Les nouveaux défis de la protection des données doivent s’aborder dès la conception

La protection des données n’a pas uniquement gagné en importance à cause de l’interconnexion galopante ou des nombreuses tentatives d’espionnage de masse. L’essor de l’informatique en nuages (cloud computing) montre aussi que notre forte protection des données est un avantage concurrentiel supplémentaire pour notre pays. Mais nous devons prendre garde à ne pas nous faire marginaliser : L’UE est en effet en train de renforcer sa directive sur la protection des données et la Suisse pourrait bientôt perdre son statut de pays sûr en la matière. Nous devons donc nous aussi renforcer la protection des données personnelles.

Un vrai renforcement passe cependant par un changement de paradigme : ce ne sont plus les utilisateurs seuls qui doivent se charger de la protection de leurs données. Ceux qui proposent des services en ligne ou produisent des objets connectés doivent aussi avoir leur part de responsabilité, et ce dès la conception ou le développement desdits services et objets. Il est aujourd’hui relativement aisé pour les entreprises qui traitent des données de contourner la protection. Cela arrive souvent avec l’accord des utilisateurs eux-mêmes. Ces derniers n’ont en effet que rarement le temps de lire la totalité des conditions générales, souvent très longues et en évolution constante. Et même s’ils trouvaient le temps pour ce faire, ils n’auraient pas d’autre choix que des les accepter, car les multinationales de l’internet n’ont souvent pas de concurrents sérieux.

Le meilleur exemple de ces pratiques est Facebook : environ tous les six mois, ses conditions d’utilisations sont modifiées, en particulier celles qui relèvent de la confidentialité. A chaque fois, les utilisateurs doivent modifier leurs paramètres un par un s’ils souhaitent bénéficier du plus haut niveau de protection des données, pour autant qu’un tel niveau soit atteignable. Quiconque néglige d’adapter ses paramètres est vite livré à l’arbitraire du géant des médias sociaux et doit partir de l’idée que ce dernier pourra utiliser à bien plaire ses données personnelles. En outre, l’évolution fulgurante du « big data » permet de créer des profils de personnalité extrêmement précis à l’aide de données personnelles à première vue inintéressantes, fragmentaires voire insignifiantes. Souvent, les personnes concernées ne remarquent même pas que des tiers acquièrent des connaissances très poussées de leur sphère intime à l’aide d’un volume colossale de données anodines.

Voici les trois pistes de solution que je préconise:

„privacy by default“ : la protection des données par défaut

Une première piste de solution se nomme „privacy by default“, la protection des données par défaut. Grâce à ce principe, la logique de la protection des données est inversée : C’est en premier lieu celui qui traite des données qui doit garantir par défaut le plus haut niveau possible de protection. Celui qui accepte que l’on utilise ses données personnelles doit donner explicitement son accord lors de chaque nouvelle utilisation. Ainsi, les utilisateurs ne sont plus obligés de cliquer sans cesse « je refuse que l’on utilise mes données ». Si Facebook et consorts souhaitent utiliser des données personnelles, ils n’obtiennent plus d’accord global, mais doivent demander la permission lors de chaque nouvelle utilisation.

„privacy by design“ : la protection des données dès la conception

Lors de la création de nombreuses nouvelles technologiques, on ne sait pas encore qu’elles vont permettre de traiter massivement des données personnelles. Les problèmes de protection des données ne se posent donc que bien après leur conception, leur production ou leur introduction sur le marché. En réponse à ces dérives potentielles, les préposés à la protection des données de plusieurs pays ont mis au point le concept de « privacy by design » (protection des données dès la conception), sous la conduite de la préposée de l’Etat canadien de l’Ontario Ann Cavoukian : Chaque nouvelle technologie doit tenir compte des possibilités de traiter des données personnelles dès sa conception afin que le plus haut niveau possible de protection puisse être garanti lors de chaque utilisation, même si elle n’était pas prévue à l’origine. Cette protection des données intégrée à la technologie permet une protection proactive et préventive en empêchant que des nouvelles technologies ne soient utilisées après coup pour violer la sphère privée.  Cette idée a été approuvée dans une résolution de la 32ème conférence internationale des préposés à la protection des données en 2010, laquelle a recommandé aux Etats de l’intégrer dans leur législation.

„control by design“ : le contrôle d’accès dès la conception

Finalement, il n’est souvent pas possible d’empêcher que ses propres appareils soient connectés. Avec l’essor de l’«internet des objets », de nombreux appareils de la vie de tous les jours sont déjà connectés à un réseau. Cette problématique va aller croissant : bientôt, des lunettes comme les Google Glasses, les paiements sans contact par carte ou téléphone ou des véhicules à pilote automatique seront des objets standards. Leurs propriétaires n’auront souvent aucune garantie que des données ne seront pas échangées sans qu’ils n’en sachent rien. Dans bien des cas, la connexion à un réseau fait partie de la configuration par défaut et il est souvent ardu de l’enlever. Parfois, il est même impossible d’empêcher une connexion.

Cette tendance doit être contrée par l’introduction du „control by design“, le contrôle dès la conception : le propriétaire d’un objet (ou son possesseur dans le cas d’un objet loué ou en leasing) doit avoir le droit inaliénable de le déconnecter quand il le souhaite. Les objets connectés doivent donc être conçus de telle manière qu’une déconnexion doit être possible en tout temps. Ainsi, l’utilisateur peut décider librement si, quand et avec quel réseau il se connecte. C’est le seul moyen de garantir une souveraineté complète sur ses propres objets.

Ces réformes nécessaires ne doivent cependant pas mener à une déresponsabilisation des utilisateurs en matière de protection des données personnelles. C’est toujours à eux qu’il revient de ne pas laisser traîner leurs données n’importe où et n’importe comment. Mais, pour cela, ils doivent bénéficier de meilleurs instruments de défense, comme un droit d’action collective. Des sanctions vraiment dissuasives contre les entreprises qui violent les données personnelles doivent aussi faire partie d’une réforme crédible de notre droit de la protection des données.

(Traduction française du texte original paru en Allemand sur nzz.ch)

2 réflexions au sujet de « Les nouveaux défis de la protection des données doivent s’aborder dès la conception »

  1. Il me semble que tout ceci concerne les réseaux sociaux. La difficulté est de se faire entendre des administrations, tribunaux, qui utilisent les données numériques, sous couvert du droit à l’information, pour fliquer les gens. Comment peut-on maintenir en ligne un jugement daté de 35 ans alors que le droit à l’oubli est inscrit, je le suppose, quelque part dans la législation.

    (CF un précédent message)

    Comme je le constate: le droit semble s’arrêter devant la technique, ce qui me paraît le plus sidérant. Pour expliquer ceci, je ne vois qu’un effet de fascination devant un nouveau jouet et cela émane aussi de la plus haute juridiction du pays.

    Nulle part, vous parlez de l’application déficiente du droit existant et c’est ce qui me fait tiquer sur votre blog.

    Il ne s’agit pas dès lors de céder à un sujet à la mode et potentiellement porteur politiquement: je rappelle qu’il a fallu 10 ans pour faire une loi sur les droits d’auteurs. Une loi que beaucoup juge dépassée à sa sortie car n’intégrant pas les nouveautés intervenues depuis. Donc, il me semble plus aisé de travailler à partir de lois existantes en portant les conflits devant la justice. En forçant l’appareil judiciaire à faire évoluer sa pratique.

    Il me semble comme dans les tutelles du canton de Vaud que seul un jugement du TF a permis de déstabiliser le canton.

    Donc, selon moi, la voie politique est vouée à l’échec dans ce domaine, car trop lente. Seul des jugements peuvent être utiles pour faire avancer le débat, rapidement.
    Merci

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *