L’Association des Services Internet Communautaires (ASIC) soutient le projet de révision de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Depuis 1995, le Web a pris une place très importante au sein de la société européenne:
– pour les citoyens, il a démocratisé l’accès à l’information, ouvert de nouvelles perspectives en termes de liberté d’expression et contribué à la préservation et à la promotion de la diversité culturelle ;
– pour les acteurs du monde économique, il est un véritable moteur de croissance. Comme l’a révélé une enquête menée en 2011 par McKinsey & Co., Internet représente 21% de la croissance du PIB sur les cinq dernières années et crée 2,6 nouveaux emplois pour chaque emploi perdu dans le secteur des médias traditionnels.
L’adaptation de la réglementation sur la protection des données à caractère personnel est donc aujourd’hui indispensable. Pour l’ASIC, l’objectif principal de la révision de la directive de 1995 est donc de concilier la protection des droits fondamentaux des Européens avec la participation d’Internet à la vie quotidienne des citoyens et à la croissance économique européenne.
Enfin, si la révision envisagée contribue à faciliter le transfert international de données à caractère personnel, leur définition, le concept de “droit à l’oubli” et le régime de responsabilité doivent être encore précisés.
I. Les améliorations proposées
La proposition de règlement apporte des améliorations significatives en matière d’harmonisation et de réduction des obstacles administratifs au transfert international de données.
Tout d’abord, la référence faite à la directive européenne sur le commerce électronique à l’article 2.3 participe d’une reconnaissance du rôle important joué par les intermédiaires en ligne et les préserve d’un régime de responsabilité qui serait mal adapté à leur rôle.
L’harmonisation du concept de “régulateur principal” (articles 3.1, 51) et la simplification des règles relatives aux transferts internationaux permettront une réduction des charges administratives, tout en maintenant une protection élevée des données à caractère personnel, sans qu’aucune exigence supplémentaire ne soit nécessairement fixée au niveau national (articles 41.1, 42 et 44.1.h, 3, 6).
L’ASIC ne peut que soutenir l’approche de principe de l’article 11 sur la transparence en matière de traitement des données. Les membres de l’Association mettent, en effet, tout en œuvre pour que leurs politiques de confidentialité soient facilement compréhensibles par leurs utilisateurs.
Par ailleurs, la création d’un droit à la portabilité des données (article 18) participera à la responsabilisation des utilisateurs, stimulera la concurrence entre les services internet et devrait encourager les différents acteurs du Net à être plus performants en termes de protection de la vie privée.
Enfin, le droit à l’oubli, détaillé aux articles 3, 4 et 17.1, est un nouveau concept fondamental, mais sur lequel l’ASIC souhaite que des travaux supplémentaires soient menés.
II. Les points à améliorer
A. Redéfinir les données à caractère personnel
1. Les faiblesses de l’approche binaire
La proposition de règlement adopte une approche binaire en répartissant chaque élément d’information selon deux catégories: les éléments “personnellement identifiables” et les éléments “non-personnellement identifiables”. Mais cette distinction ne correspond pas à la réalité d’Internet, comme l’illustre le cas des adresses IP.
De manière générale, pour identifier un utilisateur, un fournisseur de services Internet peut utiliser une adresse IP, mais un opérateur de site web n’en a pas la faculté. Un utilisateur n’aura alors, a priori, aucun intérêt à s’adresser à l’opérateur du site web pour exercer ses droits d’accès et de rectification.
Si l’opérateur devait se conformer à une telle demande, il prendrait le risque de partager des informations liées à d’autres personnes : en effet, une adresse IP ne correspond pas toujours à un seul utilisateur. Mais ceci ne signifie pas pour autant que les adresses IP sont des données anonymes. Ce sont des données “indirectement identifiables” : même si elles ne permettent pas toujours d’identifier une personne précise, elles peuvent correspondre à un groupe de personnes définissable.
Pour protéger les données, il ne faut pas qu’un opérateur de site web puisse publier la liste des adresses IP qui ont visité sa page. S’il le faisait, le responsable du traitement de ces données ne pourra pas assurer à l’utilisateur le plein exercice de ses droits tels qu’ils sont définis dans la proposition de règlement.
2. La complexité des dispositions sur le consentement
La définition approximative des “données à caractère personnel” de la proposition de règlement rend les dispositions relatives au consentement bien plus compliquées qu’elles ne devraient l’être. C’est le cas du consentement explicite par défaut, qui illustre bien le manque de proportionnalité entre l’objectif poursuivi et les contraintes juridiques proposées par le projet de révision.
Ce dernier interdit toute forme de consentement qui ne correspondrait pas à une démarche active de l’utilisateur, quelle que soit la nature des données en jeu (identifiables ou non-identifiables). Elle assimile donc les utilisations les plus sensibles de données à caractère personnel avec d’autres types d’utilisations, qui présentent moins de risque.
Cette approche consistant à traiter des situations très différentes de la même manière, ignore en réalité le comportement des utilisateurs du Web. Elle crée le risque très réel d’ébranler la confiance des utilisateurs.
Ce problème a déjà pu être observé avec les cookies. Une réglementation très prescriptive en matière de consentement impose de lourdes charges aux entreprises. Par ailleurs les méthodes de consentement retenues sont souvent ambigües dans leur application pratique et déconnectées de la réalité du comportement des utilisateurs.
3. L’encadrement trop strict du profilage
Les règles proposées sur le profilage vont bien au-delà de celles imposées en 1995. La directive visait à réduire les comportements discriminatoires ayant un impact négatif, tels que l’utilisation du profilage automatisé pour refuser un service comme une hypothèque ou une assurance.
La proposition de règlement risque, quant à elle, de dégrader la qualité des services offerts aux citoyens européens. Elle étend les restrictions de 1995 à des pratiques qui n’ont aucun effet négatif, et qui visent uniquement à rendre l’information plus pertinente et plus utile pour l’individu. En visant toutes les formes de personnalisation, quel que soit l’impact éventuel sur les utilisateurs, les nouvelles règles risquent de compromettre les efforts déployés pour le “sur-mesure”.
B. Adapter le droit à l’oubli à la réalité d’Internet
L’ASIC est favorable à la création d’un droit à l’oubli tel qu’il est envisagé dans la proposition de règlement de la Commission européenne.
Un internaute qui utilise une plate-forme d’hébergement doit avoir un contrôle entier sur les données qu’il a publiées, intentionnellement, y compris la possibilité de les supprimer. Il doit être en mesure de supprimer un billet, une photo ou une vidéo qu’il a stocké sur la plate-forme d’hébergement. Il doit également pouvoir supprimer son compte entier sur une plate-forme donnée, effaçant ainsi tous les contenus qu’il avait publiés et qui ont été stockés sur son compte.
Cependant, l’approche proposée par la Commission européenne sur le droit à l’oubli comporte deux défauts :
– Aucune distinction n’est faite à l’article 17.2 entre le rôle de l’utilisateur et celui de la plate-forme d’hébergement en ce qui concerne l’attribution des responsabilités quand des données privées ont été rendues publiques ;
– l’assimilation du traitement de deux situations différentes : l’information privée rendue publique, c’est-à-dire accessible à un nombre indéfini de personnes; ou l’information devenue accessible à des tiers spécifiques.
Si la proposition de règlement devait être appliquée en l’état, un responsable de traitement serait chargé d’informer tous les tiers susceptibles d’avoir eu accès à une information privée. Le fait que cette information aurait été rendue publique intentionnellement par la personne à qui elle se rapporte n’aurait aucune incidence.
Le respect d’un tel devoir d’information s’avérerait extrêmement difficile, voire impossible, dans la mesure où les plates-formes qui permettent aux utilisateurs de publier des données en ligne ne gardent pas, en général, une trace de toutes les personnes ayant récupéré ces données.
C’est la raison pour laquelle, selon l’ASIC, une telle responsabilité devrait incomber à l’utilisateur lui-même, lorsqu’une plate-forme lui offre une information claire et des mécanismes de contrôle.
La situation se complique lorsque les données postées n’appartiennent pas à l’utilisateur qui les a publiées. Là encore, la proposition de règlement ignore le fait que la plupart des plates-formes en ligne n’ont aucun moyen de déterminer qui l’information vise et encore moins de savoir si elle viole la vie privée d’une personne. Poussée à l’extrême, la logique de la proposition pourrait donner lieu à l’instauration d’un devoir d’identification à la charge des plates-formes d’hébergement.
En outre, le texte ne précise pas comment les définitions de “responsable du traitement”, de “sous-traitant”, de “personne concernée” et de “tiers” s’appliqueraient aux différents acteurs dans une telle situation.
C. Préciser la responsabilité des acteurs du traitement des données
La proposition de règlement reste ambigüe sur les régimes de responsabilité. Le responsable du traitement et les sous-traitants jouent des rôles différents et ont donc des responsabilités distinctes. Il est capital de clarifier la situation, surtout dans le contexte du “cloud computing”.
Le responsable du traitement détermine les finalités et les moyens mis en oeuvre pour le traitement des données. Il décide quel type d’information doit être traité, à quelles fins et comment elle doit être protégée, en tenant compte de leurs obligations, de leurs stratégies et en utilisant leur propre lecture des risques encourus.
Les sous-traitants agissent au nom du responsable, mais ne sont pas impliqués dans les décisions prises par lui pour traiter un ensemble de données. Les différentes stratégies de traitement relèvent de la seule compétence du responsable du traitement.
Un sous-traitant ne devrait donc pas être tenu responsable d’une obligation touchant à l’analyse d’impact ou à la manipulation des données, qui relèvent du responsable du traitement. En d’autres termes, toute obligation pesant sur un sous-traitant devrait être clairement liée aux activités du sous-traitant et non pas aux activités menées pour le compte d’un responsable du traitement des données.
Par ailleurs, le sous-traitant engage sa responsabilité s’il ne parvient pas à conduire le traitement des données conformément aux instructions données. Il sera donc soumis à un devoir de réparation, fondé sur ses obligations contractuelles.
Il n’y a donc aucune justification d’une responsabilité conjointe des sous-traitants et des responsables de traitement.
Enfin, obliger le sous-traitant à obtenir l’accord du responsable du traitement des données sur tous les autres sous-traitants qui, d’une manière ou d’une autre, gèrent les données, compte tenu de la large définition du “traitement des données”, est une obligation lourde et peu pratique pour le sous-traitant et qui n’apporte rien à la protection des données en elle-même.
III. Les propositions de l’ASIC
Proposition n°1 : la notion de “donnée indirectement identifiable”
Pour remédier aux faiblesses de l’approche binaire, une solution simple consisterait à définir une catégorie de données « indirectement identifiables », qui donnerait une information plus complète et plus fiable aux utilisateurs et aux organismes sur leurs droits et obligations. Le libellé de l’article 10 et du considérant 45 (« Si les données qu’il traite ne lui permettent pas d’identifier une personne physique, le responsable du traitement ne devrait pas être tenu d’obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement ») montre, en effet, qu’il conviendrait de revoir la définition elle-même pour fournir un cadre plus clair et redonner plus de confiance aux utilisateurs.
Proposition n°2 : une réglementation plus souple et le maintien des “intérêts légitimes”
Pour l’ASIC, le consentement compris comme une forme de contrôle au profit de l’utilisateur peut être exprimé de différentes manières. Cependant, imposer les moyens exacts par lesquels un responsable de traitement des données doit obtenir le consentement de l’utilisateur est une démarche injustifiée. La réglementation devrait être suffisamment souple pour permettre la création de moyens innovants par lesquels les utilisateurs gardent le contrôle sur les données qui leur sont liées. Lorsque l’utilisation des données est conforme aux standards du secteur et aux attentes de l’utilisateur, l’obtention du consentement ne devrait pas devenir un fardeau pour l’industrie et le citoyen.
L’ASIC note que le consentement n’est qu’un des nombreux processus que le règlement envisage pour le traitement légitime des données personnelles. Mais au vu du cadre législatif actuel, le consentement a été favorisé au détriment de la règle sur les « intérêts légitimes ». Jusqu’à aujourd’hui, cette règle a autorisé les responsables de traitement à gérer les données dès lors qu’ils le font pour des intérêts commerciaux légitimes et que le traitement n’affecte pas les droits fondamentaux des personnes concernées. Il faut maintenir la règle des intérêts légitimes, car elle laisse la possibilité aux organismes de traiter l’information sans recourir au consentement explicite, en améliorant la transparence et le contrôle de l’utilisateur.
Proposition n° 3 : la suppression de la responsabilité conjointe, ou la création d’une dérogation pour les relations B2B
Sur la base de l’argumentation développée plus haut, l’ASIC propose la suppression du terme “sous-traitant” dans les articles 28.1, 33.1, 34, 75 et 77 et du terme “responsable du traitement” à l’article 30.1.
Une autre possibilité consisterait à instaurer une dérogation à ces dispositions pour les relations B2B, qui seraient alors définis sur une base