Centre de ressources, les pages Verbatim donnent à lire des notes, des réflexions, des rapports, des dossiers et tous autres documents.
Version imprimable
envoyer par mail
Le 16 mars 2011, la commissaire européenne Viviane Reding (*), a présenté à Bruxelles les grandes lignes de la révision prochaine de la directive du 24 octobre 1995 (1). Cette directive, qui a été conçue au début des années 1990, a été transposée en France en 2004 à la faveur d’une loi modifiant la loi « Informatique et libertés » du 6 janvier 1978. Maîtres Carine Piccio et Karim Laouafi, du Barreau de Paris et membres de l’AFDMC, livrent ici leur analyse des enjeux de cette volonté de moderniser la réglementation européenne.
Q. Maître Laouafi, la commissaire européenne souhaite un renforcement du contrôle des internautes sur leurs données personnelles. Une évolution législative en ce sens est-elle nécessaire ?
KL. Dans les dix dernières années, le nombre de foyers disposant d’une connexion internet a été multiplié par cinq. En 2010, 64 % des ménages sont connectés à internet, contre 56 % en 2008 pour 12 % en 2000 (2). Cette démocratisation d’internet s’accompagne d’une évolution vers un espace collaboratif de création et de diffusion de l’information, que l’on connaît sous le nom de web 2.0. Blogs, forums de discussion, réseaux sociaux… l’internaute est aujourd’hui un véritable acteur sur la toile.
Lorsque la directive est adoptée en 1995, le web n’en est qu’à ses balbutiements. L’esprit du texte est d’encadrer la collecte des données personnelles par les entreprises commerciales.
L’interactivité du web et les nouveaux comportements imposent de redéfinir les lignes de front entre l’utilisation de données personnelles des internautes et leur contrôle.
La commissaire Reding rappelle qu’une entreprise américaine comme Facebook, qui gère dans le monde entier les données personnelles de millions d’internautes, pose avec acuité la nécessité de leur contrôle sur ces données. La refonte de la directive de 1995 est manifestement nécessaire.
Q. Quels sont les grands changements souhaités par Madame Reding ?
KL. La commissaire souhaite garantir aux particuliers un véritable « droit à l’oubli » qui leur permettrait de retirer leur consentement sans avoir à justifier d’un quelconque motif. Il appartiendrait alors aux responsables de traitement de données personnelles « de prouver qu’ils en ont besoin ».
Les internautes devraient également être informés de manière « intelligible et simple » sur la nature des données collectées, la finalité de la collecte et les recours à leur disposition.
L’Union européenne souhaite que les paramètres de confidentialité soient configurés restrictivement par défaut dès la collecte des données. Rappelons qu’à l’heure actuelle le paramétrage de confidentialité d’un réseau comme Facebook fonctionne sur un mode contraire : dès la création du profil de l’internaute, ses données personnelles sont accessibles à tous, sauf configuration contraire de sa part.
Madame Reding définit comme dernière grande orientation la nécessaire application de la législation européenne indépendamment de la localisation du responsable de traitement, dès lors que les internautes européens en sont la cible.
De nouvelles questions et de nouveaux enjeux existent, à tel point que parallèlement à la réflexion européenne, on peut noter que le 16 mars dernier l’administration Obama a réclamé du Congrès qu’il légifère en vue de renforcer la protection des droits des personnes sur leurs données personnelles. Cette idée trouve précisément un écho au Congrès des Etats-Unis, comme en témoigne la proposition de loi inter-partis présentée le 12 avril dernier par les sénateurs Kerry et Mc Cain, visant à créer une charte du droit à la confidentialité des internautes (3).
Q. Maître Piccio, votre analyse vous porte à considérer que l’un des enjeux des évolutions juridiques contemporaines est le décloisonnement de la protection du droit au respect de la vie privée et du droit à la protection des données personnelles. Voulez-vous préciser votre pensée ?
CP. Dans le contexte français tout au moins, le champ du droit au respect de la vie privée au sens du code civil ou du code pénal ne se confond pas avec celui de la protection des données personnelles au sens de la loi Informatique et libertés, dans son application par la CNIL ou par les juridictions judiciaires. Plus généralement, toute personne est fondée à s’opposer à la divulgation sans son autorisation d’éléments relevant de « l’intimité » de sa vie privée. Or les normes européennes relatives à la protection des données à caractère personnel s’appliquent à des informations ou données qui, en France, ne relèvent pas traditionnellement de « l’intimité de la vie privée ».
L’évolution des pratiques virtuelles brouille la dichotomie. D’ailleurs, les juristes soulignent la montée en puissance de la loi Informatique et libertés dans le contentieux de la vie privée.
Q. Vous suggérez au fond que le droit à la vie privée et la protection des données personnelles, qui ont durablement participé de deux régimes autonomes, convergent désormais. Quelles illustrations pouvez-vous donner de cette convergence ?
CP. L’affaire Note2be.com a ouvert la voie. Note2be.com est un site internet qui offre aux élèves la possibilité de noter leurs enseignants. Son lancement provoqua leur colère et celles de leurs syndicats qui saisirent le juge des référés pour atteinte à leur vie privée et traitement illicite de données personnelles afin d’obtenir la fermeture du site. Le 3 mars 2008, le juge a ordonné la suspension de la collecte et du traitement des données nominatives (nom et prénom des professeurs), obligeant la suspension du site, mais retenu que « la possibilité de rattacher l’identité d’une personne au lieu d’exercice de son activité professionnelle ne pouvait s’assimiler à une atteinte à la vie privée » (4).
Plus récemment, il y a eu les cas d’une ancienne actrice de X qui a reproché à Google.Inc l’indexation sur son moteur de recherche français de liens hypertextes renvoyant à Plus récemment, il y a eu les cas d’une ancienne actrice de X qui a reproché à Google.Inc l’indexation sur son moteur de recherche français de liens hypertextes renvoyant à d’anciennes vidéos d’elle. Le 10 octobre 2008, le président du tribunal de grande instance de Montpellier a jugé que l’atteinte à la vie privée était caractérisée et retenu, sur le fondement de la loi de 1978 qu’il incombe au responsable de traitement « d’aménager la possibilité d’un retrait a posteriori des données à caractère personnel en permettant la désindexation des pages à la demande de la personne concernée par ces données en application de l’article 38 alinéa 1er de la loi précitée » (5).
Q. Ne peut-on pas vous objecter que ces décisions sont ponctuelles et déterminées spécialement par les circonstances des espèces ?
CP. Il s’agit vraisemblablement d’une tendance profonde. On en veut pour preuve la condamnation par la CNIL du service de Google, Google Street View, à une amende de 100 000 euros et à la publication de la délibération. Depuis plusieurs années, Google offre aux internautes un service de géolocalisation (vues panoramiques de rues). La commission découvre que Google capte et enregistre non seulement des photographies, mais collecte massivement toutes sortes de données personnelles pouvant relever de la vie privée, transitant par les réseaux Wi-Fi de particuliers à l’insu des intéressés. Google change son système, mais ne renonce pas à la géolocalisation provoquant ainsi la sanction de la CNIL. Or il est remarquable que les difficultés soulevées dans certains Etats membres par ce type de services n’aient pas échappé à la commissaire Viviane Reding.
Propos recueillis le 22 avril 2011.
Date de publication : 23 avril 2011.
Pour citer cet article : http://www.droit-medias-culture.com...
Notes
(*) Vice-président et commissaire européen chargé de la Justice, des Droits fondamentaux et de la Citoyenneté
(1) Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (95/46/CE) (Ndr)
(2) INSEE PREMIERE n°1340, mars 2011 (Ndr).
(3) http://www.droit-medias-culture.com...
(4) TGI Paris, ord. réf., 3 mars 2008, RG 08/51650 ; confirmé par CA Paris, 25 juin 2008, Legipresse 2008, n° 254-III (Ndr).
(5) TGI Montpellier, ord.réf., 10 octobre 2008, legalis.net (Ndr).
(6) Commission nationale de l’informatique et des libertés (formation restreinte), 17 mars 2011 – Google.Inc (Ndr).
