A l’occasion de la sortie du film biopic sur Edward Snowden réalisé par Oliver Stone, revue des avancées en matière de surveillance et de protection des données personnelles.
La prise de conscience généralisée de la surveillance de masse des Etats sur les individus générée par le fameux lanceur d’alerte est allée bien au-delà d’un bout de scotch sur la webcam de votre ordinateur !
La prolifération récente de lois sur la protection des données personnelles ou leur amendement (Omnibus Data Protection Laws) au Brésil (2014), Japon (2014), même en Russie (2014 aussi…) et en Turquie (2016)… repose sur le droit fondamental à la protection de la vie privée et familiale (art. 12 Déclaration universelle des droits de l’homme).
Une fois cette base posée, les droits individuels reconnus aux personnes et les obligations imposées aux responsables de traitement et à leurs sous-traitants varient nettement d’un État à l’autre qu’il s’agisse du consentement au traitement des données, de la notification des failles de sécurité ou de la nomination d’un responsable à la protection des données.
Ainsi, si l’on observe le niveau de protection des données personnelles offert aux USA, force est de constater qu’il est loin d’être « adéquat » comme le Privacy Shield le laisserait croire. En effet, les attendus de l’arrêt Schrems sont ignorés par cette décision entrée en vigueur cet été dans l’indifférence générale : la Cour de Justice de l’Union européenne avait notamment critiqué le fait que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données transférées via le Safe Harbor ce qui privait de protection juridique efficace les personnes concernées. Cette décision vient justement d’être attaquée devant la même juridiction par le lobby irlandais pro vie privée Digital Rights.
Aux USA, la protection de la vie privée et la sécurité en ligne occupent justement le devant de la scène avec l’adoption de règles par la Commission Fédérale des Communications (FCC) le 27 octobre dernier sur la vie privée en ligne et la sécurité des données.
Partant du constat que les fournisseurs d’accès Internet ont un accès en clair à toutes les données de leurs clients : activité en ligne, applications, objets connectés, la FCC en déduit qu’ils peuvent traquer en temps réel leurs activités, leur état de santé, leurs problèmes financiers.
Le consentement explicite des usagers sera plus souvent requis pour la collecte et le traitement des données personnelles sensibles : géolocalisation, données financières et de santé, mais aussi la navigation et l’historique de l’utilisation des apps. Mais pour les autres données personnelles identifiantes, le système reste l’opt-out, or les consommateurs ignorent toujours comment faire pour s’opposer à cette immixtion dans leur vie privée !
Autre faille majeure du texte : il ne s’applique pas aux moteurs de recherche et aux sites Internet ! ! !
La protection des données personnelles provoque donc un vif débat outre Atlantique : une preuve de plus que le Privacy Shield ne tient pas la route…
Les droits des personnes sur leurs données sont affirmés tant par le règlement européen général sur la protection des données personnelles (RGDP) que par la jurisprudence européenne ouvrant largement le prétoire de la Cour européenne des droits de l’homme aux personnes pouvant faire l’objet de mesures de surveillance.
Simultanément, les pouvoirs de sanction des autorités de protection des données nationales et européenne augmentent (3 millions d’euros pour la CNIL, 20 millions d’euros selon le RGDP). Leur action se trouve soutenue par les instances de protection des consommateurs (Commission des clauses abusives, DGCCRF en France et Federal Trade Commission aux USA) qui pointent du doigt les déséquilibres nocifs pour les internautes habilement cachés dans les conditions d’utilisation des services en ligne ou les politique de confidentialité.
Surprise du chef, les autorités de la concurrence s’en mêlent et enquêtent sur le possible abus de position dominante dont les géants de la toile seraient coupables en capturant autant de données personnelles mettant ainsi en exergue les interactions entre le big data et les concepts familiers du droit de la concurrence.
Depuis les révélations de Snowden, de plus en plus d’entreprises américaines (Google, Yahoo, Facebook, Airbnb…) communiquent sur les accès demandés par les autorités nationales via leurs « Rapports de transparence » qui détaillent le nombre de requêtes de données d’utilisateurs, l’origine de la demande et parfois l’autorité nationale de qui elle émane ce qui met en lumière l’activité gouvernementale.
Il est assez ironique de constater que cette « transparence » (outil marketing ?) émane des principaux sites de collecte massive de données personnelles. De plus, dès lors que le gouvernement américain interdit d’y distinguer ce qui relève du Foreign Intelligence Surveillance Act (lutte contre l’espionnage ou le terrorisme) ou du Patriot Act (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) la transparence reste limitée. Quant à la NSA, elle assure dans son propre rapport de transparence, qu’elle fait bien son travail…
Gardons aussi à l’esprit que nous sommes en premier lieu, mais seulement dans une certaine mesure, maîtres des données personnelles que nous partageons via nos interfaces de navigation, applications mobiles et réseaux sociaux grâce à la gestion des paramètres de confidentialité de nos iBidules (géolocalisation, services système…).
Commençons donc à changer nos habitudes et calmons le geek qui est en nous !
Powered by WPeMatico
This Post Has 0 Comments