit par le Conseil de l’Europe avec la Convention 108 qui vise aussi bien le secteur privé que le secteur public.
  • Années 90, la directive 95/46/CE de l’UE a créé un système complexe de contrepoids ("check and balance").
  • Le droit à la vie privée et le droit à la protection des données ont ensuite été « constitutionnalisés » via la Charte des droits fondamentaux de l’UE
  • La révision actuelle de la Directive 95 a pour objectif de renforcer l’efficacité de la protection des données dans la pratique, notamment avec la future directive relative au contexte pénal.

Il a tenu à souligner la différence entre droit à la vie privée (droit de défense qu’on évoque en cas de violation) et droit à la protection des données personnelles (droit positif à être protégé).

Il a enfin commenté quelques décisions importantes de la Cour de Justice de l’UE :

  • L’invalidation de la « Directive 2006/24/CE sur la conservation des données » pour la première fois la CJUE a invalidé un texte en raison de non-respect de la Charte des droits fondamentaux.
  •   « L’arrêt Google » qui oblige les moteurs de recherche à faire droit au déréférencement (dit « droit à l’oubli »), pour les personnes qui présentent des demandes motivées.
  •  « L’arrêt Max Schrems » qui invalide le Safe Harbor. Le jugement ici ne porte pas sur la qualité du droit américain ni sur la qualité de la décision Safe Harbor mais sur la notion de "protection adéquate" qui doit répondre à certains critères.

P. Hustinx considère que les arrêts récents de la CJUE sont prometteurs, de bon augure pour la jurisprudence à venir et pour l’arrêt attendu sur l’accord PNR avec le Canada.

Cécile de Terwangne, (Professeure à l’Université de Namur) est intervenue sur la modernisation en cours de la Convention 108. Son statut de convention internationale, l’oblige à garder un caractère général et les principes généraux définis en 1981 qui se sont montrés pertinents doivent être simplement ajustés. Par exemple, dans le préambule de la Convention, il sera question de la dignité humaine (notion importante avec l’utilisation des mégadonnées ou Big data). Le rapport explicatif précisera pour la définition de "données personnelles" qu’"identifiable" doit être compris comme se référant à la capacité à individualiser une personne et non pas à obtenir son identité au sens de l’état civil, le principe de proportionnalité sera maintenu de même que le droit de ne pas être soumis à une décision prise seulement du fait d’un traitement automatisé.

Sur la jurisprudence, si ce sont les affaires Z. c. Finlande et S. et Marper c. Royaume-Uni qui ont permis de faire le lien entre le droit à la vie privée et la protection des données, la Cour s’est montrée généralement assez créative sur le sujet et a réussi à définir des grands principes de la protection des données en se basant exclusivement sur l’article 8 de la Convention qui ne consacre pourtant que le droit à la vie privée. Ont été ainsi définis les principes :

  • de loyauté de la collecte et de l’ensemble du traitement ;
  • de finalité (les finalités doivent être déterminées et légitimes) ;
  • de qualité des données (données pertinentes et non excessives, conservées pendant une durée n’excédant pas celle nécessaire aux finalités) ;
  • de régime plus protecteur pour les données sensibles. Celles-ci peuvent l’être du fait de leur nature ou de leur usage (par exemple si une donnée biométrique est utilisée pour identifier quelqu’un de façon unique ou non).

 

Place de la société civile dans la lutte pour la protection des données personnelles

Selon Jérémie Zimmermann (Cofondateur de La Quadrature du Net, France) on est dans « l’ère Bullrun » (du nom d’un programme secret de la NSA) et tous nos messages sont surveillés. La société civile étant incapable de s’organiser en utilisant les technologies, il propose de répondre à ce problème en :

  •  parlant d’intimité plutôt que de vie privée, notion vague qui fait référence à des concepts et textes légaux complexes alors que l’intimité toucherait plus facilement la population et permettrait de faire références à des situations concrètes ;
  • sensibilisant aux enjeux sociétaux des outils technologiques. C’est en utilisant seulement des outils libres, décentralisés et chiffrés de bout-en-bout qu’on reprendra le contrôle de nos « machines » et qu’on pourra ainsi protéger nos données et communications.

Il ne s’agit pas d’abandonner l’idée d’influencer les décisions politiques et législatives mais de redonner une priorité aux aspects technologiques qui, eux, ne sont pas liés à des accords politiques ou des problèmes de délais. Ce combat sera-t-il soutenu par les entreprises et les décideurs politiques ?

Pour Katarzyna Szymeliewicz, (Avocate et Présidente de la Fondation polonaise Panoptykon dont le combat contre ACTA a été déterminant) la lutte contre la surveillance de masse ne peut être gagnée à Bruxelles puisque l’UE n’a pas compétence pour traiter les questions relatives à la sécurité nationale.

Comparant la lutte contre ACTA à celle contre la surveillance de masse, elle rappelle qu’il s’agissait de combattre un projet alors qu’aujourd’hui, la surveillance existe déjà et il s’agit de la « réformer ». Contre ACTA c’est une population qui craignait de perdre les "photos de chats ou téléchargements gratuits"…qui s’est mobilisée. L’utilisation de tels enjeux dans la lutte contre la surveillance n’est pas possible. Il faudrait donc construire un « récit » pour expliquer à la population les impacts négatifs de la surveillance sur leur vie, difficulté supplémentaire : il s’agit aussi de lutter contre le sentiment de peur qui parcours la société.

Max Schrems (Juriste autrichien militant pour le droit à la vie privée -contre Facebook- fondateur de europe-v-facebook.org) est d’accord sur un discours qui attire les gens. Il prend son propre exemple où il considère qu’il a pu être soutenu par la population du fait de la comparaison avec le mythe de David contre Goliath.

Il a mis l’accent sur trois points :

  •  La nécessité d’une analyse comparative de la protection des données entre l’UE et les USA ;
  • L’importance de permettre les actions collectives (collective enforcement) car défendre ses droits devant les Cours de justice est compliqué pour les citoyens européens ;
  • Les problèmes de l’égalité devant la loi, posés par les monopoles ou les entreprises "too big to shut down". Par ailleurs cela peut-être un des leviers d’action pour l’UE et notamment pour la Commission.

 

Les défis en cours et à venir

Pour Bernard Benhamou (Secrétaire général de l’Institut de la Souveraineté Numérique France), il semble que le problème principal soit celui de la confiance des utilisateurs d’internet. Or, selon lui, le risque majeur qui pèse actuellement sur cette confiance qu’on a en internet vient des programmes de surveillance que les États mettent en place. Faute d’un système qui pousserait les États à s’auto-restreindre dans l’usage des technologies et à limiter le rôle des services de renseignement aux seules questions de sécurité, Bernard Benhamou préconise la rédaction d’accords internationaux ou, au moins, transatlantiques.

Marc Rees (rédacteur en chef de NextInpact, France) a dénoncé les dérives de la loi sur le renseignement et sur la surveillance internationale votée en France en 2015. Il considère qu’avec la loi renseignement on est passé d’une aspiration des données sur demande ciblée à une aspiration de toutes les données. Cela passe par les fameuses "boîtes noires" qui sont des dispositifs algorithmiques analysant l’ensemble des métadonnées (même celles de personnes ayant des professions protégées) pour repérer des comportements "déviants" de la « norme ». C’est donc la mise en application du Big Data pour des techniques de surveillance. La loi sur la surveillance des communications internationales a des finalités extrêmement larges, donnant une liberté quasi-absolue aux services de renseignement qui ne sont pas, dans ce cadre, soumis au contrôle de la Commission nationale de contrôle. Cette loi n’est censée s’appliquer qu’aux communications émises ou reçues de l’étranger mais, dans le monde actuel, c’est quasiment toute communication qui répond à ces critères.

Pour Joe McNamee (Directeur exécutif de European Digital Rights -EDRi) les Big Data : sont un moyen d’apprendre sur une personne via des données concernant d’abord d’autres personnes. Pour lui, le Big Data pose divers problèmes : C’est une mémoire numérique extraordinaire qui permet à ceux qui l’exploite d’enquêter sur le passé et d’en savoir plus sur nous-même que nos proches ou nous-même. La tentation est alors de rentrer dans « la norme », pour répondre au modèle statistique et ne pas paraître comme "déviant". Le risque est celui de la création d’une société figée.

Il est aussi revenu sur la question des monopoles et donc de l’influence que ces entreprises peuvent avoir sur notre société. Il a pris l’exemple de Facebook qui a mis en place il y a peu un système encourageant les abonnés à aller voter. Que se passerait-il si les seuls membres du réseau social vivant dans des régions à la même couleur politique étaient encouragés à aller voter ?

 

Conclusion

Maryse Artiguelong a regretté que les députés européens n’aient pas été plus nombreux alors qu’un des objectifs de la conférence était de les sensibiliser à la protection des données personnelles et aux textes qu’ils doivent voter pour garantir cette protection. Elle a aussi appelé aux partenariats entre l’AEDH et les associations ou réseaux européens travaillant dans ce domaine afin de porter un discours plus fort auprès des citoyens européens et de leurs députés.

Lire le compte-rendu sous format PDF

Compte AEDH