Le Sénat adopte la proposition de loi Detraigne-Escoffier visant à garantir le droit à la vie privée sur internet

Avec le développement de l'informatique, de l'internet, des bases de données, des réseaux sociaux, sans oublier les nouvelles technologies (liées par exemple à la géolocalisation), les données communiquées sont pour bon nombre d'entre elles (sauf les données dites personnelles censées être confidentielles et protégées) partagées et diffusées, notamment par les moteurs de recherche. C'est ainsi possible d'obtenir des informations, parfois anciennes, sur bon nombre d'internautes, simplement en effectuant une requête sur un nom et prénom via un moteur de recherche (recherche concernant un candidat à un emploi : information issue du journal du lycée, d'un article de presse, d'un blog, d'un réseau social, etc.).

Dès lors, il est apparu que le "droit à l'oubli" - permettant de garantir la protection de sa vie privée - soit difficilement possible. Face à ce constat, une mission de réflexion a été confiée aux sénateurs Anne-Marie Escoffier et Yves Détraigne, sur le thème du respect de la vie privée à l'heure des mémoires numériques. Les recommandations qu'ils ont formulées dans leur rapport d'information ont été en partie traduites dans la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique, aujourd'hui adoptée en première lecture par le Sénat.
Si ce texte était adopté, il entrerait en vigueur 6 mois après sa publication, afin de laisser le temps aux entreprises et administrations de s'adapter aux nouvelles dispositions. Il pourrait également servir de base de travail à l'élaboration d'un texte similaire au niveau européen.

La sensibilisation des plus jeunes aux enjeux de la protection de leur vie privée

Dans le cadre de l'enseignement d'éducation civique, les élèves seront formés afin de développer une attitude critique et réfléchie vis-à-vis de l'information disponible et d'acquérir un comportement responsable dans l'utilisation des outils interactifs, lors de leur usage des services de communication au public en ligne. Ils sont informés des moyens de maîtriser leur image publique, des dangers de l'exposition de soi et d'autrui, des droits d'opposition, de suppression, d'accès et de rectification prévus par la loi Informatique et libertés.

L'objectif du texte est ici de rendre l'individu acteur de sa propre protection en le sensibilisant, au cours de sa scolarité, aux dangers de l'exposition de soi et d'autrui sur Internet.

Une qualification juridique l'adresse IP ?

Qu'est ce qu'une adresse IP ?

Sur Internet, les ordinateurs communiquent entre eux grâce au Protocole IP (Internet Protocol), qui utilise des adresses numériques, appelées adresses IP (composées de nombres). Chaque ordinateur relié à un réseau dispose d'une adresse IP unique, ce qui lui permet de communiquer avec les autres ordinateurs du même réseau, mais également d'être identifié. De même, chaque site Internet dispose d'une adresse IP, qui peut être convertie en nom de domaine.

Chaque transmission de données sur le web donne lieu à l'envoi d'un paquet de données comprenant, quel que soit le type de communication (navigation sur le web, messagerie, téléphonie par Internet, etc.) l'adresse IP de l'expéditeur ainsi que celle du destinataire.
Un propriétaire de site a ainsi accès aux adresses IP des ordinateurs qui se sont connectés à son site.

Une donnée personnelle

L'article 2 du texte donne à l'adresse IP enfin une qualification juridique, et met ainsi fin aux divergences de la jurisprudence en la matière. Elle sera "une donnée à caractère personnelle".
En effet, l'adresse IP fait partie de la liste des numéros permettant d'identifier, certes de manière indirecte, le titulaire d'un accès à des services de communication au public en ligne.

Soulignons qu'aujourd'hui, l'adresse IP étant au coeur de la lutte contre le piratage, le téléchargement illicite, la lutte contre les sites pornographiques et la lutte contre la contrefaçon, sa qualification juridique devient indispensable.
Cette réforme permettra d'appliquer les garanties concernant la collecte de données à caractère personnel aux données de connexion des internautes.

L'adaptation du régime juridique des cookies

Les articles 6 et 9 de la proposition de loi modifient le régime juridique des cookies (petits fichiers qui constituent des mouchards électroniques introduits sur le disque dur de l'internaute à des fins techniques ou publicitaires), afin :

• de renforcer l'obligation d'information incombant au responsable du traitement : l'utilisateur devra recevoir une information spécifique, claire, accessible et permanente sur les finalités des cookies comportementaux, c'est-à-dire ceux qui visent à délivrer une publicité ciblée.
• d'imposer l'obtention du consentement de l'utilisateur avant l'installation du cookie sur son ordinateur (disposition conforme à la transposition du Paquet Télécom).

Notons que l'article 6 a été légèrement modifié par amendement afin de satisfaire au double souci de ne pas entraver la fluidité de la navigation des internautes et de ne pas remettre en cause le modèle économique d'Internet.

La consécration du droit à l'oubli

La proposition de loi donne une plus grande effectivité au droit à l'oubli numérique, en clarifiant l'exercice du "droit à l'oubli", à l'article 8.
Ainsi, dès la collecte de données à caractère personnel ou, en cas de collecte indirecte, avant toute communication de données à caractère personnel, toute personne physique est mise en mesure de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection.

Lorsque des données à caractère personnel ont été traitées, toute personne physique justifiant de son identité a le droit, pour des motifs légitimes, d'exiger, sans frais, leur suppression auprès du responsable du traitement. Toutefois, ce droit ne peut être exercé lorsque :
- le traitement répond à une obligation légale ;
- le droit de suppression a été écarté par une disposition expresse de l'acte autorisant le traitement ;
- les données sont nécessaires à la finalité du traitement ;
- le traitement est nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;
- le droit de suppression porte atteinte à une liberté publique garantie par la loi ;
- les données constituent un fait historique."

L'obligation de notifier l'existence de failles de sécurité

L'article 7 fait obligation au responsable d'un traitement - à l'instar de ce qui existe déjà aux Etats-Unis - de mettre en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites.

En cas de violation du traitement de données à caractère personnel, le responsable de traitement doit avertir sans délai le correspondant informatique et libertés (CIL), ou, en l'absence de celui-ci, la CNIL. Le responsable du traitement, avec le concours du CIL, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données.
Le CIL en informe la CNIL et si la violation a affecté les données à caractère personnel d'une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes.

Le recentrage des missions et pouvoirs de la CNIL

L'article 3 conforte le statut et les missions du correspondant informatique et libertés (CIL), et confirme le caractère obligatoire lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de 50 personnes y ont directement accès ou sont chargées de sa mise en oeuvre. Un avis simple de la CNIL (et non un avis conforme) sera nécessaire pour la démission d'office du CIL.

Le texte renforce l'efficacité et la légitimité de la CNIL

• en précisant que les quatre parlementaires membres de la CNIL doivent être désignés "de manière à assurer une représentation pluraliste" (article 2 bis)
• en prévoyant la publicité des avis de la CNIL chaque fois qu'un fichier de police est créé (article 5 bis)
• en permettant à la CNIL d'effectuer des visites inopinées après autorisation préalable du juge des libertés et de la détention (article 9 bis)
• en élevant le montant des sanctions pécuniaires susceptibles d'être prononcées par la CNIL en cas de manquement aux obligations (article 12).

Des fichiers d'Etat plus encadrés par la CNIL

Enfin, sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la CNIL, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et qui intéressent la sûreté de l'Etat ou la défense (article 4).
Sans préjudice des dispositions de l'article 6, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, ne pourront être autorisés qu'à la condition de répondre à une ou plusieurs des finalités suivantes :

• Permettre aux services de police judiciaire d'opérer des rapprochements entre des infractions susceptibles d'être liées entre elles, à partir des caractéristiques de ces infractions, afin de faciliter l'identification de leurs auteurs ;
• Faciliter par l'utilisation d'éléments biométriques ou biologiques se rapportant aux personnes, d'une part, la recherche et l'identification des auteurs de crimes et de délits, d'autre part, la poursuite, l'instruction et le jugement des affaires dont l'autorité judiciaire est saisie ;
• Répertorier les personnes et les objets signalés par les services habilités à alimenter le traitement, dans le cadre de leurs missions de police administrative ou judiciaire, afin de faciliter les recherches des services enquêteurs et de porter à la connaissance des services intéressés la conduite à tenir s'ils se trouvent en présence de la personne ou de l'objet ;
• Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ;
• Faciliter la diffusion et le partage des informations détenues par différents services de police judiciaire, sur les enquêtes en cours ou les individus qui en font l'objet, en vue d'une meilleure coordination de leurs investigations ;
• Centraliser les informations destinées à informer le Gouvernement et le représentant de l'État afin de prévenir les atteintes à la sécurité publique ;
• Procéder à des enquêtes administratives liées à la sécurité publique ;
• Faciliter la gestion administrative ou opérationnelle des services de police et de gendarmerie ainsi que des services chargés de l'exécution des décisions des juridictions pénales en leur permettant de consigner les événements intervenus, de suivre l'activité des services et de leurs agents, de suivre les relations avec les usagers du service, d'assurer une meilleure allocation des moyens aux missions et d'évaluer les résultats obtenus ;
• Organiser le contrôle de l'accès à certains lieux nécessitant une surveillance particulière ;
• Recenser et gérer les données relatives aux personnes ou aux biens faisant l'objet d'une même catégorie de décision administrative ou judiciaire ;
• Faciliter l'accomplissement des tâches liées à la rédaction, à la gestion et à la conservation des procédures administratives et judiciaires et assurer l'alimentation automatique de certains fichiers de police ;
• Recevoir, établir, conserver et transmettre les actes, données et informations nécessaires à l'exercice des attributions du ministère public et des juridictions pénales, et à l'exécution de leurs décisions.

A défaut le législateur sera compétent.

© 2010 Net-iris