La CNIL, c'est la « commission nationale de l'informatique et des libertés », autorité administrative indépendante qui a pour mission de faire en sorte que l'informatisation ne porte atteinte « ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques » (loi du 6 août 2004).
Cette mission est nécessaire car l'informatisation apporte autant de risques nouveaux que de possibilités nouvelles : comme tout outil l'informatique peut indifféremment servir la barbarie ou la civilisation, le meurtre ou le bien-être.
Or la technique évolue plus vite que ne peuvent le faire nos savoir-faire, notre savoir-vivre, le droit, la compétence de l'appareil judiciaire, et ses effets peuvent être irréversibles.
Nous risquons d'aller vers une société du traçage généralisé, utilisant conjointement des techniques dont les applications se développent rapidement : « les caméras nous filment, les lecteurs biométriques nous identifient et nous reconnaissent, les dispositifs de géolocalisation nous repèrent et nous suivent, les applications Internet nous profilent, analysent nos goûts et enregistrent nos habitudes, les micros nous écoutent, l'arsenal des fichiers nationaux, européens et internationaux se déploie, le nuage numérique enveloppe la planète, l'informatique contextuelle comblera peu à peu les espaces disponibles entre nos pensées respectives, les nanotechnologies rendront les systèmes invisibles et donc innombrables et irréversibles » (p. 261).
La CNIL exerce une fonction de contrôle et elle est dotée d'un pouvoir de sanction soumis, en cas de contentieux, à la décision du Conseil d’État. Elle autorise certaines pratiques et en interdit d'autres. Elle labellise des techniques et des produits qui présentent des garanties suffisantes.
Elle doit être indépendante de toute influence extérieure : celle que pourraient avoir les organismes qu'elle doit contrôler et aussi les interventions et pressions de l'exécutif. Cette indépendance s'appuie sur un dispositif ingénieux : le président de la CNIL est élu par la commission, collège pluraliste de 17 personnes. Il se peut que cela agace au sommet de l’État où l'on est apparemment jaloux du pouvoir de nomination : ainsi la CNIL n'ait pas été invitée à l'e-G8 alors que ses thèmes la concernaient au premier chef...
Tandis que les entreprises acceptent les consignes et contrôles de la CNIL sans trop faire d'histoires, les ministères renâclent, chacun étant jaloux de son pré carré, et ils prennent parfois des positions surprenantes : ainsi le ministère de l'intérieur soutient que le visage d'une personne n'est pas une « donnée personnelle » (p. 90). La discussion du budget annuel de la CNIL est l'occasion de taquineries renouvelées et des dispositions nécessaires – obligation de la présence d'un « correspondant informatique et libertés » dans les institutions dépassant une certaine taille, mise en place de délégations interrégionales – sont ajournées sous des prétextes divers.
L'obligation de transparence, qui doit dans une démocratie s'imposer aux pouvoirs régaliens dans leur rapport avec les citoyens, est à l'inverse érigée par certains en une obligation pour le citoyen lui-même. Cela risque de conduire à une tyrannie de la transparence, Big Brother se disséminant en une multitude de Little Sisters : on prétend que celui qui n'a rien à se reprocher n'aurait rien à cacher. Ainsi ne pas être actif sur Facebook serait louche et la liberté d'expression de celui qui enfreint votre vie privée devrait l'emporter sur votre droit à l'image...
* *
Des deux côtés de l'Atlantique les points de vue diffèrent et cet écart a des conséquences importantes en raison du rôle privilégié que l'histoire a conféré aux Etats-Unis dans l'informatique et l'Internet.
Aux États-Unis la gestion de la protection des données personnelles est laissée au marché, et elle repose plus sur un calcul économique que sur un fondement juridique : la loi ne peut intervenir que lorsque le marché n'est pas parvenu à faire émerger une solution. En Europe par contre la protection des données est conçue comme un droit politique et elle s’appuie sur la législation et la réglementation : le citoyen doit avoir le droit de contrôler la collecte et l'usage de ses données personnelles.
Pour les Européens l'identité d'un individu est intangible mais sa personnalité change avec l'âge. Pour les Américains, au contraire, quelqu'un peut changer d'identité si celle-ci est « usée » (« banqueroute de réputation »), mais ils refusent le « droit à l'oubli » qui obligerait le responsable d'un traitement à ne conserver les données personnelles que pendant la durée qui correspond à la finalité pour laquelle elles ont été collectés.
Les Européens préfèrent l'« opt-in », les Américains préfèrent l' « opt-out »: dans le premier cas, l'utilisateur doit manifester explicitement son consentement à la réutilisation des données personnelles ; dans le second, il doit se manifester pour refuser.
Certaines déclarations des grands acteurs américains de l'Internet illustrent cette différence culturelle : Mark Zuckerberg, de Facebook, estime que le souci de préserver la vie privée « n'est plus la norme »; Eric Schmidt déclare que « tout ce que sait Google, les États peuvent le savoir aussi, il leur suffit de demander » et il pense que les usagers n'attendent pas de Google qu'il réponde à leurs questions, mais qu'il « leur indique ce qu'ils doivent faire » (Wired, 9 août 2009). Ces entreprises contestent l'applicabilité du droit européen aux activités qu'ils déploient en Europe : un consommateur européen qui veut se défendre contre Google ou Facebook doit s'adresser aux juridictions du comté de Santa Clara, Californie.
* *
Selon la directive européenne du 24 octobre 1995 le transfert de données personnelles vers un pays tiers à l'Union ne peut être opéré que si ce pays assure un niveau de protection adéquat : les deux critères sont l'existence d'une autorité de contrôle indépendante et d'une législation protectrice des droits des citoyens.
Les États-Unis, la Chine, le Japon, l'Inde, la Russie, la majeure partie des continents asiatique et africain ne remplissent pas ces conditions. Des mécanismes de substitution ont été imaginés pour régler le problème notamment entre l'Europe et les États-Unis, mais ils posent tous des problèmes : safe harbor, solution contractuelle, règles internes d'entreprise :
1) safe harbor : c'est une liste de principes auxquels les entreprises doivent adhérer auprès de la FTC. Mais celle-ci est très laxiste et n'opère aucun contrôle.
2) Contrat entre un exportateur de données et un importateur : là aussi il faudra des contrôles et ce serait très lourd (il faut un contrat par transfert).
3) Règles internes d'entreprise (Binding Corporate Rules), code de conduite qui doit être respecté par tous les salariés d'une multinationale : là encore, la différence de point de vue entre les anglo-saxons et les européens est importante.
Une occasion s'ouvre avec la révision de la directive européenne de 1995. Alex Türk pose à ce propos plusieurs questions importantes (p. 263) : « Osera-t-on réellement poser la question du contrôle des fichiers régaliens partout en Europe (il existe en France). Prendra-t-on les mesures nécessaires pour assurer l'indépendance concrète des autorités de contrôle des États membres ? Posera-t-on la question des moyens d'action et der l'autonomie du Groupe des autorités de contrôle européennes (G29) ? Les Européens auront-ils le courage de résister à la pression de certains lobbys américains, privés et publics ? Profitera-t-on de l'occasion pour résoudre les problèmes posés en matière de droit applicable sur le territoire européen ? Saisira-t-on l'occasion d'épauler le processus engagé à Madrid en faveur d'une harmonisation des règles de protection des données à l'échelon international ? »
C'est un sujet majeur et significatif de l'évolution d'une société soumise à un contexte de peur. On renonce toujours un peu plus à défendre nos libertés en échange d'une prétendue sécurité, ce mot valise qui recouvre aussi bien la tranquillité que la protection sociale ou les centrales nucléaires. Comme le politique a laissé le pouvoir à l'économique il faut bien qu'il montre encore qu'il sert à quelque chose: c'est la sécurité qu'il invoque ce qui s'accommode très bien de l'entretien d'un contexte de peur. Au nom de la démocratie on s'assoit ainsi toujours un peu plus sur l'un de ses principes fondateurs. Les questions que vous posez devraient faire réfléchir, mais il est déjà bien tard et elles n'abordent pas le fond du problème qui va au-delà me semble -t-il de la question de la protection des fichiers informatiques.
RépondreSupprimerMichel Volle insiste sur les possibilités que l'informatique donne aux "prédateurs" et sur les risques qu'elle fait courir. Mais ne devrait-on pas à l'inverse expliquer les possibilités qu'elle donne aussi pour poursuivre les faussaires ? En particulier, elle permet le développement généralisé de l'impôt direct, éventuellement négatif : un programme de réduction de la TVA compensée par une hausse de l'impôt sur le revenu et de la CSG devient possible.
RépondreSupprimer