Georges Chatillon, professeur à l’université de Paris I Panthéon Sorbonne, est un spécialiste reconnu de la protection des données personnelles. Il est notamment un des co-organisateurs, en association avec le Conseil d’État, du colloque international sur “L’administration électronique au service du citoyen”, qui s’est tenu à Paris en janvier 2002.Quels grands textes juridiques encadrent la protection des données personnelles ?En France, la loi de référence était celle de 1978 “Informatique, fichiers et libertés”, qui obligeait les collecteurs de données à déclarer à la Cnil [Commission nationale de l’informatique et des libertés, ndlr] leur base et la façon dont la collecte s’effectuait. Elle définissait aussi, pour les clients fichés, un droit à l’information préalable, un droit d’accès et un droit de rectification ou d’opposition sur les données conservées. Aujourd’hui, la protection des données est encadrée par deux directives européennes. D’abord la directive de 1995 sur la protection des données à caractère personnel. Elle aurait dû être transposée dans le droit français depuis le 25 octobre 1998 par aménagement de la loi de 1978. Un projet de loi avait finalement été adopté par l’Assemblée nationale le 30 janvier 2002, sans doute pour éviter les remontrances de la Commission européenne, mais, en fait, la loi n’est jamais passée devant le Sénat à cause de l’élection présidentielle. Tout est donc à refaire.Comment ces deux directives vont-elles faire évoluer le cadre réglementaire ?La directive sur la protection des données est plus libérale que la loi de 1978 instituant la Cnil, plus répressive vis-à-vis des fichiers de l’administration que des fichiers privés. Avec cette directive, les deux types de fichier sont mis sur un pied d’égalité. Le projet de loi de transposition du 30 janvier laissait augurer un assouplissement dans l’établissement des bases de données, les fichiers ne devant plus nécessairement être déclarés préalablement auprès de la Cnil. Mais ce texte prévoyait un durcissement de l’utilisation des données, en permettant au gouvernement de constituer des fichiers en croisant des données provenant de plusieurs bases. Le projet de loi de Nicolas Sarkozy abonde dans ce sens puisqu’il devrait instituer la possibilité pour les policiers de rechercher leurs informations dans des fichiers publics ou privés. Quant à la directive sur le commerce électronique, elle apporte une évolution du droit d’accès des clients à leurs données personnelles.Comment cela se traduit-il ?Auparavant ce droit s’exerçait par courrier, après des démarches longues. Maintenant la directive oblige les marchands en ligne et les collecteurs de données à fournir un accès en ligne à l’utilisateur pour consulter son fichier, ce qui nécessite des aménagements importants de leur système d’information, expliquant en partie son retard d’application. Puis, les communications vers le client par email ou SMS nécessiteront un consentement exprès de sa part, ce qui n’est pas le cas pour les envois de prospectus par la poste, auxquels le consommateur ne peut s’opposer qu’a posteriori.Ces évolutions, apparemment au bénéfice du client, ne masquent-elles pas une dérive permissive pour les détenteurs de données ?Une des conséquences de ces directives est effectivement de pouvoir croiser plus librement les données nous concernant. Mais l’objectif de fond est de responsabiliser les parties, en donnant un cadre juridique favorisant la transparence. Le client doit être informé de ce qu’il fait, de ce qu’on lui fait et de ce qu’on lui fera une fois le contrat accepté. Dans le cas des cookies et des spams, la demande préalable est impérative, et toute demande ambiguë est condamnable. Lors de la collecte des données, le consommateur doit être informé de qui gère les données de l’entreprise, quels services y auront accès, pour quels objectifs et, bien entendu, des tiers susceptibles d’y accéder, en nommant les services et les personnes concernés. Si ce n’est pas indiqué clairement, il y a violation des droits du consommateur. La contrepartie est que lorsque l’information est clairement mise en avant, le client et le commerçant ?” ou le collecteur de données?” sont plus engagés qu’aujourd’hui, où les recours se font la plupart du temps au détriment du détenteur du fichier.Quelles seront les conséquences sur les fichiers publics détenus par les administrations ?Depuis la loi de 1978, la déclaration à la Cnil de chaque projet de fichier empêchait la constitution de fichiers interministériels. L’illustration pratique de cette limite est qu’il vous faut contacter toutes les administrations lorsque vous changez d’adresse. Anticipant ces nouvelles directives, certains ministères travaillent aujourd’hui sur la possibilité d’envisager une relation contractuelle entre ministères, d’une part (comme, par exemple, entre une entreprise et un broker de base de données), et entre les usagers et les services publics, d’autre part. Ceci est renforcé par une étude publiée par le Forum des droits sur l’internet qui révèle que les deux tiers des Français souhaiteraient avoir un compte unique permettant de simplifier leurs démarches administratives. Mais cela implique une clarification du statut des données personnelles, comme bien incorporel. Nous sommes propriétaires des données nous concernant, et en ce sens nous devrions avoir la possibilité de passer un contrat avec un tiers, administration ou privé, pour l’utilisation de ces données, comme nous pouvons déjà le faire, avec notre nom notamment.À quel horizon pensez-vous voir ces directives effectivement appliquées ?D’un côté, les associations de consommateurs militent pour une plus grande clarté dans le traitement des données personnelles, et en face les lobbies des associations professionnelles ont intérêt à retarder la mise en place dune plus grande fluidité et transparence, notamment pour des questions évidentes de coût des développements à entreprendre. Chacun cherchera à orienter les lois à venir dans son intérêt, il est donc à prévoir que celles-ci ne fixeront pas tous les détails, et seront nécessairement complétées par une série de décrets qui demanderont un certain temps. En attendant, les directives européennes existent, et il est toujours possible de saisir un tribunal pour arbitrer sur le sujet. Le travail du magistrat est de rendre transparent ce qui est obscur, et un tribunal ne peut pas différer sa réponse. Il y aura donc probablement une jurisprudence qui statuera sur quelques principes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
