2014 fut l’année d'une prise de conscience citoyenne sur la notion de vie privée numérique suite aux
révélations « Snowden » [1],
espérons que l’année 2015 soit l’année de la maîtrise des données à caractère
personnel (DCP) ou du moins le début de la mise en place concrète d’actions
relatives à cette maîtrise.
2015 reste une année très attendue par les juristes car elle pourrait être l’année de l’adoption du règlement européen sur la protection des données dont le projet, largement commenté, a été publié dès 2012 [2], elle sera, également, très certainement, l’année où des décisions seront prises, au niveau international et national, concernant la gouvernance de l'Internet ainsi que l’année des débats nationaux sur le projet de loi sur le numérique porté par Axelle Lemaire.
Toutefois, la maîtrise des DCP ne doit pas être le champ de bataille et la chasse gardée des seuls juristes mais également des techniciens de la sécurité des systèmes d’information (SSI) ainsi ,qu’avant tout, des citoyens.
Effectivement, la protection des DCP est également du ressort du Responsable de la sécurité des systèmes d’information (RSSI) et du Correspondant Informatique et Libertés, bientôt dénommé par le projet de règlement européen, le Délégué à la Protection des Données. Ces « techniciens » sont concernés car ils se doivent de mettre en place des mesures de sécurité adéquates organisationnelles et techniques relatives aux DCP. En effet, l’article 34 de la loi Informatique et Libertés [3] énonce que le responsable du traitement des données doit « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment d’empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Il s’agit en premier abord d’une obligation de moyens mais au regard des évolutions législatives à venir qui reflètent une sécurisation accrue à venir des DCP, cette obligation peut être légitimement considérée comme une obligation de résultat.
Autre exemple, les opérateurs
et des fournisseurs d’accès à Internet (FAI) sont soumis à une obligation de notification en cas de violation des DCP [4], obligation qui sera très certainement élargir
à tous les opérateurs avec le futur règlement européen.
Ainsi, RSSI et consorts se doivent, en premier réflexe, procéder à
la réalisation d’une analyse de risques afin d’identifier, en toute
proportionnalité, les risques et les mesures de sécurité à mettre en œuvre. En
matière de DCP, la CNIL a rédigé en 2012 sur la base de la méthodologie EBIOS [5],
le guide « Gérer les risques sur les libertés et la vie privée »[6].
Ce principe de gestion des risques est d’ailleurs repris dans le projet de
règlement européen qui fait référence au principe de « privacy impact assesment » qui imposerait, entre autres, de réaliser au
préalable une analyse d’impact sur la protection des DCP.
Ce principe est
complémentaire aux autres plus célèbres principes « privacy by design » et « accountability » [7]
qui mettent également en avant la responsabilité des entreprises à l’égard des
DCP.
Reste à convaincre et à faire changer les habitudes du
citoyen face à la maîtrise de leurs propres DCP. A titre d’exemple, une bonne
action de sensibilisation est la mise en place du signalement automatique des
cookies sur tous les sites consultés par l’internaute. En effet, pour faire respecter la disposition de l’article
32-II de la loi Informatique et Libertés qui énonce que le consentement informé
de l’utilisateur doit être recueilli, la CNIL avec l’aide des ses homologues
européens du G29 a mis en place un bandeau informant l’internaute qu’ "en
poursuivant sa navigation sur le site, il accepte l’utilisation de cookies ou autres traceurs pour lui proposer des publicités ciblées adaptés à ses centres
d’intérêts. Sinon, il a la possibilité de paramétrer ses traceurs". Cette mesure est renforcée la mise en place de contrôles généralisés par la CNIL.
Toutefois, outre cette information, il faut que l’utilisateur soit actif dans la protection de ses propres DCP. L’objectif est bien de redonner de la maîtrise au citoyen sur ses propres données [8]. Il existe actuellement une relation asymétrique et déséquilibrée entre le consommateur et le vendeur, en faveur de l'offreur de biens et de services : « si le service est gratuit, vous êtes le produit » ! Il faut donc trouver un équilibre pour également éviter une marchandisation supplémentaire des DCP. Cet équilibre réside dans
la portabilité des données à savoir que l'individu peut gérer ses propres DCP comme il l'entend, de les partager avec n'importe quel système même si ses données ne sont pas sa propriété. En effet, les données sont des biens qui ne peuvent pas être appropriés car relatifs à la personne sans en être sa propriété.
Ainsi, en 2015, le concept de vie privée est loin d’être obsolète, l’actuel débat est bien d’avoir la maîtrise de ses données en ligne, qu’elle soit publique ou privée.
Au regard de la période troublée que nous vivons suite aux
attentats terroristes de la semaine dernière, il apparaît presque de dérisoire d’adresser
désormais ses vœux pour l'année, l’auteur de ce blog tient néanmoins à
souhaiter une excellente année 2015 à ses lecteurs et tient à les remercier
sincèrement et chaleureusement pour leur fidélité et d’être de plus en plus
nombreux.
#jesuischarlie
[1] A ce
sujet, lire l’article du bloggeur Si-vis : http://si-vis.blogspot.fr/2014/01/bonne-snowden-annee-2014.html
[2]
Proposition de règlement européen sur la protection des données :
Commission européenne version du 25/01/2012 et Résolution législative du
Parlement européen du 12 mars 2014.
[5] Créée en
1995 par l’ANSSI et régulièrement mise à jour, la méthode EBIOS (Expression des
Besoins et Identification des Objectifs de Sécurité) permet d’apprécier et de
traiter les risques relatifs à la sécurité des systèmes d’information (SSI) constituant
ainsi un outil complet de gestion des risques SSI : http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils-methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite.html
[6]
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_Securite_avance_Methode.pdf
[7] A ce
sujet, lire le billet «Sécurité des
objets connectés, le juridique donne-t-il l’exemple ? » du 6 décembre
2014.
[8] 2015, année de la maîtrise des données personnelles ? Entretien avec
Isabelle Falque Pierrotin : http://rslnmag.fr/post/2014/12/29/Interview-dIsabelle-Falque-Pierrotin.aspx
Aucun commentaire:
Enregistrer un commentaire