« Le risque numérique et la protection des données personnelles » tel était le thème de l’audition publique à laquelle a participé Chloé Torrès. Cette audition s’est faite dans le cadre de l’étude sur « Le risque numérique : en prendre conscience pour mieux le maîtriser ? » organisée par l’Office parlementaire d’évaluation des choix scientifiques et technologiques le jeudi 21 février 2013 à l’Assemblée nationale.
« Mme Chloé Torrès, directrice de l’activité « informatique et libertés » au cabinet Alain Bensoussan, va nous exposer les avancées et les imperfections de la couverture des données privées à l’échelle internationale. »
Les données à caractère personnel, on l’a déjà dit, sont dispersées partout. Lorsqu’on ouvre un compte Facebook aujourd’hui, elles sont hébergées aux États-Unis. Ensuite, elles voyagent partout dans le monde au gré des prestations de cloud computing : un jour, elles seront hébergées sur des serveurs situés en Grande-Bretagne, le lendemain, elles se retrouveront en Inde.
Cela dit, il existe aujourd’hui un socle juridique substantiel qui permet de protéger les données à caractère personnel. Outre la loi « informatique et libertés », il y a la directive 95/46/CE sur la protection des données personnelles, et demain le règlement européen qui harmonisera le droit à la protection des données au plan européen. Il ne faut pas non plus oublier l’article 9 du code civil qui consacre le droit à la vie privée. Au-delà des frontières européennes, certains pays ont adopté des lois dans ce domaine : Singapour vient de le faire, la Nouvelle-Zélande aussi, à qui la Commission européenne a reconnu un niveau de protection des données personnelles équivalent au sien, et le texte en vigueur au Maroc est pratiquement le même que la loi française. On peut dire que le cadre « informatique et libertés » est devenu un standard mondial. Notre modèle s’impose progressivement au niveau international.
La protection des données personnelles se traduit par un droit, pour les personnes en cause, à la transparence, à l’information sur la façon dont sont utilisées les données. Et elles peuvent agir sur elles par le biais d’un droit d’accès et de suppression, bien qu’en pratique, ces droits soient souvent difficiles à mettre en œuvre.
Le vrai vide juridique, qu’il faut impérativement combler, c’est l’absence de droit de propriété. Beaucoup de plates-formes aujourd’hui revendiquent la propriété pure et simple des données à caractère personnel postées par les internautes. Dans ce domaine, l’intervention du législateur est indispensable pour créer un droit de propriété qui soit personnel, incessible et inaliénable. Il s’agit d’un enjeu majeur.
Par ailleurs, les moyens à disposition se développent. Des entreprises s’efforcent de mieux appliquer le socle juridique existant et de protéger plus efficacement les données de leurs salariés. On voit se dessiner une tendance, parmi les groupes internationaux notamment, à adopter une approche privacy by design. La dimension de protection des données personnelles et de la vie privée est intégrée dès la conception d’un projet. Les promoteurs veillent à la conformité de la nouvelle base de données avec la loi en s’assurant que l’information des personnes est garantie et que la protection des données personnelles est effective, en amont et tout au long de la vie du projet. Cette démarche, qui est au cœur du futur règlement européen, sera obligatoire dès qu’il aura été adopté.
OPECST : « Le risque numérique : en prendre conscience pour mieux le maîtriser ? »
– Audition publique : première et deuxième partie.
Première partie : La place du numérique dans la gestion de la menace stratégique
– Compte rendu n° 20.
Deuxième partie : Prémunir la société contre le risque de la dépendance numérique
– Compte rendu n° 21, p. 28.