Digital Society Forum Digital Society Forum
Dossier 20/04/2015

Vie privée et données personnelles, quelles différences ?

Si le droit à la vie privée et le droit à la protection des données personnelles ont tendance à être confondus, ces deux notions plutôt récentes ne recouvrent pas forcément les mêmes domaines.

La première trouve ses origines en 1890 sous la plume des avocats américains Louis Brandeis et Samuel Warren. Définie à l’époque comme le droit d'être laissé seul ou tranquille, elle devait surtout protéger d’attitudes abusives de journalistes. Aujourd’hui, la vie privée demeure un concept relativement flou : ses contours sont loin d'être arrêtés ; son caractère personnel renvoie à la notion de subjectivité et une définition applicable à tous apparaît impossible. En témoigne la barrière séparant la vie publique de la vie privée d’un individu lambda avec celle d’un homme politique. De plus, bien que présent dans de nombreux textes de lois (Déclaration Universelle et Convention européenne des Droits de l’Homme, Code civil, loi de 1979 sur les archives), ce droit est interprété différemment selon les pays.

Données sensibles


C'est dans ce large cadre que s’inscrit la notion de données à caractère personnel, définies comme des informations relatives à une personne physique identifiée. On peut en distinguer deux types : les données à caractère personnel direct, comme une photo, un nom, une date de naissance ou toute autre donnée biométrique ; et les données à caractère personnel indirect, c’est-à-dire les informations dont l'analyse permet d’identifier un individu : un numéro de sécurité sociale, une adresse IP ou un numéro client. Le droit distingue également les données dites « sensibles » ; dans le droit français, il s'agit des données faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données relatives à la santé ou à la vie sexuelle. Il est bon de noter qu'avec l'exposition de soi mise en avant sur les réseaux sociaux, de telles données sont parfois accessibles en quelques clics.

Safari part à la chasse


Si ces données personnelles peuvent être soumises à une surveillance étatique et commerciale, elles peuvent aussi faire l’objet d’usurpations d’identité ou d’atteintes à la vie privée. Par conséquent, le droit considère qu’elles doivent être protégées. Cette prise de conscience, relativement récente, remonte en France à 1974 à la faveur d’un scandale : la révélation du fichier Safari (Système automatisé pour les fichiers administratifs et répertoires des individus), mis en place par Raymond Marcellin, ministre de l'Intérieur, afin de centraliser 100 millions de fiches issues de différents fichiers policiers mais aussi administratifs (sécurité sociale, impôts, etc.). Rappelant le sinistre système mis en place pour les juifs sous le régime de Vichy, le scandale Safari donnera naissance à la loi Informatique et libertés (promulguée en 1978) et à la commission du même nom. Cette autorité indépendante a pour mission de veiller au respect des dispositions de la réglementation relative aux données, de réguler et contrôler les fichiers informatiques et d'informer les citoyens sur leurs droits.

Les piliers de la loi


La loi Informatique et libertés s'appuie sur sept piliers principaux. Le principe de finalité implique que les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage spécifique et légitime ; le principe de proportionnalité et de pertinence indique que seules les données nécessaires à la finalité poursuivie peuvent être recueillies. En somme, il est interdit de recueillir le numéro de sécurité sociale d’une personne si l’on souhaite lui vendre un billet de train par exemple. Le quatrième grand principe, connu sous le nom de « droit à l'oubli », encadre la durée de vie des données personnelles. Ces dernières ne peuvent être gardées ni pour une durée illimitée ni pour une durée excédant les finalités poursuivies. Ainsi, les données de trafic ne peuvent être conservées qu’une année par exemple (sauf lorsqu’elles sont gardées à titre de preuve dans le cadre d’une enquête judiciaire).

Le principe de la sécurité et de la confidentialité des données stipule que les personnes ou entreprises qui les possèdent (sites marchands, réseaux sociaux) doivent prendre les mesures nécessaires pour garantir leur confidentialité, éviter leur divulgation ou leur destruction. Elles peuvent néanmoins être consultées « par les autorités habilitées à y accéder en raison de leurs fonctions. »
Le principe de transparence garantit le droit de contrôler personnellement ses données et d’avoir un droit de regard quand ces dernières sont collectées et transmises à un tiers. Enfin, la loi insiste sur le principe de respect des droits de la personne : chacun doit être informé de la finalité de traitement de ses données, avoir un droit d'accès, de rectification et de suppression ainsi qu'un droit d'opposition permettant d’en refuser l’enregistrement dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire.

Une loi dépassée ?


Conçue pour protéger les citoyens des bases de données centralisées (celles de l’État mais aussi d'institutions bancaires ou administratives), la loi Informatique et libertés n’est pas toujours adaptée à la récente évolution du numérique. Non seulement les individus sont les premiers à produire et mettre en ligne des données à caractère personnel, mais les géants du web, comme Google, recueillent l'ensemble des données de navigation des internautes, transgressant, via leurs cookies, les principes de pertinence et de proportionnalité.

De manière plus globale, c'est la notion même de données personnelles qui mérite d’être revue. En effet, le droit français les considère attachées au droit à la personne : chacun en a un droit d'usage mais pas de droit de propriété. Or, s’il est interdit de les commercialiser, elles sont pourtant bel et bien exploitées par les acteurs privés – et notamment les géants du web – qui les captent à partir de l’activité en ligne et monétisent le droit de les exploiter en s’appuyant sur les conditions d’utilisation de leurs services (les fameux CGU que l’on signe sans vraiment les avoir lus). En l’état, les internautes ont donc le choix entre laisser leurs données être utilisées par Facebook ou... ne pas utiliser Facebook.

Pour reprendre le contrôle des données à caractère personnel et sortir d'une position exclusivement défensive qui s'avère handicapante, plusieurs pistes sont donc explorées. La première consiste à considérer ces données comme un patrimoine pouvant être cédé ou vendu à des entreprises : leur monétisation permettrait aux internautes de s’en réapproprier la maîtrise et de lutter contre la mainmise des géants du web. Cependant, cette utilisation commerciale risque d'augmenter les inégalités entre les internautes (ceux qui vendront leurs données contre ceux qui sauront les protéger) tout en offrant un marché juteux au secteur privé sans réelles contreparties. Une autre piste – celle de la Fing via son projet MesInfos – propose d'utiliser le modèle du self data : donner aux individus le même niveau d'analyse et de contrôle de leurs données que celui des entreprises ou des administrations qui les exploitent. Libre à eux ensuite de les protéger, les partager ou les échanger.


Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

Soyez le premier à réagir !

Les sources de cet article


S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF