Soutenons La Quadrature du Net !

Données personnelles : ambigu sans équivoque

Paris, 16 septembre 2015 — Les principales questions en suspens du règlement européen sur la protection des données personnelles seront discutées les 16 et 17 Septembre lors de la prochaine réunion du trilogue. Les dernières propositions du Conseil visent clairement à une restriction des garanties pour les utilisateurs au profit des lobbys privés.

Le trilogue prévu les 16 et 17 septembre se concentrera sur les propositions clés du règlement sur la protection des données telles que les principes de protection (Chapitre II), les droits des utilisateurs (Chapitre III) et les règles concernant les contrôleurs et le traitement. Ce règlement est censé remplacer la directive adoptée en 1995, à un époque où Internet était moins développé qu'aujourd'hui. Internet prend une part de plus en plus grande dans nos vie, donnant la possibilité à des organisations de collecter des informations sur les sites et réseaux sociaux visités et d'avoir une connaissance très précise des vies professionnelles et individuelles, des intérêts et même de la santé des citoyens. Il est maintenant urgent de prévoir une protection claire et solide des citoyens et de leur donner la possibilité de reprendre le contrôle de leur données. Il y a un besoin clair de rééquilibrer la balance entre les citoyens et les organisations collectrices de données, en faveur des citoyens.

Le Conseil, ainsi que certains députés européens, essaient maintenant de limiter les protections établies par le Parlement européen en mars 2014. Ils aimeraient autoriser le stockage de données personnelles pour des raisons historiques, statistiques ou pour la recherche scientifique, même s'il n'y a plus de traitement de ces données. En l'absence d'une définition claire et exigeante de « historiques, statistiques, ou pour la recherche scientifique », une brèche importante pour la sécurité des données personnelles reste présente dans le texte.

De plus, certains demandent un consentement « non-ambigu » des personnes sujettes à un traitement de données. « Non-ambigu » est un terme trop vague et trop dangereux car il donnera la possibilité aux sites de collecter et de traiter des données même si le navigateur ne prévient pas l'utilisateur de la collecte et utilisation des données, ou de considérer que visiter un site est en soi un consentement non-ambigu. Ceci est complètement inacceptable, car un « consentement explicite et librement accordé en connaissance de cause » devrait être donné avant toute collecte et utilisation de données personnelles. Tout traitement de données doit être indiqué très clairement sur les sites ainsi que quelles données sont collectées, pour combien de temps, et de mentionner le droit d’accès à ces données, rectification ou effacement, ainsi que le droit de déposer une plainte.

Le règlement tel qu'il est proposé maintenant contient une énorme faille dans la notion de « intérêt légitime ». Ce concept, si laissé trop vague et indéfini, pourrait permettre aux compagnies d'avancer un argument d’intérêt légitime afin de contourner les limites imposées par le consentement obligatoire des utilisateurs. Ainsi, les données personnelles des utilisateurs pourraient être utilisées pour des fins que l'utilisateur n'a pas consenti. Par ailleurs, ça pourrait entraîner des divergences dans l’implémentation dans la législation nationale des États membres, alors que l'objectif du règlement est censé être l'harmonisation des règles.

De plus, la pseudonimisation des données n'offre pas de réelle protection, puisqu'il est assez facile de collecter des informations additionnelles qui permettent d'identifier un individu. Le Conseil, contrairement au Parlement, ouvre la porte à la collecte et au traitement de données qui sont susceptibles d'identifier les sujets de données pseudonimisées lors de la procédure de renouvellement de leur consentement à l'utilisation de leurs données. Le Parlement interdit une telle collecte ou traitement, mais le Conseil propose seulement que le contrôleur des données n'est pas obligé de le réaliser. Ainsi, cette faille pourrait très bien être une menace pour les droits des citoyens.

« Le Conseil de l'Union Européenne est activement de laisser des failles dans le texte afin de faire plaisir aux intérêts privés et de limiter les protections pour les citoyens. Il est non seulement urgent de maintenir le niveau de protection de la directive de 1995, mais aussi de combler ces lacunes dans la législation. Il est temps de retrouver la confidence des utilisateurs d'Internet et de leur donner la possibilité de revendiquer leur droit à la vie privée et aux libertés fondamentales », dit Agnès de Cornulier, coordinatrice de l'analyse juridique et politique de La Quadrature du Net.

Voir l'analyse de l'EDRi.