Plongée dans le monde des données personnelles

Clef de voûte des modèles économiques des géants du web, la question des données personnelles, leur exploitation et leur sécurisation sont emblématiques des enjeux qui secouent Internet.

par Marie Coussin
12 min
CC BY Sebastian Sikora
CC BY Sebastian Sikora

Sommaire : 

  1. Qu’appelle-t-on les données personnelles ?
  2. Pourquoi et comment est encadrée la collecte de vos données ?
  3. Pourquoi les données personnelles représentent un enjeu pour les entreprises ?
  4. Pourquoi les données personnelles sont un enjeu pour les citoyens et la société ?
  5. Quels changements possibles en France sur la question des données ?
  6. Quelles évolutions au niveau européen pour les données personnelles ?

Qu’appelle-t-on les données personnelles ?

Le terme « donnée personnelle » s’applique à toute information numérique permettant d’identifier directement ou indirectement une personne physique : un nom, un prénom, une date de naissance, une adresse postale ou électronique, une photographie, mais aussi une adresse IP ou des cookies.

Certaines de ces données, en plus d’être personnelles, sont qualifiées de «sensibles » car elles fournissent des informations sur l’origine ethnique des individus, leurs opinions politiques ou religieuses, leur orientation sexuelle ou leur état de santé.

Les données personnelles sont différentes des « traces numériques », bien que les deux notions se recoupent de plus en plus. Les traces numériques sont ces fameuses informations qu’un dispositif (site de recherche, réseau social, application mobile…) enregistre sur l’activité et l’identité de ses utilisateurs afin d’en établir des profils, et de les valoriser d’un point de vue publicitaire ou commercial. Une recherche sur Google par exemple, est une trace numérique mais ne constitue pas une donnée personnelle : elle ne permet pas (sauf recherche très spécifique) d’identifier une personne.

L’utilisation des données personnelles par des entreprises existait bien avant Internet, en témoignent les fichiers clients constitués par les cartes de fidélité, les jeux-concours, ou même les fichiers de La Poste. Le développement du web, notamment les réseaux sociaux, a cependant largement amplifié le phénomène.

CC BY JD Hancock
CC BY JD Hancock

Pourquoi et comment est encadrée la collecte de vos données ?

La collecte et l’enregistrement des données personnelles d’individus offre au récoltant la possibilité de constituer des fichiers de renseignement. Une activité qui peut potentiellement entrer en conflit avec l’article 9 du Code civil français, qui précise que « chacun a droit au respect de sa vie privée. »

C’est pourquoi, qu’elle soit réalisée par une institution, une association ou une entreprise, cette activité doit être encadrée. En France, ses principes sont définis par la loi Informatique et Liberté (1978) et leur application est contrôlée par la CNIL (Commission nationale de l’informatique et des libertés). Cette dernière dispose d’un pouvoir de sanction : les manquements aux obligations de la loi peuvent être punis jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes.

La loi fixe notamment que les collecteurs de données doivent impérativement et préalablement avoir reçu le consentement de la personne, sauf cas exceptionnel (mission de service public, etc.), avant de pouvoir les utiliser. La collecte des données doit être effectuée de manière « loyale », pour des finalités «déterminées, explicites et
légitimes ».
Par exemple : recenser des données personnelles d’un client dans le but de lui adresser des réductions.

Concernant la durée de conservation des données, la loi est assez floue. Elle précise que les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités ». Pour beaucoup d’entreprises, cette formule est devenue synonyme d’ « illimitée ». C’est en tout cas le choix de Facebook, qui précise dans ses conditions d’utilisation : « nous conservons vos données aussi longtemps que nécessaire pour vous fournir produits et services. Typiquement, l’information associée à votre compte sera conservée jusqu’à ce que votre compte soit supprimé. »

La loi s’applique pour tout organisme établi dans l’hexagone ou qui recourt à des moyens de traitement se situant sur le sol français.

L’ensemble des règles et principes ainsi que les droits des utilisateurs et devoirs des entreprises sont détaillés sur le site Internet de la CNIL.


Pourquoi les données personnelles représentent un enjeu pour les entreprises ?

Les données personnelles, leur exploitation et leur vente est le moteur de tout un pan de l’économie mondiale en forte croissance. C’est le modèle de Google, Facebook, Amazon, Twitter et bien d’autres services moins connus. Comme le résume un adage très célèbre sur Internet « Si c’est gratuit, c’est que vous êtes le produit. » Autrement dit, « si c’est gratuit, c’est que le fournisseur de ce service se fait de l’argent en utilisant vos données personnelles pour vendre des publicités bien plus ciblées. »

Facebook reçoit par exemple des informations sur un utilisateur à chaque fois que celui-ci utilise le réseau social, lit un message sur la timeline d’un ami, reçoit un message, cherche ou clique sur une page, quand il poste une vidéo ou une photo ainsi que les informations liées à cette image (date et lieu de prise de vue), localisation GPS,… Même chose quand l’utilisateur consulte un jeu, une application ou un site qui utilise la plateforme Facebook. Le réseau social peut alors afficher pour cet utilisateur une annonce qui a « digéré » ces informations : les publicités présentées ressemblent étrangement à un historique de vos recherches sur des sites marchands.

Pour ces entreprises il est donc crucial, d’une part de conserver et d’accroître la possibilité de traiter ces données, d’autre part de limiter autant que possible les contraintes liées à cette exploitation. Contraintes qui dépendent du cadre législatif instauré par les États.

Car l’utilisation des données personnelles, bien que déjà massive (la CNIL, rien que pour la France, enregistre plus de 80 000 déclarations par an), n’en est qu’à ses débuts. Des nombreuses autres applications peuvent être imaginées : voiture connectée, santé en ligne, objets connectés, services à la personne…. Selon des chiffres du Financial Times, du BCG et de McKinsey, le potentiel du big data (traitement massif de données) dans la santé s’élèverait à 300 milliards de dollars rien qu’aux Etats-Unis.


Pourquoi les données personnelles sont un enjeu pour les citoyens et la société ?

Fichage de leurs habitudes, détournement des informations dans des buts malveillants, utilisation frauduleuse de leur identité,… L’exploitation de leurs données personnelles comporte des risques pour leur sécurité et leur vie privée.

Les Français en sont conscients, mais la question de confiance les préoccupe davantage que celle de l’exploitation. Selon un sondage réalisé par Havas Media France en septembre 2014 et relayé par le Figaro, 93% d’entre eux savent parfaitement que leurs données sont récoltées lors de leurs navigations sur le web et 84% se déclarent inquiets de l’usage qui en est fait. Cependant, la moitié des interrogés seraient prêts à en divulguer davantage en échange de contreparties financières ou économiques.

Au-delà de l’opinion des Français, la question des données personnelles interroge aussi les rapports de force au sein de la société.

En recensant et exploitant nos données personnelles, en ayant accès à un tel volume d’informations mis à jour en quasi temps réel, les sociétés comme Facebook ou Google* deviennent une source de renseignement et par là même des acteurs parfois plus puissants que les services publics. Ces entreprises peuvent divulguer ces données à d’autres personnes ou organismes que ceux pour lesquels les utilisateurs avaient donné leur accord – ce qu’ont dévoilé les révélations d’Edward Snowden sur le système PRISM. Elles peuvent aussi modifier drastiquement leurs conditions d’utilisation, comme Facebook a tenté de le faire en 2009 :
« Vous accordez à Facebook le droit irrévocable, perpétuel, non-exclusif, transférable et mondial (avec l’autorisation d’accorder une sous-licence), d’utiliser, copier, publier, diffuser, stocker, exécuter, transmettre, scanner, modifier, éditer, traduire, adapter, redistribuer n’importe quel contenu déposé sur le site. »

À la question de qui possède et qui utilise les données personnelles, s’ajoute celle de la sécurité des données. Nombre d’entreprises pourtant réputées – Ebay, Facebook, Orange… – ont communiqué ces dernières années sur des vols de données personnelles de leurs clients. Le piratage de ces informations (nom, prénom, date de naissance, courriel, numéro de mobile…) peut sembler anodin ou inoffensif. Il permet cependant à des escrocs de monter ensuite des arnaques de plus grande ampleur. Ils peuvent par exemple envoyer des e-mails personnalisés à des utilisateurs, en se faisant passer pour l’opérateur téléphonique, et leur demander de renouveler leurs coordonnées bancaires.

Sur un autre plan, les attentats des 7 et 9 janvier 2015 à Paris ont mis sur le devant de la scène le versant exceptionnel de l’utilisation des données personnelles, celle réalisée par les services de renseignement et de police au titre de la « sécurité intérieure et extérieure ». Et posé les débats suivants : comment protéger efficacement les citoyens de menaces d’attentats tout en évitant une surveillance généralisée ? Comment garantir un droit à la vie privée et identifier dans le même temps les terroristes avant leur passage à l’acte ?

*Google a tenu à nous repréciser la position officielle de l’entreprise dans un mail datant du 3 septembre, renvoyant au billet posté par le PDG Larry Page sur le blog de Google France : « Nous n’avons participé à aucun programme secret du gouvernement américain ou de tout autre gouvernement, qui donnerait un accès à nos serveurs. Le gouvernement américain n’a pas d’accès direct, ou une « porte d’accès dérobée » à l’information stockée dans nos centres de données. (…) Ensuite, si nous devons communiquer aux gouvernements les données des utilisateurs, cela ne se fait que dans le strict respect du cadre législatif. Notre équipe juridique examine chaque demande, et refuse l’accès aux données lorsque la demande est trop large ou ne respecte pas les règles de procédures. »

CC-BY-SA Open Data Institute Knowledge for Everyone
CC-BY-SA Open Data Institute Knowledge for Everyone

Quels changements possibles en France sur la question des données ?

Le projet de loi relatif au renseignement, dont la version définitive a été adoptée par l’Assemblée nationale le 24 juin dernier, étend clairement les autorisations des services de renseignement concernant le traitement des données personnelles des citoyens, surtout dans les cas de prévention du terrorisme.

Si l’on en croit le texte de loi, les services pourront donc, potentiellement recueillir les données de connexion (méta données) permettant d’identifier le numéro, le terminal, les équipements utilisés (répondeur, ordinateur, etc.) lors d’une communication spécifique.
De l’avis même du ministre de l’Intérieur Bernard Cazeneuve, « ces données sont susceptibles de fournir des renseignements précis sur le comportement d’une personne. Le gouvernement ne conteste nullement que leur recueil puisse constituer une ingérence dans la vie privée, c’est d’ailleurs pourquoi il a entendu l’encadrer strictement. »

Dans les cas de prévention d’un acte de terrorisme, le contenu de cette communication pourra être intercepté, pour un lieu et une période déterminés, y compris à l’étranger. Il en est de même avec les correspondances électroniques susceptibles de révéler des renseignements. Cela ne concerne pas uniquement l’individu identifié comme suspect, mais également les personnes de son entourage.

Les services pourront également obtenir des informations sur les recherches ou actions effectuées par un individu sur Internet, par la mise en œuvre de « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste ». Cela pourrait prendre la forme, par exemple en simplifiant à l’extrême, d’un système d’alerte dès que les mots « Etat islamique », « bombe » « mode d’emploi » « cible » « Paris » sont cherchés sur Internet par la même personne. Ces données sont transmises de façon anonyme aux services de renseignement, mais elles peuvent être désanonymisées sur décision du Premier ministre.

Pour les opposants au projet de loi comme l’association La Quadrature du Net, ces dispositifs instaurent une surveillance de masse des citoyens.
« De tels dispositifs scannant l’ensemble des communications électroniques au niveau d’un réseau ou d’un serveur s’apparentent à un traitement massif de données personnelles (…) L’argument du gouvernement consistant à dire qu’il s’agit de données brutes et anonymes est en décalage avec les réalités techniques » expriment-ils sur le Wiki dédié aux Amendements du projet de loi.

Les « données informatiques stockées dans un système informatique » enfin être captées, enregistrées et transmises, et les services pourront accéder « à des données informatiques (…) telles qu’elles s’affichent sur un écran pour l’utilisateur dans un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ». Les bases de données des compagnies aériennes peuvent être considérées comme de tels systèmes. Les services disposeraient ainsi de renseignements extrêmement précis sur les individus suspectés.

Le projet de loi ne laisse pas pour autant « carte blanche » aux services de renseignement pour l’utilisation des données personnelles des citoyens. La durée de conservation des données, les conditions et autorisations requises (souvent celle du Premier ministre et de la Commission nationale de contrôle des techniques de renseignement), tout comme les cas de dérogation, sont spécifiées dans le projet de loi.

Cependant, de nombreux points restent en suspens, comme le fonctionnement et le contenu exact des algorithmes de détection ou les moyens effectifs de contrôle de la Commission.


Quelles évolutions au niveau européen pour les données personnelles ?

Côté européen, malgré l’urgence – la directive européenne encadrant actuellement l’utilisation des données personnelles date de 1995, soit bien avant la généralisation d’Internet -, la question sort tout juste de l’ornière, après trois ans et demi de blocage.

La réforme a été lancée en janvier 2012, avec deux nouveaux textes : un projet de règlement qui fixe les principes pour les fichiers commerciaux ou utilisés par des personnes privées et une proposition de directive qui s’attache davantage aux fichiers des autorités publiques. Après être passée en Commission, puis au Parlement européen, le projet était en débat au Conseil de l’Union européenne depuis mars 2014. Le 15 juin dernier, les 29 ministres de la Justice sont parvenus à un accord. Le texte est donc officiellement débattu au Parlement depuis le 24 juin.

L’enjeu avec ce « paquet protection des données personnelles » est de taille : il s’agit d’organiser la libre circulation des données (marché unique oblige) tout en garantissant un niveau de protection suffisamment élevé pour les citoyens, harmonisé dans tous les Etats membres. Le règlement serait contraignant : les règles spécifiées se substitueront donc aux règles nationales.

Cette législation européenne imposerait notamment :

  • l’obligation d’utiliser un langage simple et clair pour demander l’autorisation de traitement de données aux citoyens ;
  • la nécessité d’obtenir un consentement explicite de l’utilisateur pour pouvoir traiter ses données, consentement qu’il peut retirer à tout moment ;
  • un droit à l’effacement de ses données, lorsque le citoyen a retiré son consentement ou que le but pour lesquelles elles ont été recueillies n’est plus d’actualité ;
  • un droit d’information des citoyens renforcé : ceux-ci doivent être prévenus si leurs données personnelles sont transmises à une personne tierce ou qu’elles ont été victimes d’une violation ;
  • la création d’un Comité européen de protection des données qui veille à l’application du règlement et vérifie que les législations nationales sont en accord avec les principes européens
  • l’établissement d’une autorité compétente unique pour toutes les activités de traitement et de transfert d’une entreprise ou d’une institution. C’est ce que l’on appelle « le guichet unique ». Pour une entreprise qui exerce dans plusieurs pays européens, c’est l’autorité de protection des données du pays où son établissement principal est localisé qui sera responsable de l’enquête si une plainte est déposée ;
  • l’obligation de demander à l’autorité nationale de la protection des données l’autorisation pour transférer les données personnelles dans un pays tiers si ce dernier ne dispose pas d’un niveau de protection considéré comme « adéquat » par la Commission ;
  • le renforcement des sanctions pour les entreprises qui ne respecteraient pas ces règles, avec des amendes qui pourraient aller jusqu’à 2 % du chiffre d’affaires annuel mondial. Des sanctions qui sont assez peu du goût des poids lourds du web…

Le droit à l’effacement des données, tout comme le mécanisme de « guichet unique » ou encore le rôle du Comité européen de protection des données sont autant de points sur lesquels les Etats ont eu du mal à se mettre d’accord. Tous veulent conserver une marge de manœuvre nationale et beaucoup trouvent les règles de transfert vers les autres pays trop rigoureuses.

La France par exemple, a pesé dans les négociations pour que l’autorité de contrôle compétente lors d’un problème avec une entreprise soit celle du pays de résidence du plaignant et non pas celle où est établi le siège de l’entreprise. Que si un Français porte plainte contre Facebook, ce soit la CNIL française qui se charge du dossier, et non la CNIL irlandaise. Un compromis de coopération entre les deux autorités compétentes serait désormais la voie retenue.

La France souhaite également conserver la possibilité d’adopter des dispositions nationales plus protectrices pour le traitement des données, sans être sous la menace du Comité européen de protection des données qui peut demander la suspension d’un projet de loi.

Une fois votée par le Parlement, cette législation serait applicable dans deux ans. Un autre chantier de taille attend cependant les Européens : la renégociation de l’accord dit Safe Harbour qui encadre le transfert des données de citoyens européens collectées vers des entreprises américaines.

Sources : AFP, Contexte, Union européenne, CNIL, Fabrice Naftalski (E&Y), Bruce Schneider, LégiFrance, Rapport au Sénat au nom de la commission des lois (29 février 2012), Jan Philipp Albrecht.

— Journaliste

Journaliste formée à l’IEP de Lille et surtout sur le tas, j’ai une passion inexpliquée pour les tableurs, les collectivités locales et les changements de paradigmes dans notre société.

La Fabrique de l'info

Le mot a surgi, assorti de mots anxiogènes (vente, violation, perte de contrôle…), avec le boom des applications numériques. Sans que l’on sache exactement ce qu’il recouvre. J’ai voulu savoir exactement, ce que voulait dire ce mot à la mode et quels enjeux y étaient vraiment associés.

Parcourez les sujets oubliés des médias, promenez-vous sur L'Imprévu !