Retour sur | Quelle protection de la vie privée sur Internet ?

Actions

2014_Retour sur | Quelle protection de la vie privée sur Internet ?

Thématique(s) :

Une série de questions ont justifié la mise en place de cet atelier. Pour nous aider à  y répondre nous avons fait appel à  deux juristes, tout deux membres de la Commission nouvelle technologies de la Ligue des droits de l’homme , Laurie Phillips et François Danieli,et à  un inspecteur principal de la Federal Computer Crime unit, Yves Vandermeer.

Très rapidement Yves Vandermeer a axé son intervention sur trois points : Les risques, le comportement des utilisateurs et les mesures de protection.

Une information de première importance, il faut se rendre compte que l’on estime à 40% les données que nous communiquons sur notre ordinateur qui sont exportées et exploitées par des organisations criminelles. À partir de Botnet, toute une série de logiciels malveillants s’installent sur nos PC, consoles de jeux et smartphones. Ceux-ci sont alors en mesure de télécharger toutes les informations contenues sur votre pc, prendre le contrôle de votre ordi et de tous les périphériques qui y sont reliés (webcam, , micro,…) « à l’insu de votre plein gré ».

Il a ensuite souligné le paradoxe de la sécurité pour les utilisateurs de nouvelles technologies : les citoyens réclament davantage de sécurité sur internet mais refusent l’idée même d’un contrôle. Une situation absurde pour les policiers qui, comme lui, ont pour mission de garantir le respect de tous et la protection des utilisateurs.

Une bonne part du problème pourrait venir de l’inconscience de certains utilisateurs qui négligent des formes élémentaires de méfiance à partir du moment où les produits sont gratuits ! Le monde de l’entreprise et le secteur économique privé ne se privent pas d’exploiter toute sorte de données à des fins de profilage et les gens ne semblent pas se soucier alors qu’ils sont plus alarmistes quand il s’agit d’un pouvoir public (police, douane, fisc,…) qui procède à ce type de travail. C’est absurde, tient-il à rappeler car dans le cas d’un service public, cette utilisation est balisée par une série de règles prévues par le législateur alors que lorsque l’on fournit ces données dans la sphère des entreprises privées les balises sont moins évidentes. Les gens ne semblent pas avoir conscience que lorsqu’ils acceptent de fournir certaines données, la société privée ne se limite pas à les consulter, elle les enregistre et est en mesure de les fournir à des tiers !!!

Yves Vandermeer a donc terminé son intervention en présentant une série d’éléments de réponses pour lutter contre la cybercriminalité : pour réduire les risques, la communication des données est un élément important pour le travail de la police. Celles-ci permettent d’identifier et arrêter un suspect mais également pour prouver et condamner un coupable. Mais cela ne suffira pas, le comportement des utilisateurs sera un facteur prépondérant dans la réduction des risques. Cela ne sera possible qu’avec une éducation dans l’utilisation des nouvelles technologies en toute sécurité et par une plus grande transparence des différents acteurs.

Et enfin, pour avoir des mesures de protection efficaces il va falloir impliquer tous les acteurs et mettre en place une législation qui soit à la fois adaptée aux nouvelles technologies (qui évoluent très vite !) et réaliste (inutile d’utiliser un bazooka pour attraper des mouches et une tapette pour arrêter un tank)

Laurie Phillips et François Daniéli ont démarré leur intervention en nous rappelant ce qu’il fallait entendre par les droits fondamentaux à respecter sur le net :

  • le respect de la vie privée,
  • la protection des consommateurs
  • et la neutralité du net.

La protection de la vie privée dans la loi

Les bases juridiques du respect de la vie privée sur le net sont la Directive européenne 95/46 de 1995 et la loi vie privée de 1992 (LVP). Cette dernière articule la question du traitement de données sur 5 principes :

  1. Un principe de licéité et de loyauté – le traitement des données doit être licite.
  2. Un principe de proportionnalité – à quoi servent ces données récoltées ? Pour combien de temps sont -elles enregistrées ?
  3. Un principe de finalité – les données personnelles ne peuvent être traitées qu’en vue de finalités déterminées, légitimes et explicites.
  4. Un principe de transparence – une personne dont les données sont traitées doit en connaitre le motif et l’objectif.
  5. Un principe de « durée limitée » – les données personnelles ne peuvent être conservées que pendant la durée nécessaire pour atteindre la finalité.

C’est au responsable du traitement des données de veiller au respect de ces principes. Il est donc tenu de faire une déclaration de traitement auprès de la Commission de la Protection de la Vie Privée.

La loi Vie privée prévoit pour tous les citoyens une série de droits qui vont du droit à l’information, à l’accès, à la rectification des données incomplètes ou erronées, à l’oubli, de déposer plainte à la CPVP.

La question de la protection de la vie privée est-elle la même des deux côtés de l’atlantique ?

Safe Harbor

Il existe depuis les années 2000, cet accord entre les USA et la Commission européenne qui permet à une entreprise américaine de certifier qu’elle respecte la directive européenne 95/46 sur la vie privée afin d’obtenir l’autorisation de transférer des données personnelles de l’UE vers les États-Unis.

La question du droit à l’oubli

En mai 2014, une décision de justice de la CJUE a condamné Google suite à une plainte introduite par un citoyen espagnol qui a reconnu Google comme Responsable du traitement des données. La conséquence de ce verdict a été la création chez google d’un formulaire pour le droit à l’oubli. Même si ce dernier laisse une série de questions puisqu’il demande que les utilisateurs fournissent une copie de leur carte d’identité, la liste des URL dont ils souhaitent se passer, une justification de la demande. De plus le traitement de cette demande ne vaudra que pour les versions européennes de google !

Un autre épisode inquiétant est la demande récente de l’US District Court de New York qui a imposé à la société Microsoft de fournir toutes les données dont elle dispose même les données protégées par des lois non américaines !

La protection du consommateur ?

Quid du rôle des entreprises commerciales qui forcent la main des individus pour qu’ils communiquent un grand nombre de données personnelles ? La réponse se trouve dans le code civil aux articles 1108 et 1109. on peut identifier 3 règles fondamentales pour faire respecter nos droits !

La règle d’or, c’est de s’informer.

La règle d’argent, c’est de rester prudent avant de consentir à donner mes données personnelles.

La règle de bronze, c’est d’utiliser une série de petits trucs.

Qui possède mes données ?

  • Dans le privé :

Par le biais des cartes de fidélité par exemple, les sociétés privées connaissent mes habitudes alimentaires, mes préférences intimes et mes capacités financières, … ! toutes ces données collectées peuvent ensuite circuler auprès d’autres sociétés membres du même groupe ou vers des partenaires commerciaux. Ces bases de données peuvent également être achetées par des sociétés privées spécialisées dans la collecte et la vente comme consumatrix qui agit en toute légalité et concentre 6,5 millions de données de consommateurs belges.

  • Dans le secteur public :

Il existe également une série de banques de données publiques (registre national, registre de la population, DIV, cadastre,…) mais chacune de ces banques de données est encadrée par une loi ou un arrêté royal. Ces données personnelles gérées par le secteur public doivent faire l’objet de la plus grande vigilance et doivent être précieusement protégées. C’est en bonne partie très souvent le cas ; mais peut-on en dire autant quand il s’agit de données personnelles gérées par le secteur privé ? Dans le secteur public, la constitution de BD est fixée par la loi et est soumise a priori au contrôle de la Commission Protection de la Vie Privée (CPVP) alors que dans le secteur privé cette activité est souvent opaque et ne fait l’objet du contrôle de la part de la CPVP qu’a posteriori (suite à une plainte,…)

Comment renforcer les garanties en matière de protection de nos données personnelles ?

Le travail du législateur ne suffit pas ! Il est important de conscientiser les gens que l’utilisation de TIC va de pair avec :

  • Une bonne information : Lire les privacy policies (!), connaitre ses droits, se tenir informer du travail et du rôle de la CPVP,… Il faut prendre conscience que les applications sur smartphone et ou facebook collectent toute une série d’informations personnelles (ex angry bird),
  • Une responsabilisation de l’utilisateur  : Il importe d’être vigilant quant aux informations personnelles que je fais circuler sur le net, sécurité des mots de passes, paramètres de confidentialité de mes différents profils,
  • Une responsabilisation de notre entourage : Il est parfois nécessaire de rappeler que les actions sur le net de notre entourage peut avoir une influence sur notre vie privée. Il n’est pas inutile de rappeler que le fait de poster des photos et de taguer quelqu’un sur les réseaux sociaux n’est pas sans conséquence.

Quelques petits trucs

Ils ont enfin terminé leur intervention en rappelant une série de petits trucs à faire pour protéger notre vie privée sur internet :

  • googliser son nom pour savoir ce qui ressort et le cas échéant procéder à une démarche de droit à l’oubli auprès de Google.
  • Supprimer son historique et vider le cache,
  • Pour éviter les traceurs et ainsi ne plus être la proie de publicités ciblées et ne pas voir les prix sur les sites de vente en ligne grimper à chaque passage, adopter Ghostery
Article précédent Article suivant

Nos thématiques

Voir toutes les thématiques