Page 51 - RIMD_2011-1
P. 51
Revue de l’Institut du Monde et du Développement | 51
émerge par ailleurs : une négociation directe a désormais lieu entre les services
majeurs du web et leurs utilisateurs. Ces derniers ont, en cas de mécontentement,
la capacité de sanctionner un prestataire qui décevrait leurs attentes, en rendant le
litige public et en dégradant l’image de marque du service en cause. Facebook a
ainsi dû plusieurs fois céder devant la fronde de ses utilisateurs et revenir sur des
évolutions de ses conditions d’utilisation jugées intempestives. En effet, l’image
de marque constitue le principal actif des sociétés de l’économie numérique ; sa
dégradation se traduit par une fuite des clients et des annonceurs, et
mécaniquement par une baisse de rentabilité. La satisfaction des attentes des
utilisateurs, y compris dans la protection de leurs données personnelles, devient
donc une priorité pour les acteurs des nouvelles technologies. Une forme de
pouvoir démocratique apparaît dans ce dialogue direct entre les prestataires et
leurs clients, consacrant le pouvoir de pression de ces derniers.
Ces évolutions obligent à repenser le rôle de la CNIL, qui bien que régulateur de
ce secteur, n’est plus nulle part le seul interlocuteur légitime des acteurs. En
effet, la détermination des principes fondamentaux relève toujours du législateur,
et même du législateur européen ; la sanction d’un manquement peut être
prononcée par les tribunaux ; enfin la régulation de certaines activités et la
sensibilisation du public peuvent être exercées dans leur propre intérêt par une
association ou par une fédération professionnelle. Dans ces conditions, la CNIL
doit-elle se cantonner à gérer les dossiers de demande d’autorisation de
traitement ? Il s’agirait d’une régression, car si la CNIL n’est plus seule pour
réguler la protection des données personnelles, elle reste la seule à disposer à la
fois d’une expertise technique, d’une vision globale du sujet, d’un pouvoir de
sanction qui manque notamment à la corégulation, et d’une indépendance qui
écarte tout soupçon de conflit d’intérêt. Elle doit s’affirmer comme le régulateur
de référence, celui qui précise le cadre général dans lequel les autres régulateurs
vont agir de manière sectorielle.
Une approche strictement française ne peut pas non plus constituer une réponse à
un phénomène qui ne connaît pas les frontières. Une harmonisation
internationale est indispensable, au-delà du cadre européen déjà doté des
directives nécessaires. Mais une telle action est lente à mettre en œuvre. En 1999
déjà une responsable de la CNIL pouvait écrire : « il apparaît de plus en plus
urgent qu’un accord international vienne consacrer les principes de la
e
12
protection» . Ces propos restent malheureusement d’actualité : la 30
Conférence mondiale des commissaires à la protection des données et de la vie
privée a ainsi déploré en 2008 « les disparités persistantes en matière de
protection des données et de respect de la vie privée à travers le monde,
notamment du fait de l’absence de garantie dans plusieurs États » et a renouvelé
« son appel d’élaborer un instrument juridique universel contraignant en matière
13
de protection des données et à la vie privée » , appel repris en 2010 lors de la
12 M. Georges, « Internet : relevons les défis de la protection des données personnelles » in D. Bahu-
Leyser et P. Faure (dir.), Nouvelles technologies, nouvel État, Groupe des écoles des
télécommunications, La Documentation française, Paris, 1999, p. 185.
13 30 ème Conférence mondiale des commissaires à la protection des données et de la vie privée,
Résolution sur l’urgence de protéger la vie privée dans un monde sans frontière et l’élaboration
d’une proposition conjointe d’établissement de normes internationales sur la vie privée et la
protection des données personnelles, Strasbourg, 15-17 octobre 2008, pp. 3-5.
RIMD – n° 1 – 2011
émerge par ailleurs : une négociation directe a désormais lieu entre les services
majeurs du web et leurs utilisateurs. Ces derniers ont, en cas de mécontentement,
la capacité de sanctionner un prestataire qui décevrait leurs attentes, en rendant le
litige public et en dégradant l’image de marque du service en cause. Facebook a
ainsi dû plusieurs fois céder devant la fronde de ses utilisateurs et revenir sur des
évolutions de ses conditions d’utilisation jugées intempestives. En effet, l’image
de marque constitue le principal actif des sociétés de l’économie numérique ; sa
dégradation se traduit par une fuite des clients et des annonceurs, et
mécaniquement par une baisse de rentabilité. La satisfaction des attentes des
utilisateurs, y compris dans la protection de leurs données personnelles, devient
donc une priorité pour les acteurs des nouvelles technologies. Une forme de
pouvoir démocratique apparaît dans ce dialogue direct entre les prestataires et
leurs clients, consacrant le pouvoir de pression de ces derniers.
Ces évolutions obligent à repenser le rôle de la CNIL, qui bien que régulateur de
ce secteur, n’est plus nulle part le seul interlocuteur légitime des acteurs. En
effet, la détermination des principes fondamentaux relève toujours du législateur,
et même du législateur européen ; la sanction d’un manquement peut être
prononcée par les tribunaux ; enfin la régulation de certaines activités et la
sensibilisation du public peuvent être exercées dans leur propre intérêt par une
association ou par une fédération professionnelle. Dans ces conditions, la CNIL
doit-elle se cantonner à gérer les dossiers de demande d’autorisation de
traitement ? Il s’agirait d’une régression, car si la CNIL n’est plus seule pour
réguler la protection des données personnelles, elle reste la seule à disposer à la
fois d’une expertise technique, d’une vision globale du sujet, d’un pouvoir de
sanction qui manque notamment à la corégulation, et d’une indépendance qui
écarte tout soupçon de conflit d’intérêt. Elle doit s’affirmer comme le régulateur
de référence, celui qui précise le cadre général dans lequel les autres régulateurs
vont agir de manière sectorielle.
Une approche strictement française ne peut pas non plus constituer une réponse à
un phénomène qui ne connaît pas les frontières. Une harmonisation
internationale est indispensable, au-delà du cadre européen déjà doté des
directives nécessaires. Mais une telle action est lente à mettre en œuvre. En 1999
déjà une responsable de la CNIL pouvait écrire : « il apparaît de plus en plus
urgent qu’un accord international vienne consacrer les principes de la
e
12
protection» . Ces propos restent malheureusement d’actualité : la 30
Conférence mondiale des commissaires à la protection des données et de la vie
privée a ainsi déploré en 2008 « les disparités persistantes en matière de
protection des données et de respect de la vie privée à travers le monde,
notamment du fait de l’absence de garantie dans plusieurs États » et a renouvelé
« son appel d’élaborer un instrument juridique universel contraignant en matière
13
de protection des données et à la vie privée » , appel repris en 2010 lors de la
12 M. Georges, « Internet : relevons les défis de la protection des données personnelles » in D. Bahu-
Leyser et P. Faure (dir.), Nouvelles technologies, nouvel État, Groupe des écoles des
télécommunications, La Documentation française, Paris, 1999, p. 185.
13 30 ème Conférence mondiale des commissaires à la protection des données et de la vie privée,
Résolution sur l’urgence de protéger la vie privée dans un monde sans frontière et l’élaboration
d’une proposition conjointe d’établissement de normes internationales sur la vie privée et la
protection des données personnelles, Strasbourg, 15-17 octobre 2008, pp. 3-5.
RIMD – n° 1 – 2011
