Concernant les données personnelles publiées sur internet notamment via des réseaux sociaux, faut-il légiférer sur un droit à l'oubli numérique ou bien la loi Informatique et libertés suffit-elle ?
Lors du colloque « Droits et libertés dans la société numérique » que j’ai organisé le 25 juin 2009, j’avais été frappée par l’insistance avec laquelle plusieurs intervenants avaient cité le droit à l’oubli comme un des droits fondamentaux à construire. En effet, le « droit à l’oubli » est un concept qui n’existe pas juridiquement. La loi prévoit un droit d’information, un droit de rectification des données, un droit d’opposition, une durée limitée de conservation, qui tous concourent à permettre l’oubli. Alors pourquoi créer un concept supplémentaire ? Parce que les technologies évoluent sans cesse, et que les possibilités d’intrusion qu’elles offrent sont de plus en plus effrayantes. Les informations que nous disséminons sur notre intimité sont de plus en plus nombreuses, de plus en plus diffuses, et un nombre croissant de personnes y a accès de plus en plus longtemps. Or ces informations peuvent se révéler préjudiciables, à un moment ultérieur de notre vie, par exemple lors d’un entretien d’embauche. Cette situation inquiète les Français. Selon une enquête réalisée à l’initiative de la CNIL et publiée en septembre 2009, près des trois quarts des personnes interrogées déplorent l’enregistrement de leurs données personnelles par les services en ligne, et 66% estiment ne pas être suffisamment informés de leurs droits. Ils trouvent les conditions d’utilisation des sites web trop compliquées à lire.
Il ressort du colloque consacré à cette problématique, que j’ai organisé le 12 novembre dernier, que face à de telles situations, face également à des services implantés dans le monde entier, on ne peut plus se reposer uniquement sur la loi nationale, ou même européenne. La directive européenne de 1995, reprise en France dans la loi Informatique et Libertés, fixe les grands principes de protection des données personnelles. Ces principes ne sont pas valables hors d’Europe. Leurs modalités de mise en œuvre diffèrent selon les pays. Pour aboutir à une protection efficace des internautes, une autodiscipline des acteurs est également indispensable. Seul un respect des bonnes pratiques leur garantira la confiance de leurs utilisateurs.
Le dispositif de protection des données personnelles doit donc s’appuyer sur deux piliers. D’une part la loi, qui fixe les grands principes à respecter. La loi Informatique et Libertés remplit déjà ce rôle, même si elle est perfectible dans les détails. D’autre part le respect par les prestataires du web de bonnes pratiques permettant aux internautes d’exercer facilement leurs droits. C’est pourquoi j’ai engagé en 2010 une large concertation avec les acteurs du web.
Photo prise au point presse du 15 avril 2010 (voir notre actualité à ce sujet)
S'agissant du droit à l'oubli numérique, pouvez-vous expliquer votre projet de charte d'engagement volontaire des acteurs du net ?
Suite au colloque « Droit à l’oubli numérique » du 12 novembre 2009, j’ai engagé des réunions de concertation avec les différents acteurs concernés, notamment la CNIL, le Forum des droits sur l'Internet (FDI), la Délégation aux Usages de l’Internet (DUI), des services de réseaux sociaux, des moteurs de recherche, des associations professionnelles de sites de commerce en ligne, des associations de protection des consommateurs et de protection des jeunes, des cabinets d’avocats, des services administratifs... Quatre réunions ont permis de soumettre aux acteurs des pistes d’engagements et de recueillir leurs premières réactions. L’objectif de ces réunions est de définir des bonnes pratiques à adopter pour mieux garantir le droit à l’oubli pour les internautes. Chaque piste d’engagement possible a donné lieu à discussion, d’une part sur l’opportunité de la mesure, et d’autre part sur les moyens éventuels à mettre en œuvre. Un premier cycle de réunions a permis de recueillir les réactions des acteurs ; un second cycle va être organisé avec les mêmes acteurs pour définir quels engagements concrets sont envisageables. A mi-parcours, où en sommes-nous ? Lors des premières réunions de concertations, un consensus de tous les participants s’est dégagé pour mettre l’accent sur la pédagogie, essentiellement pour les plus jeunes. Les réunions avec les services communautaires, comme les réseaux sociaux, les blogs, les forums, les sites de partage de vidéo… ont permis de soulever la question du paramétrage par défaut des comptes sur les options les plus protectrices. En ce qui concerne la publicité ciblée sur Internet, nous tenons compte de nombreux travaux qui ont d’ores et déjà été engagés, aussi bien au niveau français qu’européen.
Par ailleurs, j’appelle les internautes à contribuer à cette réflexion, grâce à la Place publique du nouveau site web du Secrétariat d’Etat (N.D.L.R. Voir notre actualité du 16 avril 2010). Les internautes peuvent nous faire part de leurs attentes de trois manières :
- De manière générale, ils peuvent exprimer leur sensibilité sur la question du droit à l’oubli numérique, en votant pour dire s’ils sont favorables à l’instauration d’un tel droit ;
- La Place publique récapitule les différentes pistes d’engagement qui ont été envisagées. Pour chaque piste, les internautes sont invités à dire s’ils la jugent prioritaire ou non. Ce sondage permettra de déterminer sur quels points se situent les attentes principales du public ;
- Les internautes peuvent contribuer à la réflexion en faisant part de leurs propres idées pour une charte de bonnes pratiques.
La consultation est ouverte jusqu’au 31 mai sur le site www.prospective-numerique.gouv.fr.
Pensez-vous qu'IDéNum soit de nature à mieux protéger les internautes ?
(N.R.L.R. Voir notre actualité du 12/02/2010)
Il est parfaitement possible de naviguer sur Internet de manière anonyme ou avec des pseudonymes. Toutefois, l’internaute a également de plus en plus souvent besoin de prouver son identité, ne serait-ce que pour accéder à son compte bancaire et effectuer des virements ou encore pour procéder à des démarches administratives en ligne.
Tous les services qui fonctionnent aujourd’hui avec des login/mots de passe, des accès par OTP, par SMS, par CD sécurisé… pourront remplacer ces dispositifs par un moyen simple et fiable : le certificat IDéNum, avec un couple puce + code PIN. Le fait qu’un outil labellisé puisse être utilisé sur plusieurs sites apporte plus de simplicité, plus de sécurité, et permet le développement de nouveaux usages. En outre, de nouveaux services en ligne, nécessitant une signature de l’internaute, pourront également utiliser ce certificat.
Le label IDéNum identifie les produits respectant un cahier des charges très strict en matière de sécurité et de compatibilité. Différents supports physiques peuvent être associés au certificat. Il peut notamment s’agir d’une clef USB à module cryptographique, d’une carte à puce associée à un lecteur, lui-même connecté en USB à l’ordinateur, ou de la carte SIM associée à un téléphone portable.
Outre une meilleure sécurité, IDéNum permettra aux internautes de bénéficier de nouveaux services. Aujourd’hui, de nombreuses démarches administratives ou privées peuvent être initiées en ligne, mais ne peuvent être conclues que par l’envoi, par la poste ou par scan, de pièces justificatives de l’identité, ou par l’envoi d’un formulaire papier signé. Le certificat IDéNum permettra de mener ces démarches en ligne jusqu’au bout. On peut citer parmi les démarches qui pourront être menées jusqu’au bout en ligne grâce à l’emploi d’un certificat IDéNum :
Applications gouvernementales ou publiques :
- Inscription sur les listes électorales (en test actuellement par le ministère de l’intérieur, mais nécessite l’envoi des pièces justificatives de l’identité)
- Gestion du personnel dans la fonction publique : signature des demandes de mutation, de mise en congé parental, de gestion du compte-épargne-temps…
- Demande d’allocation CAF ou sociale
- Demande de congé parental
- Demande de pension de retraite
- Demande d’allocation chômage
- Signature des bulletins scolaires dans l’Espace numérique de travail (ENT) de l’Education nationale
Applications privées :
- Ouverture en ligne d’un compte bancaire supplémentaire (livret d’épargne, compte pour les enfants…)
- Instructions à son conseiller bancaire
- Souscription d’emprunt
- Souscription de contrat d’assurance
- Signature d’un contrat de location ou d’abonnement
- Signature d’avenants à un contrat
Applications mixtes :
- Réception de mails avec accusé de réception électronique
- Signature d’e-mails (anti-spam)
- Signature de documents électroniques, de fichiers, etc…
- Sécurisation de l’accès distant au système informatique de l’employeur
Propos recueillis par Didier Frochot — mars 2010
Photo : Pierre-Erik Devie
Voir aussi :
Notre actualité du 03/12/2009
Vous avez dit droit à l'oubli numérique ?