Une loi pour qu'Internet vous oublie

« Le cerveau humain a une capacité naturelle à oublier. Pas l'ordinateur. » Le président de la Commission nationale de l'informatique et des libertés, Alex Türk, démarrait ainsi son intervention lors d'un débat public consacré au droit à l'oubli, ce jeudi 12 novembre, à Sciences-Po Paris.

Organisé par la secrétaire d'Etat au Développement numérique, Nathalie Kosciusko-Morizet, cette manifestation rassemblait des avocats, des représentants de Google, Microsoft, Pages Jaunes, Skyblog, Facebook autour des problématiques liées à la vie privée et aux traces laissées par les internautes, volontairement ou non. « Le droit à l'oubli couvre le droit à l'anonymat, à l'incognito, continue Alex Türk. C'est le droit à vouloir qu'Internet nous lâche un peu. Pas parce que l'on veut commettre un délit, mais parce que l'on veut être seul. »

Une revendication somme toute assez saine, mais qui, avec Internet, pose des problèmes pratiques. Entre cookies, analyse du surf pour créer des algorithmes de recherche, publicités ciblées, conservation des données, adresses IP, c'est toute l'essence du réseau qui semble contradictoire avec ce droit à l'oubli.

C'est en tout cas le sentiment qui ressortait nettement des débats. Quand les uns demandent la mise en place d'une date de péremption des données conservées, d'autres se demandent si Google ne pourrait pas désindexer les noms des personnes qui le lui demanderaient.

Deux sénateurs, eux, proposent une loi sur « le droit à la vie privée à l'heure du numérique ». Yves Détraigne (Union centriste) et Anne-Marie Escoffier (RDSE) ont déposé un texte le 6 novembre dernier qui modifie certains aspects de la loi Informatique et libertés.

Un examen en mars-avril 2010

Tout d'abord, le texte inscrit dans la loi ce qui n'est pour l'heure qu'une interprétation de la Cnil, l'adresse IP est une donnée personnelle. Il liste ensuite une série d'obligations à l'adresse des responsables du traitement des données personnelles.

La personne dont on collecte les données doit être informée, l'identité et l'adresse du responsable doit lui être communiquée, de même que la finalité du traitement, la durée de conservation des données, leur nature, les destinataires des données, l'adresse du service où s'adresser pour demander une rectification ou la suppression d'une information, ou même simplement l'accès aux données collectées.

La proposition de loi porte une attention particulière aux sites Internet. Elle demande aux responsables d'informer les utilisateurs de la présence de cookies et de leur dire quelles données sont récupérées sur l'« équipement terminal de connexion » de l'usager.

Les deux sénateurs ont aussi décidé de reformuler la notion de « droit d'opposition » pour parler plus simplement de « suppression » de données, histoire d'être plus compréhensible pour le citoyen. Ils introduisent également une modification d'importance, qui doit permettre à la personne à propos de qui on a collecté des données de tracer cette collecte. Le responsable du traitement devra en effet indiquer l'origine de la donnée, le fichier où elle figure. Actuellement, le devoir d'information ne concerne que les données disponibles, pas l'endroit d'où elles viennent.

La proposition de loi n'a pas encore de rapporteur. De source parlementaire, elle ne devrait pas être examinée avant mars ou avril 2010.