Nouveau livre d'Olivier Iteanu : "Quand le Digital défie l’Etat de droit"

Dans son nouveau livre « Quand le Digital défie l’Etat de droit » (Ed ; Eyrolles), Olivier Iteanu, Avocat, bouscule les idées reçues sur nos Droits et Libertés sur Internet. Vie privée, liberté d’expression ou encore données personnelles, toutes les problématiques au cœur de notre quotidien sont remises en cause à l’ère du numérique.
Derrière ces grands principes, garants de notre démocratie, se livre un réel combat entre deux visions opposées : celle de l’Europe, et celle des Etats-Unis.
L’Europe est particulièrement perméable au numérique « made in usa ». Ca n’est pas le cas partout. Par exemple, ça n’est pas le cas en Chine, en Russie, ni en Corée du Sud. Avec une majorité d’acteurs américains et cette situation quasi monopolistiques en Europe, l’auteur révèle les difficultés d’imposer une vision strictement européenne sur le vieux continent. Extraits :

Les États-Unis, un grenier à données personnelles de l’Europe illégal ?

Les grandes plateformes de l’internet occupent une position stratégique sur le réseau des réseaux en Europe. Cette position leur permet de capter de nombreux flux qui passent en ligne, de les analyser, avant de les monétiser. Benjamin Loveluck a baptisé ce système, l’économie de la captation(1). Google est le roi des rois en la matière. Mais Facebook n’est pas loin, ainsi que des plateformes plus verticales comme TripAdvisor et, dernièrement Uber et Airbnb, pour ne citer que quelques-unes d’entre elles.

Les trois mamelles de la Silicon Valley

La collecte de données est automatique et par défaut sur les réseaux numériques, Web, smartphones et tablettes.

Elle passe par les cookies, ces petits fichiers textes qui enregistrent la navigation de l’internaute. Ce sont aussi les signaux de localisation des smartphones, l’IP tracking, les adresses IP collectées et engrangées, l’historique de navigation, la langue du logiciel de navigation, etc.

Avec le cloud computing, les choses ne s’arrangent pas de ce point de vue. Ce service consiste à externaliser le stockage de ses propres données chez un tiers professionnel, Les trois principales offres de cloud public en France sont Amazon avec son service Amazon Web Services, Microsoft avec son offre Azur, et Google encore, soit trois grands groupes de la côte ouest des États-Unis.

Le problème de toutes ces données collectées est que la personne concernée ne sait pas qu’une telle opération est en cours. Elle sait encore moins que cette collecte aura des conséquences pour elle dans le futur. Le flot d’informations concernant son comportement va induire des environnements particuliers qui vont lui être proposés dans le futur par ses fournisseurs de services, des publicités ciblées, contextuelles ou comportementales, des offres particulières et parfois des prix différents, de la part des e-marchands. Benjamin Loveluck parle ainsi « d’un enfermement de l’individu dans les catégories ainsi bâties »(2).

Or si ces données ont été qualifiées de « pétrole du Web » pour constituer un marché appelé Big Data, c’est que leur collecte et leur exploitation sont à la base du modèle économique mis en place par les géants du Net. L’objectif est soit d’offrir à « celui qui passe », d’autres biens ou services pour accroître ainsi ses gains, soit de monétiser les données collectées, c’est-à-dire de les vendre à des tiers, éventuellement à d’autres plateformes.

Facebook compte ainsi deux grandes sources de revenus(3). La première est tirée des informations collectées sur ses utilisateurs. Ces données de première main sont d’une grande utilité aux publicitaires et aux marchands, et l’éditeur de service ne se prive pas de les leur vendre. La seconde est constituée des discussions et des échanges qui prennent place sur le réseau social. Les marques sont avides de connaître ce que les consommateurs disent d’elles, pour agir ou réagir. Parfois même, elles sont prêtes à payer pour susciter la conversation.

On pourrait reprendre tous les business models de toutes ces grandes sociétés pour s’apercevoir que la collecte de nos données se trouve bien au cœur de leur réussite.

Le lien, le clic et le like sont les trois mamelles de la Silicon Valley.

Or, ces données ont un statut juridique à part dans l’UE. Ce sont des données à caractère personnel, c’est à dire des données susceptibles d’identifier, directement ou indirectement, une personne physique. Le spectre est large. Cela va du nom patronymique(4) jusqu’au numéro de plaque minéralogique d’un véhicule, en passant par l’adresse IP(5). La manipulation des données à caractère personnel (la collecte et sa finalité, son traitement, la combinaison, la conservation, l’export hors UE etc. …) est régie en France par la célèbre loi Informatique et libertés du 6 janvier 1978 qui a institué la CNIL, le gendarme des données personnelles.

Toutes les obligations de celui qu’on appelait aux origines de la Loi, le ficheur, désormais le responsable de traitement, sont impératives. Le Code pénal renferme ainsi une section spéciale réservée aux obligations du responsable de traitement(6).

Par exemple, si celui-ci ne déclare pas ses traitements à la CNIL, l’article 226-16 du Code pénal prévoit une infraction pénale sanctionnée des peines maximales de cinq ans d'emprisonnement et de 300 000 euros d'amende.

La régulation des données personnelles connaît même une double peine possible, car la CNIL elle-même dispose depuis 2004, un pouvoir de sanction pour non-conformité. Ce pouvoir de sanction et éventuellement précédé d’un pouvoir de contrôle sur place qu’elle use tous les ans par 400 à 500 contrôles dans des organisations, outre un contrôle un ligne, est aujourd’hui faible d’un point de vue financier, puisque limité à 150.000 euros et 300.000 euros en cas de réitération. Mais la CNIL joue surtout la communication car, à la différence des tribunaux, elle publie ses sanctions sur son site Web et le site officiel Legifrance, lesquelles sont reprises, commentées. En outre, le nouveau Règlement communautaire, le RGPD, va faire exploser le pouvoir de sanction conféré aux autorités de contrôles de l’UE, la CNIL en France, lequel pourra désormais s’élever à 4% du chiffre d’affaires annuel et mondial du contrevenant.

 

(1) Réseaux, libertés et contrôle, une généalogie politique d’Internet, op. cit.
(2) Ibid., p. 250.
(3) Levard, P., Soulas, D., Facebook : mes amis, mes amours, des emmerdes ! La vérité sur les réseaux sociaux, Michalon, 2010.
(4) Il ne faut cependant jamais oublier que c’est le contexte qui fait la donnée à caractère personnel, puisque sa finalité est l’identification d’une personne physique. Ainsi, le Président du TGI de Paris a-t-il pu juger que le nom patronymique n’était pas une donnée à caractère personnel dans le cas d’un site de généalogie qui vendait l’histoire dudit nom. Un individu se plaignait que le site vende l’histoire du nom qu’il portait. Il se prévalait de ce que c’était une donnée à caractère personnel exploitée commercialement sans son consentement préalable. Le juge lui a refusé la qualification dans ce cas, considérant qu’il n’était pas personnellement visé. TGI de Paris, ordonnance du 22 septembre 2008, http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=2428
(5) La Cour d’appel de Paris a d’abord considéré que l’adresse IP était une simple suite de chiffres et pas une donnée à caractère personnel, ce qui a surpris les observateurs aguerris (CA Paris, 15 mai 2007, 13e chambre, Section A, Henri S./HCPP). Cette jurisprudence a été ensuite contredite par un arrêt de la CJUE du 29 janvier 2008, qui fait logiquement de l’adresse IP une potentielle donnée à caractère personnel (CJUE 29 janvier 2008, Promusicae/Telefonica de Espana SAU, C 275/06).
(6) Livre II des crimes et délits contre les personnes, Titre II des atteintes à la personne humaine, Chapitre 6 des atteintes à la personnalité, Section 5 des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.

 

 


< Revenir à la newsletter

 

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.