Page 49 - RIMD_2011-1
P. 49
Revue de l’Institut du Monde et du Développement | 49
2. Des pistes d’amélioration à conjuguer
La situation est d’autant plus complexe qu’il faut protéger les citoyens, non
seulement contre les usages abusifs de leurs données personnelles par les
services auxquels ils les ont confiées, non seulement contre les usages
frauduleux par des pirates, mais également contre la propension des utilisateurs
eux-mêmes à divulguer excessivement des informations sur leur vie privée. Le
droit à la protection des données s’oppose ainsi, non seulement à l’intérêt des
responsables de traitement, mais aussi au droit des utilisateurs à exercer leur
liberté d’expression et à disposer librement de leurs données. Il y a conflit entre
des droits contradictoires. Le droit à la vie privée doit-il protéger les citoyens
malgré eux, et se traduire par une obligation de protection de ses propres
données personnelles ? Faut-il au contraire ériger chacun en propriétaire de ses
données, et le laisser décider de leur devenir, voire autoriser la vente par un
individu de ses propres données ? Un tel système suppose un équilibre des
contractants et une information symétrique sur la valeur des services proposés et
sur celle des données divulguées en échange. Cela n’est pas le cas en pratique : le
client qui accepte de céder ses données ne sait pas quel usage en sera fait, ni quel
profit en sera retiré. De plus, il perd tout contrôle effectif sur ses données une
fois qu’il les a communiquées. On ne peut dans ces conditions envisager de
renoncer aux principes d’ordre public contenus dans la loi Informatique et
Libertés.
La construction d’un dispositif efficace de protection des données personnelles
nécessite alors la conjugaison de différentes approches complémentaires.
Il n’est pas possible de se passer d’une loi proclamant les principes
fondamentaux à respecter, ni de sanctions pénales adaptées aux enjeux. Les
principes fondamentaux de la loi Informatique et Libertés (information,
consentement, limitation de la durée de conservation, droit d’opposition) ont
montré leur pertinence. L’approche française et européenne poursuivie depuis 30
ans a permis la définition d’une doctrine cohérente qui constitue une référence au
niveau mondial. Elle a également suscité plus récemment l’éclosion d’une
culture générale de protection des données personnelles, qui ne se limite plus aux
milieux spécialisés, et qui atteint désormais le grand public. Il n’y a donc pas lieu
de rechercher un bouleversement des principes fondamentaux, même si un
certain nombre d’améliorations ponctuelles des directives européennes et de la
loi Informatique et Libertés sont envisageables. Il reviendra aux différents
groupes de travail et commissions actuellement à l’œuvre aux niveaux français et
européen de formuler des propositions en ces sens. Il sera également possible
d’améliorer les modalités concrètes de mise en œuvre des grands principes. La
France doit procéder en 2011 à la transposition de certaines modifications de la
directive de 1995 contenues dans le « paquet télécoms » adopté fin 2009 par
l’Union européenne ; par ailleurs la Commission européenne vient de lancer un
grand chantier de révision de cette directive.
Toutefois, la solennité de la loi peut s’avérer inadaptée face à des atteintes en
perpétuelle évolution. L’approche répressive adoptée pour faire respecter les
principes fondamentaux européens de protection des données personnelles ne
peut à elle seule suffire, les victimes ne subissant pas en général un préjudice
justifiant d’entamer une procédure, et les parquets n’ayant la capacité ni de
surveiller toutes les technologies ni de poursuivre tous les contrevenants.
RIMD – n° 1 – 2011
2. Des pistes d’amélioration à conjuguer
La situation est d’autant plus complexe qu’il faut protéger les citoyens, non
seulement contre les usages abusifs de leurs données personnelles par les
services auxquels ils les ont confiées, non seulement contre les usages
frauduleux par des pirates, mais également contre la propension des utilisateurs
eux-mêmes à divulguer excessivement des informations sur leur vie privée. Le
droit à la protection des données s’oppose ainsi, non seulement à l’intérêt des
responsables de traitement, mais aussi au droit des utilisateurs à exercer leur
liberté d’expression et à disposer librement de leurs données. Il y a conflit entre
des droits contradictoires. Le droit à la vie privée doit-il protéger les citoyens
malgré eux, et se traduire par une obligation de protection de ses propres
données personnelles ? Faut-il au contraire ériger chacun en propriétaire de ses
données, et le laisser décider de leur devenir, voire autoriser la vente par un
individu de ses propres données ? Un tel système suppose un équilibre des
contractants et une information symétrique sur la valeur des services proposés et
sur celle des données divulguées en échange. Cela n’est pas le cas en pratique : le
client qui accepte de céder ses données ne sait pas quel usage en sera fait, ni quel
profit en sera retiré. De plus, il perd tout contrôle effectif sur ses données une
fois qu’il les a communiquées. On ne peut dans ces conditions envisager de
renoncer aux principes d’ordre public contenus dans la loi Informatique et
Libertés.
La construction d’un dispositif efficace de protection des données personnelles
nécessite alors la conjugaison de différentes approches complémentaires.
Il n’est pas possible de se passer d’une loi proclamant les principes
fondamentaux à respecter, ni de sanctions pénales adaptées aux enjeux. Les
principes fondamentaux de la loi Informatique et Libertés (information,
consentement, limitation de la durée de conservation, droit d’opposition) ont
montré leur pertinence. L’approche française et européenne poursuivie depuis 30
ans a permis la définition d’une doctrine cohérente qui constitue une référence au
niveau mondial. Elle a également suscité plus récemment l’éclosion d’une
culture générale de protection des données personnelles, qui ne se limite plus aux
milieux spécialisés, et qui atteint désormais le grand public. Il n’y a donc pas lieu
de rechercher un bouleversement des principes fondamentaux, même si un
certain nombre d’améliorations ponctuelles des directives européennes et de la
loi Informatique et Libertés sont envisageables. Il reviendra aux différents
groupes de travail et commissions actuellement à l’œuvre aux niveaux français et
européen de formuler des propositions en ces sens. Il sera également possible
d’améliorer les modalités concrètes de mise en œuvre des grands principes. La
France doit procéder en 2011 à la transposition de certaines modifications de la
directive de 1995 contenues dans le « paquet télécoms » adopté fin 2009 par
l’Union européenne ; par ailleurs la Commission européenne vient de lancer un
grand chantier de révision de cette directive.
Toutefois, la solennité de la loi peut s’avérer inadaptée face à des atteintes en
perpétuelle évolution. L’approche répressive adoptée pour faire respecter les
principes fondamentaux européens de protection des données personnelles ne
peut à elle seule suffire, les victimes ne subissant pas en général un préjudice
justifiant d’entamer une procédure, et les parquets n’ayant la capacité ni de
surveiller toutes les technologies ni de poursuivre tous les contrevenants.
RIMD – n° 1 – 2011
