Pour un droit à l’oubli numérique

Nous l’avions annoncé dans notre billet du 12 novembre 2009, voici le compte rendu de l’atelier organisé ce jour-là par Nathalie Kosciusko-Morizet, Secrétaire d’Etat chargée de la prospective et du développement de l’économie numérique. A paraître dans la revue Documentaliste

Présenter la multiplicité des approches à envisager (technique, juridique, pédagogique,sociologique, économique) et souligner l’articulation nécessaire avec la liberté d’expression et le devoir de mémoire, tel était l’objectif de cet atelier. Mais le point essentiel aura été l’accent mis sur l’épineuse question de la loi applicable et la nécessité de porter la réflexion et les solutions au niveau international.

Un complément à d’autres initiatives

Le contexte était particulièrement riche puisque deux sénateurs venaient de déposer une proposition de loi, le Forum des droits sur l’internet de communiquer une recommandation sur les publicités ciblées, quatre-vingt autorités chargées de la protection des données personnelles dans le monde d’adopter des principes sur la protection des données lors d’une conférence internationale à Madrid, et que le G29, groupement de CNIL des pays de l’Union européenne, et le Conseil de l’Europe venaient tous deux de publier des textes sur les règles applicables aux réseaux sociaux.

La CNIL  veille

Le droit à l’oubli, lié à la liberté d’expression et d’aller et venir, devrait être une liberté fondamentale reconnue constitutionnellement. Mais préserver un droit à « l’anonymat et à la solitude », élément indispensable de toute démocratie devient une gageure lorsque les citoyens confondent non-culpabilité et besoin d’intimité, et sont inconscients des dangers. La CNIL, qui peine aujourd’hui à alerter le public et les politiques sur les dérives potentielles des nanotechnologies, entend utiliser tous les outils mis à sa disposition pour faire respecter les droits des citoyens. Les correspondants informatiques et libertés (CIL), fonction créée depuis la révision de loi informatique et libertés en 2004, système à mi-chemin  entre l’autorégulation et la structure publique, semble particulièrement adaptée à un contexte français.

Un droit déjà applicable

L’appréhension large de la notion de données personnelles de la loi Informatique et libertés de 1978, a été élargie par la CNIL à l’adresse IP et aux cookies. Parmi les principes à respecter : le consentement explicite de l’internaute ; un recueil des données et une durée de conservation appropriés aux finalités poursuivies ; des informations sur le responsable du traitement ; un droit d’accès aux informations, de rectification lorsque les données sont périmées, équivoques, inexactes, et d’opposition pour des motifs légitimes ; une protection renforcée pour les données sensibles et des durées de conservation imposées aux acteurs de l’internet pour coopérer dans un cadre judiciaire.

Mais l’anonymat sur Internet est illusoire, comme l’indique la jurisprudence, lorsque par recoupement on peut identifier l’internaute et lorsque les fusions de grands groupes se traduisent par la fusion des fichiers. L’échec d’une action judiciaire met ainsi en exergue les difficultés à exercer un droit à l’oubli reconnu par le droit français, puisque le juge français lui-même avait écarté l’application de la loi française. Plutôt que d’ajouter de nouvelles lois à un arsenal déjà bien fourni, il conviendrait de porter ses efforts pour que les principes européens soient appliqués à des sites étrangers lorsqu’ils s’adressent manifestement aussi à des Européens.

Le point de vue des « praticiens »

Google, pour qui données personnelles se traduit aussi par innovation, résume sa politique en trois mots-clés. « Transparence » avec Google Dash Board, un nouveau service qui fait apparaître sur une seule page toutes les données personnelles de ses comptes sur les services de Google, « autodétermination » puisqu’il appartient à l’internaute de décider ce qu’il veut que l’on oublie et non à un tiers de le lui imposer, et « pédagogie », illustrée par une charte d’utilisation transformée en une vidéo sur YouTube pour être plus explicite.

Veiller à assurer la confidentialité des données stockées dès la conception du produit, c’est ce sur quoi  Microsoft met l’accent. Ceci peut se traduire par l’anonymisation des adresses IP, le cryptage des données, des dates de péremption gérées par des RMS (right management services). C’est aussi pouvoir dissocier lors du stockage les données d’identification des données personnelles. Personnaliser sans identifier, c’est ce que permettent les « Privacy-Enhancing Technologies » (PETs) qui encadrent et réduisent au maximum la collecte des données à caractère personnel.

Le paradigme est différent lorsque l’on passe du modèle de mass média (télé, presse) à l’internet où la publicité ciblée s’impose. C’est que souligne l’Union française du marketing directe qui rappelle que les données personnelles représentent un enjeu, un modèle de financement qui fait vivre le web. Pour éviter les dérives, des « bonnes pratiques » ont été instituées. Parmi les mesures préconisées : informer les internautes de leurs droits, séparer techniquement les données sociodémographiques des données comportementales, labelliser les sites qui respectent les règles de conservation.

Le succès des pages jaunes est fondé sur la publicité liée aux recherches faites par l’internaute, mais sans recours à des cookies de ciblage comportemental, ce qui est rendu possible par le modèle économique fondé sur la proximité. Mais pour accéder à de nouvelles fonctionnalités et répondre à d’autres besoins, les internautes seront invités à créer des comptes qui pourront les géolocaliser. Si les règles annoncées répondent tout simplement aux obligations de la loi Informatique et libertés,  la garantie en est donnée par le label Proxima.

Facebook rappelle à ses clients que leurs données leur appartiennent et qu’ils peuvent choisir de ne pas les rendre accessibles ou de les supprimer définitivement. Il semble néanmoins que les  différences entre ces deux options soient encore mal perçues et que si Facebook accepte d’interagir sur ce qu’il contrôle, c’est uniquement s’il n’y a pas d’implication sur son activité.

Skyblog qui assume sa responsabilité d’hébergeur, a adopté une charte européenne avec plusieurs autres gestionnaires de réseaux sociaux. Les responsables de cette plate-forme, très utilisées par les jeunes générations, affirment faire « leurs meilleurs efforts » pour améliorer l’information donnée aux internautes, responsabiliser leurs utilisateurs qui disposent d’un contrôle sur les éléments de leur vie privée par des outils techniques simples.

Quant aux cabinets de recrutement, gros utilisateurs de réseaux sociaux, ils disposent de chartes d’usages. Ces chartes soulignent la nécessité de dissocier compétence et vie privée lors de la collecte des données et rappellent les règles imposées par la CNIL.

Des équilibres à respecter

La gageure consiste à définir des équilibres entre innovation et dangers, entre libertés individuelles et règles générales, entre les divers modèles économiques et techniques des opérateurs, entre responsabilité et liberté d’information, innovation et confiance dans internet. Mais si l’internet n’est pas stabilisé et que la loi n’intervient qu’en cas de désaccord entre les opérateurs, il convient toutefois de ne pas attendre trop longtemps. Donner une valeur juridique aux principes adoptés lors de la Conférence internationale de Madrid, adopter les propositions de loi sur la question, et insérer dans la Constitution un droit à l’oubli seraient donc des signes forts pour le droit au respect de la vie privée.

Les développements récents soulignent les déficits des contours du droit à l’oubli et qu’il faille tenir compte de la multipersonnalité, des avatars, des morts virtuelles, de la dignité numérique. Que l’on soit, par ailleurs, « le seul archiviste de son passé », certes, mais  sous réserve du devoir de mémoire, qui doit « laisser l’histoire se dérouler » et respecter un autre droit, la liberté d’expression.

Des  solutions techniques

Si l’on dispose déjà d’une liste impressionnante d’outils, ils sont limités par les techniques  de désanonymisation, les failles de sécurité, les difficultés d’utilisation ou par leur impact négatif sur les usages. Si l’on doit protéger « l’obscurité », l’anonymat facilite les activités douteuses et s’oppose à d’autres paramètres de la vie sociale que sont la réputation, la visibilité. Pour équilibrer les principes de transparence et de protection de la vie privée, on peut limiter techniquement la période d’utilisation des données ou l’ampleur de l’essaimage. Mais il serait plus efficace de ne pas s’évertuer à pallier les problèmes a posteriori, et de concevoir dès le départ des objectifs de vie privée. Or, si ces moyens techniques existent déjà, les incitations à y recourir font défaut. Le droit pourrait venir à la rescousse, tout comme les systèmes de certification et labellisation projetés par la CNIL, qui, lorsqu’ils seront reconnus par les internautes, permettraient d’enclencher un cercle vertueux.

Remettre le droit à l’oubli  en perspective

Pour que l’internet reste un espace de liberté et non de répression, de transparence et non de surveillance, l’accent devrait être mis sur la formation à la maîtrise de sa vie privée sur les réseaux. Mais puisque les internautes n’ont pas pris conscience des risques qu’ils prennent, le projet de loi qui vient d’être déposé obligerait les opérateurs à fournir des données des informations claires et accessibles sur la politique adoptée en matière de données personnelles, et à faciliter aux internautes les opérations de retrait des informations les concernant. Il met l’accent aussi sur la dimension pédagogique à assurer auprès des élèves.

« Faire coïncider géolocalisation juridique et technique »

C’est la question essentielle.  Google, par exemple,  qui propose  des services destinés aux Français, relève du droit des Etats-Unis. Mais doit-il répondre aux obligations des tous les pays ? Si certains services peuvent être rattachés au pays destinataire, ce n’est pas le cas de tous, d’où la nécessité de parvenir rapidement à un accord au niveau international.

« Un work in progress »

Nous disposons de lois dont on tend à augmenter le nombre alors qu’il faudrait simplement veiller à les appliquer, d’outils dont il faudrait assurer la  promotion et l’utilisation effective ainsi que de chartes et des codes alors que des garde-fous restent encore nécessaires. Ce dossier est un « work in progress », pour reprendre l’expression de Nathalie Kosciusko-Morizet,  une construction progressive avec des principes et des valeurs à faire respecter, une veille pour réagir à tout débordement et des actions de sensibilisation à mener pour que l’on garde confiance  dans les réseaux.

One comment

  1. […] This post was mentioned on Twitter by S.I.Lex, Michèle Battisti. Michèle Battisti said: Compte rendu d'un atelier sur l'oubli numérique organisé par N. Kosciusko-Morizet le 12 novembre 2009 http://bit.ly/5UoxmT […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *