Soutenons La Quadrature du Net !

Données personnelles

Données personnelles

(télécharger les propositions en pdf)

C'est par une directive de 1995 que l'Union européenne régit actuellement la vie privée des européens sur Internet. Elle encadre la collecte, l'exploitation et la revente de leurs données personnelles.

Chaque État Membre de l'Union européenne a transposé la directive de 1995 dans son droit national en votant de nouvelles lois. En France, cela s'est fait en 2004 par une réforme de notre loi Informatique et libertés, qui encadre depuis 1978 l'exploitation des données personnelles des citoyens français. La directive a instauré une autorité de contrôle dans chaque État, chargée d'en faire respecter les règles auprès des administrations et des entreprises. En France, c'est la CNIL (la Commission nationale de l'informatique et des libertés), qui existait déjà depuis 1978, qui se charge de ces missions. Si cette directive est une avancée certaine dans la protection des données personnelles, elle n'est pas exempte de défauts. Ainsi, l'ensemble de ses dispositions n'ont pas été transposées à l'identique d'un État membre à un autre, alors que d'autres règles n'ont pas été assez précisément définies. Il en résulte que la protection des données personnelles connaît aujourd'hui d'importantes failles.

Le nouveau Règlement en discussion depuis 2012 a pour mission de corriger un certain nombre de ces failles et d'adapter la protection des données personnelles à l'expansion de la collecte et du traitement des données à caractères personnel.

La Quadrature du Net a élaboré des propositions pour garantir aux citoyens la maîtrise et la bonne utilisation de leurs données personnelles :

Garantir le consentement éclairé de l'utilisateur

  • L'utilisateur doit consentir à l'utilisation de ses données lorsque celles-ci vont faire l'objet d'un traitement ;
  • Son consentement doit-être spécifique, informé et explicite, donné librement, d'une manière claire et affirmative, signifiant l'accord de voir ses données personnelles faire l'objet d'un traitement ;
  • Le consentement de l'utilisateur ne doit pas être détourné pour accomplir des finalités autres que celles pour lequel celui-ci avait été initialement donné.

Interdiction du profilage

Le profilage est une méthode informatisée de traitement de l’information qui a recours à des procédés de data mining sur des catalogues de données et qui permet de classer avec une certaine probabilité et donc avec un certain taux d’erreurs induit un individu dans une catégorie particulière afin de prendre des décisions individuelles à son égard.

Le catalogue de données comprend tous les messages transmis sur le Net ainsi que les sites et vidéos consultés par tous les internautes, qui sont analysés par les géants de l'Internet et par des sociétés dont le métier est de vendre de la publicité ciblée sur des profils.

L'utilisateur doit voir inscrit dans le Règlement le droit de refuser de faire l'objet du profilage et ce droit doit être concrètement applicable au quotidien.

Garantir le droit à la portabilité des données

Lorsqu'un utilisateur souhaite transférer ses données d'un service à un autre, quitter un service ou développer un autre service, il n'a actuellement pas toujours la possibilité de récupérer ses données pour les transférer.

Le droit à la portabilité des données doit être inscrit dans la loi et cette portabilité doit être effective, c'est-à-dire que les formats d'export de ces données doivent être ouverts, les services interopérables et la portabilité ne doit pas faire l'objet d'un paiement quelconque.

Clarification du concept d'intérêt légitime

La rédaction actuelle du Règlement européen sur la protection des données donne aux entreprises qui effectuent une collecte et un traitement de données à caractère personnel le droit d'aller au-delà de l'objet initial de la collecte tel que l'utilisateur l'a accepté lorsque ces entreprises ont un « intérêt légitime » à le faire.

La notion d'« intérêt légitime » ne possède pas de définition légale. Ce concept pose un problème puisqu'il permet aux entreprises et autorités publiques de procéder à un traitement des données personnelles sans le consentement de l'utilisateur, sans que le traitement soit absolument nécessaire, et sans obligations légales, si elles estiment qu'elles ont un intérêt légitime plus important que celui des personnes concernées. Il s'agit donc d'un réel contournement de la règle du consentement préalable.

L'intérêt légitime peut-être largement interprété. Ainsi, le simple fait pour un utilisateur d'être client d'une entreprise suffit à conférer à celle-ci un intérêt légitime pour procéder au traitement de données.

La Quadrature du Net propose donc de :

  • Définir et circonscrire la notion d'intérêt légitime ;
  • Ne permettre l'utilisation de l'intérêt légitime qu'en cas de dernier recours, quand aucune base légale n'existe, que son recours soit justifié et fasse l'objet d'une communication de l'entreprise ou de l'entité publique.

Limiter la « pseudonymisation des données » et promouvoir l'anonymisation.

Les données « anonymisées » sont des données à partir desquelles il n'est pas possible d'isoler et d'identifier un individu. Son anonymat est ainsi pleinement respecté. Les données « pseudonymisées » restent en revanche relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (nom, prénom, adresse...) disponible pour l'organisation collectant l'information. Il est donc extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées.

Par conséquent, la pseudonymisation n'est pas une solution suffisamment protectrice pour les utilisateurs qui peuvent être identifiés trop facilement. Elle est malheureusement trop souvent présentée par les entreprises comme suffisamment protectrice et risque d’être autorisée par le Règlement, au détriment des citoyens.

La Quadrature du Net recommande donc de :

  • Favoriser l'utilisation de données anonymisées pour une meilleure préservation de l'identité des utilisateurs, et informer ce dernier sur les « risques » d'identification avec les données pseudonymisées ;
  • Exiger le consentement des utilisateurs pour l'utilisation de tous types de données personnelles, qu'elles soient anonymisées ou seulement pseudonymisées.
Fichier attachéTaille
propositions LQDN Données personnelles.pdf115.22 Ko