|
général |
|
|
II |
Les informations d'identification nécessaires pour gérer des tâches administratives, ont été longtemps collationnées dans des "fichiers papier".
La société de l'information a radicalement changé les modes de collecte, de stockage et d'exploitation des données qui circulent désormais sur l'internet.
L'alliance de l'Intelligence Artificielle aux bases de données de masse entraîne des "économies" et une plus grande efficacité dans la gestion des services privés et publics.
La circulation de ses données personnelles permet à chacun de bénéficier de nombreux services de communication (messageries, réseaux sociaux blog...), d'information (actualités, météo, documentation...), marchands (bancaires, achats, gestion de contrats...), et administratifs (Dossier médical partagé, télépaiements, Impôts...), dont beaucoup sont gratuits.
Chaque citoyen est "condamné" bon gré mal gré, à livrer sa vie privée "en pâture" aux machines en contrepartie de "services" qui lui deviennent de plus en plus indispensables..
L'individu a désormais "son double" dans le monde numérique, souvent désigné comme un "profil utilisateur".
L'addiction aux réseaux sociaux, les échanges électroniques et la multiplication des blogs et sites internet représentent une masse de données personnelles considérable.
De leur côté, les smartphones et autres objets connectés, ainsi que leurs applications, transmettent de plus en plus automatiquement d'informationS sur le comportement des personnes, sans qu'on en connaisse les véritables destinations et finalités...
Les bases de données des services peuvent occasionner des "fuites" massives et intempestives d'informations personnelles dont certaines peuvent être récupérées à des fins malveillantes.
De plus, le référencement par les moteurs de recherche peut rendre accessibles à des tiers des informations à qui elles n'étaient pas initialement destinées.
La "course effrénée" à la collecte et aux traitements de données personnelles, permise par l'augmentation de la puissance des machines et des algorithmes, pose désormais le problème de la dépendance de la personne humaine aux machines, du respect de sa vie privée et de ses libertés fondamentales.
L'article 4 du RGPD définit les "Données à caractère personnel", comme :
toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
L'article 2 alinéa 2 de la loi du 6 janvier 1978, dite "loi informatique et libertés" telle que modifiée par la loi du 6 aout 2004, considère plus simplement la donnée personnelle comme :
Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.
On peut identifier plusieurs catégories de données personnelles, dont certaines plus ou moins "sensibles" :
Sans que cette liste soit limitative.
Ces données personnelles peuvent être considérées comme des attributs de la personne humaine, et protégeables au titre de la Déclaration Universelle des droits de l'Homme et des articles 9 et 16 et suivants du Code Civil.
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Les informations qui transitent sur les réseaux sociaux ou les blogs, ou à l'occasion d'activités en ligne, sont systématiquement récupérées dans des fichiers pour être compilées, "digérées", stockées et redistribuées dans le "big data", sachant qu'elle peuvent être associées à l'adresse IP de l'utilisateur.
Leur historique est soigneusement conservé pour être "vendu" à des tiers pour un tout autre usage (notamment prospection commerciale, publicité ciblée...)
Lorsque la personne livre les détails de sa vie privée ou ses opinions sur les réseaux sociaux ou sur un blog, parfois sous le couvert d'anonymat, elle n'a souvent pas conscience de la possibilité de leur utilisation malveillante, malgré "l'agressivité" qui peut y régner...
En acceptant machinalement des "Conditions Générales" et des "cookies" qu'elle ne lit jamais pour accéder à des services, la personne accepte de livrer ses données personnelles pour des finalités souvent imprécises dans le cadre d'un "contrat d'adhésion" passé avec un professionnel.
Exemples :
Les conditions d'utilisation de Facebook l'autorisent à recueillir automatiquement "le contenu, les communications ainsi que d’autres informations fournies lors de l'utilisation de ses produits, notamment lors de la création de compte, le partage de contenu, ou lors de communications ou l'envoi de messages, afin d'analyser leur contexte..."
L'utilisation de son service Instagram nécessite que "l'utilisateur nous donne l’autorisation de montrer son nom d'utilisateur, sa photo de profil et les informations relatives à sos actions (comme les mentions J’aime) et à vos relations (comme les abonnements) à côté de ou en rapport avec les comptes, les publicités, les offres et tout autre contenu sponsorisé suivis ou avec lesquels il y a interaction, qui apparaissent dans les Produits Facebook, sans verser aucune compensation".
Celles de Google lui permettent également de recueillir :"Les termes que vous recherchez. Les vidéos que vous regardez. Vos vues de contenu et d'annonces ainsi que vos interactions avec ces derniers [...] .L'activité relative aux achats. Les personnes avec lesquelles vous communiquez ou partagez du contenu. L'activité sur des applications et sites tiers qui utilisent nos services". Elle autorisent également des développeurs tiers à "examiner" les messages de Gmail...
L'acceptation des Conditions Générales de Twitter conduisent l'utilisateur à reconnaître qu'en utilisant les Services, vous consentez à ce que nous collections et utilisions (selon les termes de la Politique de confidentialité) ces informations, y compris dans les cas où ces informations seraient transférées aux États-Unis, en Irlande et/ou dans d’autres pays aux fins d’être stockées, traitées ou utilisées par Twitter ou ses sociétés affiliées.
Snapchat exige que l'utilisateur accepte : la manière dont vous interagissez avec d'autres Snapchatters, tels que leurs noms, l'heure et la date de vos échanges, le nombre de messages que vous échangez avec vos amis, les amis avec lesquels vous échangez le plus de messages, ainsi que vos interactions avec ces messages (telles que le moment où vous avez ouvert un message ou pris une capture d'écran)".
(A noter qu'à l'égard de personnes physiques, de tels contrats peuvent être interprétés en leur faveur comme des contrats d'adhésion régis par l'article 1171 du Code Civil, ou l'article L133-2 du Code de la Consommation.)
Les immenses volumes de données de géolocalisation ou de consultation sont injectés automatiquement dans le big data par les smartphones et autres objets connectés.
Les services de stockage de fichiers en ligne ("Cloud"), tels que Google Drive, régis par les conditions d'utilisation de Google, ou Dropbox dont les conditions d'utilisation donnent un droit de collecter des informations liées à la façon dont vous utilisez les Services, y compris sur les actions que vous effectuez dans votre compte (telles que le partage, la modification, la consultation et le déplacement de fichiers ou de dossiers)...
Dès lors, et malgré toute pseudonymisation ou anonymisation des données, leur anonymat n'est qu'un leurre dans la mesure où il est "réversible" par croisement et rapprochement des données de plusieurs fichiers, et notamment avec celles de l'adresse IP... Voir sur le site du Village de la Justice
Ces collectes sont facilitées par l'insuffisance des moyens de sécurité mis en oeuvre pour les protéger de manière efficace : codes d'accès ou mots de passe trop faibles, absence de chiffrement...
Elle permettent ainsi d'alimenter le big data.
Les données, souvent partagées entre plusieurs utilisateurs, sont de moins en moins localisées sur un serveur "local" et de plus en plus stockées dans le "cloud" (nuage), c'est à dire un espace "nébuleux", non identifiable, souvent réparti dans plusieurs centres dans le monde.Voir sur le site du Village de la Justice : le "Cloud Act".
Outre les données volontairement enregistrées dans un "cloud" par les utilisateurs, toutes celles circulant sur le réseau internet sont systématiquement interceptées et collectées par des robots informatiques ("Bot") qui scrutent inlassablement le cyberespace pour les incorporer dans le big data, vaste ensemble de données si volumineux qu'ils dépassent l'intuition et les capacités humaines d'analyse et même celles des outils informatiques classiques de gestion de base de données.
Le big data s'accompagne donc du développement d'applications à visée analytique, qui "broient" une multitude de données pour en tirer du sens.
Les traitements statistiques issus du big data sont susceptibles de rendre des services immenses à la collectivité en faisant progresser la recherche scientifique dans tous les domaines : gestion des ressources, environnement, climatologie, énergie, urbanisme, santé publique...
L'un des buts de l'alliance de l'Intelligence Artificielle, sans cesse enrichie par le "machine learning", et du big data , est la prévision statistique d'évènements, tels la justice prédictive, mais aussi le futur comportement individuel de personnes déterminées : Voir sur le site "lebigdata"
De leur côté, les services gratuits proposés par les GAFA : Google, Gmail, Facebook, Instagram, Twitter... ont essentiellement pour but de s'approprier les quantités immenses de données personnelles qui leur sont fournies par leurs "profils utilisateurs", pour les revendre à des opérateurs privés ou publics, notamment à des fins commerciales, mais "pas que"...
On peut seulement en dire que l'exploitation exponentielle de ces masses de données personnelles gigantesques échappe à tout contrôle...
Bien qu'en constante augmentation, les capacités techniques de traitements informatiques restent encore aujourd'hui limitées, compte-tenu de du caractère exponentiel des flux de données.
Mais l'avènement des super ordinateurs "quantiques" va révolutionner la main mise du numérique sur l'humain. Voir sur le site de l'Institut Pandore
Ces capacités, qui ne cessent de progresser, doivent cependant absorber une énergie croissante dans la course au "datamining", notamment du fait de la construction et du fonctionnement des fermes de serveurs abritant le big data et des nécessités de refroidissement des processeurs, ce qui commence à poser un problème de ressources. "Pour savoir où se cachent les data centers de Google, il suffit de chercher là ou l'électricité est la moins chère"...
En tout état de cause, la dépendance exponentielle au numérique a déjà commencé à entraîner une mutation profonde des interactions des individus avec leur environnement, aux conséquences encore imprévisibles.
Et c'est pourquoi il est absolument nécessaire de leur permettre de garder le contrôle sur le traitement de leurs données personnelles, afin que soient respectés leurs droits fondamentaux.
On qualifie de "Traitement", toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction... (Article 4 du RGPD)
Selon son considérant n°4 :
Le traitement des données à caractère personnel devrait être conçu pour servir l'humanité. Le droit à la protection des données à caractère personnel n'est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d'expression et d'information, la liberté d'entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
Si le traitement du big data représente un fabuleux outil de "connaissance" dont on peut attendre un plus grand bien être de l'humanité, il n'en représente pas moins un outil de "surveillance", susceptible d'entraîner de graves atteintes aux libertés individuelles.
Il suffit d'imaginer les conséquences de l'achat sur un quelconque "dark web" des données personnelles piratées d'un futur conjoint, sans mettre à mal le célèbre adage de Loysel (bien connu des juristes ), selon lequel : "en mariage trompe qui peut"... Mais on peut surtout redouter les risques de sélection et de discrimination que cela entraînerait, notamment de la part d'un futur employeur qui aurait connaissance de toute la vie privée d'un futur salarié.
Par ailleurs, n'y a-t-il par un risque d'enfermer l'individu dans le destin prédictif attribué par le traitement de ses données personnelles, sans tenir compte de ses possibilités d'évolution et de changement, mais aussi de la chance et du hasard ?
Peut-on "juger" une personne exclusivement sur son histoire ou ses fantasmes ?
C'est pourquoi la loi limite les possibilités de traitement de certaines données personnelles, dites "sensibles" : telles qu'origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, biométriques, concernant de santé (handicap...), ou caractérisant le genre,la vie sexuelle ou l'orientation sexuelle d'une personne physique...
Mais encore faut-il que la loi soit applicable et soit respectée...
Le danger le plus grave serait que les machines définissent statistiquement une catégorie "standard" d'individus, dont seraient exclus tous ceux qui n'en rempliraient pas les critères, ce qui entraînerait un risque de sélection et de discrimination qui pourrait aboutir à des dérives eugéniques, notamment en cas de raréfaction des ressources qui imposerait des choix humains.
N'aurons nous vrament pas d'autre choix que d'être connecté au formidable système de surveillance d'Internet pour "exister socialement" ?
Rabelais estimait que "science sans conscience, n'était que ruine de l'âme"...
L'utilisation du big data pose donc des questions "éthiques" qui sont loin d'être résolues.
Suite à un arrêt de la CJUE du 19 Octobre 2016,la Cour de Cassation a estimé le 3 novembre 2016 que "les adresses IP, qui permettent d'identifier un ordinateur et donc indirectement son utilisateur, sont des données à caractère personnel." : Cass. Civ. I, 3 novembre 2016, 15-22.595, Publié au bulletin.
Toutes les données personnelles circulant dans le cyberespace peuvent faire l'objet d'une référencement par les moteurs de recherche.
Elles concernent les contenus des blogs, publications , fichiers, réseaux sociaux, messageries présents dans le cyberespace.
L'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de "traitement de données à caractère personnel".
Toute personne physique a théoriquement le droit de s'opposer à ce traitement, mais (hors certaines données "sensibles") à condition de justifier de motifs légitimes.
Cet intérêt, qui peut être "moral", n'est donc pas absolu...
Une personne ne peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, que si celles-ci sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
Ces demandes peuvent être directement adressées par la personne concernée au responsable du traitement, qui doit alors examiner et apprécier le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause. A défaut, lorsque le responsable du traitement ne donne pas suite à ces demandes, la personne concernée peut saisir l'autorité judiciaire.
En cas de contestation du responsable de traitement, il appartient au Juge de rechercher un juste équilibre, notamment, entre l'intérêt à l'utilisation de ces données, et les droits au respect de la vie privée et à la protection des données personnelles.
La juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence, de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne.
Elle ne peut donc prononcer une injonction d'ordre général :Cass. Civ. I, 14 février 2018, 17-10499, Publié au Bulletin
A noter, toutefois, que ce droit au déréférencement, affirmé par voie jurisprudentielle, mais qui n'a rien d'absolu, n'a pas pour conséquence l'effacement de ces informations des pages web sur lesquelles elles ont été publiées.
Il conviendrait alors de demander aux éditeurs et aux hébergeurs de supprimer le contenu des sites illicites.
Voir : http://www.droit-oubli-numérique.org
Tout l'enjeu de la protection des personnes est de tenter de donner à l'individu un contrôle sur la collecte et l'exploitation de ses données personnelles, même s'il s'agit d'un "combat" difficile, compte-tenu de la croissance exponentielle des moyens informatiques de collecte et de traitement mondialisés.
Les données sur lesquelles un contrôle peut être exercé sont d'abord celles partagées volontairement par l'individu, y compris sur les réseaux sociaux.
La nécessité d'accepter les "cookies" : c'est à dire le "contrat" par lequel on cède ses données personnelles lors des navigations sur Internet, montre à quel point ce contrôle est illusoire...
Et on ne peut que s'étonner de l'imprudence avec laquelle beaucoup de personnes livrent les détails de leur vie la plus intime sur les réseaux sociaux, ou au moyen d' objets connectés : smartphone, Google home ou Amazon Echo...
Tout le monde sait que "si c'est gratuit, c'est que tu es le produit"...
Les nombreux services en ligne ou les moteurs sont apparement gratuits, mais en contrepartie des données fournies volontairement par les utilisateurs.
Mais la plupart des données personnelles sont collectées par des tiers à l'insu de la personne concernée, soit à l'occasion d'une "transaction" sur Internet dans le cadre d'un service marchand, soit à l'occasion d'une simple "navigation", via l'identification de l'IP de l'ordinateur.
Le croisement et le rapprochement de ces métadonnées permet d'identifier à coup sûr la personne physique connectée, par le rapprochement de ses goûts, ses centres d'intérêts, ses habitudes consuméristes, ses déplacements, ses pseudonymes, ses appartenances, par les opinions qu'elle a déjà manifestées dans les réseaux sociaux ou dans ses publications sur internet, mais aussi par ce que disent d'elle les d'autres internautes....
Ces "métadonnées", qui caractérisent chaque personne physique, font l'objet d'une collecte et d'une exploitation commerciale systématique, notamment de la part des GAFA, et sont "revendues" aux opérateurs les plus divers pour des finalités inconnues.
Il ne peut donc exister aucun contrôle sur ce que les comportements des personnes "disent" aux machines, et encore moins sur ce que les machines "pensent" des personnes, grâce à l'analyse des données comparées en permanence à d'autres profils pour inférer des corrélations statistiques permettant de catégoriser des individus clairement identifiés, et à qui elles ne sont pourtant pas accessibles.
Elles sont "dupliquées" et conservées sur une multiplicité de plateformes informatiques, de sorte que leur effacement devient impossible.
Les "informations" mises par les personnes physiques sur les réseaux sociaux, sites Internet, blogs, Facebook, Twitter, Instagram... échappent techniquement aux serveurs dès qu'elles sont consultées et enregistrées sur un système local, ou lorsqu'elles sont retransmises à des tiers.
Il ne peut donc y avoir de réelle possiblité "d'oubli".
Ce pistage des individus n'occasionne qu'un agacement mineur lorsqu'il ne se manifeste que par une publicité agressive sur la toile.
En revanche, les "machines" en connaissent beaucoup plus long sur l'individu que ce dernier en sait sur lui même...
Et cette "connaissance", qui n'en est encore qu'à ses prémices, représente une "menace" pour les droits fondamentaux des personnes si elles sont mises à la disposition d'un "pouvoir".
Les moyens mis en oeuvre pour "pirater" les données personnelles sont multiples : Usurpation d'identité, introduction clandestine dans un système d'information, hammeçonnage (phishing), rançongiciel, vol de mots de passe, attaque par force brute, faux sites internet, faux réseaux wifi, vol de coordonnées bancaires... Voir sur Wikipedia : "sécurité des système d'information"
Voir sur https://www.cybermalveillance.gouv.fr
Le piratage est souvent organisé au niveau mondial par des organisations qui peuvent être gouvernementales.
Elles sont parfois facilitées par l'imprudence et la négligence des utilisateurs.
De multiples cas de violations de données n'en finissent plus d'être constatés depuis la mise en application du RGPD le 20 mai 2018 :
Voir : Bilan des violations de données personnelles sur le site de la CNIL
Il est inadmissible que des entreprises aussi puissantes que Facebook puissent faire l'objet d'aussi fréquentes violations des données personnelles de leurs utilisateurs, ce qui prouve bien la fragilité des mesures de sécurité et une certaine désinvolture dans leurs mises en oeuvre.
Il devenait donc urgent et nécessaire qu'une réglementation vienne renforcer la protection de ces utilisateurs, en responsabilisant ces exploitants.
Selon les considérants 6 et 7 du RGPD :
L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel.
L'ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante.
Les technologies permettent tant aux entreprises privées qu'aux autorités publiques d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités.
De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial.
Les technologies ont transformé à la fois l'économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l'Union, assorti d'une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques.
|
général |
|
|
II |