Droit à l’oubli et protection des données
personnelles sur internet
Identité numérique
Certains le qualifient de «double numérique » pour caractériser l’ensemble des données que les systèmes d’informations recueillent, stockent et traitent pour chaque individu, à partir de ses multiples actions via les ordinateurs et les réseaux de télécommunications. D’autres auteurs, Olivier Iteanu 1 par exemple, parlent à ce sujet d’identité numérique. Les codes numériques qui représentent ces traces sont enregistrées dans les mémoires magnétiques les plus diverses. L’adresse IP (Internet Protocol) qui changeait au fil des utilisations est désormais fixe lorsque les internautes possèdent des Livebox, Freebox, etc. qui sont dotés d’IP permanents. Il devient de ce fait un identifiant qui permet de localiser l’internaute. Malgré leur hétérogénéité, ces codes numériques ont comme caractère commun la référence à un même individu. Cette référence est directe, dans le cas de l’état civil ou des fichiers scolaires, ou bien indirecte quand il s’agit de l’adresse-mail et du code IP, de la localisation cellulaire d’un téléphone portable ou encore des avatars que nous créons dans des mondes virtuels. Le double numérique ou l’identité numérique se compose donc d’une part, de données recueillies de façon induite à notre activité via nos utilisations de dispositifs numérisés sans que nous le souhaitions (carte bancaire, carte Navigo, etc.) et d’autre part, de données que nous produisons délibérément (achats en ligne, commentaire, tag, etc.).
Les différentes facettes de l’identité numérique
Comme nous venons de le voir, notre identité numérique est composée de nombreuses informations qui peuvent être regroupées en facettes : – Les coordonnées, c’est à dire tous les moyens numériques qui permettent de joindre un individu (email, messagerie instantanée, Numero de téléphone), de l’identifier (fichier FOAF ou hCard) ou de le localiser (Adresse IP) ; – Les certificats qui sont délivrés par des organismes (Certinomis, Thawte. . . ), des services (OpenID, ClaimID, Naimz ou des logiciels (CardSpace) afin d’authentifier un utilisateur – Les contenus publiés à partir d’outils d’expression qui permettent de prendre la parole : 1. Avocat depuis 1988, il est l’un des pionniers du droit de l’Internet en France. Il a été successivement président puis président d’honneur de l’ISOC France de mai 2000 à février 2003. Il a organisé, à l’occasion de la première fête de l’Internet en 1998, le procès de l’Internet à la grande Cour d’assises de Paris. Il est en juillet 2012 l’avocat le plus cité dans la base de données de jurisprudence française sur les TIC 12 Figure 1.1 – Les différentes facette de l’identité numérique blog, podcast, videocast, portail de journalisme citoyen (Agoravox, Wikio. . . ) ; – Les contenus partagés à l’aide d’outils de publication : photos (Flickr), vidéos (YouTube, Dailymotion. . . ) – Les avis sur des produits, des services, des prestations (ex. voyages avec TravelPost) ou même information (Digg) – Les hobbies qui sont partagés par les passionnés sur des réseaux sociaux de niche (Boompa pour l’automobile, Cork’d pour le vin, BakeSpace pour la cuisine. . . ). – Les achats réalisés chez des meta-marchands (comme Amazon ou eBay), avec des systèmes de paiement (comme Paypal ou Google Checkout) ou de programmes de points de fidélité (comme S’Miles ou Maximiles) qui permettent de modéliser les habitudes de consommation ; – La connaissance diffusée au travers d’encyclopédies collaboratives (Wikipedia), de pla13 teforme de FAQ collaborative (comme Yahoo ! Answers ou Google Answers) ou de sites de bricoleurs (Instructables) ; – Les portails (Monster, WetFeet. . . ) et réseaux sociaux (LinkedIn . . . ) qui servent à donner de la visibilité à sa profession – Les services qui gèrent la notoriété d’un individu (Technorati, Cymfony. . . ), sa fiabilité (Biz360) et sa réputation (RapLeaf, iKarma, ReputationDefender. . . ) ; – Les services de rencontre (Meetic, Friendster. . . ) et de fédération d’individus en audiences homogènes (MySpace, MyBlogLog. . . ) ; – Les jeux en ligne (World of Warcraft, Everquest. . . ), les univers virtuels (SecondLife, There, Habbo Hotel. . . ) et les services en ligne (SitePal, Gravatar) qui permettent d’afficher un avatar Le schéma suivant synthétise les différentes facettes de l’identité numérique
De la trace à la donnée personnelle
En synthétisant ce que nous avons déjà évoqué, nous pouvons dire que la trace est constituée d’éléments laissés par l’internaute volontairement ou non. Elle est antérieure à la donnée qui est une trace exploitée ou exploitable par les entreprises de l’internet. Cette donnée peut alors prendre un caractère personnel lorsqu’elle permet l’identification d’une personne physique directement ou indirectement ou par recoupement d’information. Sur ce point il nous parait intéressant de s’interroger sur la connexité entre données personnelles et vie privée.
Vie privée
Les notions liées à la vie privée seront difficilement définies sans s’intéresser aux différentes acceptions du terme Privacy. En effet, si l’on peut le faire correspondre en français à la notion assez générale de «caractère privé» d’une chose, ce mot semble recouvrir un certain nombre de concepts liés. Nous considèrerons ici le terme Privacy comme une traduction imparfaite de la locution vie privée, nous autorisant par la suite à définir des termes dérivés. La mention du 14 concept de vie privée éveille chez tout un chacun un ensemble de problématiques liées à notre vie quotidienne. Ainsi, la capacité à cacher un certain nombre de choses sur soi au public, à des collègues, à des connaissances, relève indubitablement de notre droit à la vie privée. La notion de surveillance des activités d’un individu, l’enregistrement ou le traitement d’informations le concernant, le fait d’entrer en communication avec lui sur la base des résultats d’un tel traitement sont autant d’actions en lien étroit avec la notion de vie privée ou de sphère privée. En 1967, Alan Westin définit ainsi le terme Privacy[15], en adoptant un point de vue de type juridique, confondant en un seul et même mot la chose et le droit à la chose : «Right of individuals to determine for themselves when, how and to what extent informations about them is communicated to other» La vie privée est donc essentiellement une question de gestion des flux d’informations se rapportant à une personne physique. Günter Müller adopte un point de vue assez similaire mais plus abstrait [9] en définissant ainsi la Privacy : «Possibility to control the distribution and use of personal data». Ces deux points de vue semblent limiter la notion de vie privée à une diffusion maîtrisée d’informations. Ainsi, certains auteurs partent de ce constat pour poser des définitions à vocation plus générale, en effet, Sarra Basse propose par exemple dans son livre The gift of fire [7] une acception légèrement différente et sans doute plus parlante, suivant laquelle le mot Privacy peut signifier indifféremment : – L’absence d’intrusion ; – Le contrôle des informations nous concernant ; – L’absence de surveillance. Cette tentative de définition comme nombre d’autres amènent à penser que les concepts de la vie courante que nous associons instinctivement à la notion de vie privée se réduisent effectivement tous à un problème de contrôle de l’information. Ceci posé, nous pouvons formaliser quelques définitions liées à la vie privée à partir des éléments déjà recueillis, afin de faire référence par la suite à des concepts clairs et distincts. Plutôt que d’utiliser le terme de vie privée qui, nous l’avons vu, peut s’avérer assez vague nous prendrons appui sur le concept équivalent de sphère privée. La sphère privée d’un individu est l’ensemble des informations, se rapportant à lui-même, qu’il considère comme sensibles et donc dignes d’être protégées. Cette sphère est personnelle (l’individu est le propriétaire des informations qu’elle contient), personnalisable (l’individu décide des informations qu’elle contient), dynamique (les informations peuvent y être ajoutées ou en être retirées) et dépendante du contexte (les informations qu’elle contient peuvent, en nature et en nombre, dépendre du temps, des activités de l’individu ou d’autres paramètres).
Données personnelle et droit à l’oubli
Chaque pays dispose d’un cadre réglementaire qui vise à renforcer le droit des personnes sur leurs données. Au Sénégal, la CDP est une Autorité Administrative Indépendante (AAI) instituée par la loi numéro 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel et pour mission de veilles, de sensibilisations, de conseils et de propositions. Cependant, depuis sa création, l’institution est en perpétuel ajustement aux nouvelles tendances internationales suite à son adhésion à la convention 108 du Conseil de l’Europe et à son protocole additionnel au sujet des autorités dites de contrôle et des flux transfrontalières de données. En France, La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la Loi Informatique et Liberté qui la qualifie d’autorité administrative indépendante. Nous nous référerons cependant pour cette section à la loi informatique et liberté.
Droit à l’oubli
Ce droit peut se définir comme un principe selon lequel l’exploitant d’un moteur de recherche doit être considéré comme un responsable du traitement de données à caractère personnel et, en tant que tel, est tenu de supprimer les données traitées relatives à une 16 personne physique sur simple demande de cette dernière. Concrètement, ce droit vise à permettre de protéger la vie privée de tout individu en lui permettant notamment de demander la suppression partielle ou complète de résultats de recherche à son nom et qu’il juge inappropriés. Ce droit à l’oubli prend plusieurs formes.
Droit d’opposition
Le droit d’opposition prévu à l’article 38 de la loi «Informatique et libertés» permet de s’opposer, pour des motifs légitimes, à ce que ses données fassent l’objet d’un traitement. En matière de prospection, notamment commerciale, ce droit peut s’exercer sans avoir à justifier d’un motif légitime. Ce droit permet donc de s’opposer à ce que des données à caractère personnel soient collectées, enregistrées, diffusées, transmises ou conservées. Le droit d’opposition s’exerce soit au moment de la collecte des données, soit plus tard, en s’adressant au responsable du traitement de ces données. Ce droit n’est pas absolu et présente quelques limites. Le droit d’opposition est un droit personnel qui ne peut être étendu aux données concernant des tiers, même s’il s’agit de membres de sa famille, sauf les cas de représentation de mineurs ou de majeurs protégés. Le droit d’opposition n’existe pas non plus pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale. Cependant, le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes. De tels agissements sont punis de cinq ans d’emprisonnement et de 300 000 euros d’amende selon la CNIL
1 Les données personnelles |