Analyses de débats
Sommaire
Présentation des éléments de contexte
L’analyse sectorielle sur le commerce électronique en France, nous a permis de mettre en lumière l’émergence de nouvelles formes de commerce qui tendent à s’imposer au détriment des formes traditionnelles. Alors que les vépécistes peinent à renouveler leur fonctionnement et à assurer leur survie économique, de nouveaux modèles, issus de l’internet connaissent le plein essor. Pour pérenniser ce développement, il est important d’assurer la confiance du consommateur et de donner aux entreprises un cadre pour qu’elles puissent profiter pleinement des opportunités liées aux nouvelles technologies. Notamment, en matière de marketing comme la fouille de données, la géolocalisation, le profilage… Mais la multiplication des données et leur exploitation extensive se heurte au problème de la protection de la vie privée.
L’Union Européenne s’est inquiétée des enjeux de la protection des données personnelles dès 1995, en établissant une Directive. Celle-ci définit les règles de traitement de données et de leur circulation. Mais bien que toutes législations des Etats membres s’en inspirent une forte fragmentation des cadres législatifs concernant la protection des données personnelles subsiste au sein de l’UE.
L’exploitation des données personnelles est un levier de croissance économique. Les sociétés considérées comme les plus performantes actuellement (Google, Facebook…) ont fait de cette activité, le socle de leur succès. L’Europe tient à exploiter et à protéger son propre marché estimé à 300 milliards d’euros (valeur des données personnelles des Européens en 2015). En mars 2010, l’UE lance la stratégie Europe 2020. Sept initiatives phares sont instituées, dont la « stratégie numérique pour l’Europe » afin de créer de la richesse et de l’emploi.
Le scandale de l’affaire Prism a relancé les débats sur la question de la protection des données personnelles et rappelé l’urgence de la mise en œuvre d’une parade. Régulièrement, les entreprises du GAFA (Google, Amazon, Facebook, Apple) sont pointées du doigt voire poursuivies pour leurs pratiques douteuses.
De mieux en mieux informés, les citoyens s’inquiètent de l’usage qui est fait de leurs données et demandent des comptes.
L’établissement d’une législation est donc soumise à une double exigence : protéger un marché, promis à une forte croissance dans les années qui viennent, celui du big data et la vie privée des individus. La difficulté, pour le législateur, consiste à trouver un compromis acceptable pour les différentes parties.
En janvier 2012, Viviane Reding présente un nouveau projet de règlement pour la protection des données en Europe. Ses objectifs sont les suivants :
- renforcer la législation et l’actualiser
- harmoniser la législation à l’échelle du continent
- créer un marché unique numérique.
A peine présenté, le projet de règlement européen a suscité de vifs débats. La plupart des Etats membres ont retoqué d’emblée la première copie et réclamé la poursuite de la réflexion, jugeant que l’équilibre entre la protection du citoyen et les intérêts économiques des acteurs du numérique n’était pas respecté. Bruxelles est depuis, le théâtre d’une lutte intense entre partisans d’un renforcement de la protection de la vie privée et défenseurs d’une règlementation plus souple.
Qu’est ce qui fait débat ? Qui sont les promoteurs d’une réglementation renforcée ? Qui sont les détracteurs ? Quels sont leurs arguments ? Ce projet sera t’il suffisant pour atteindre ses objectifs?
Méthodologie corpus et choix des sources
Présenter corpus Calliope et documents complémentaires
Divergences et convergences
Les points de vue analysés et sources de prises de position’’’
- EDRI
Synthèse de la position de la coalition d’octobre 2013 avant le vote du parlement européen Source : Data protection series – issue sheets By Kirsten Fiedler octobre 2013
- EMOTA
Synthèse de la position d’Emota du 27 mai 2013
- E COMMERCE EUROPE
source : « 10 recommandations pour une régulation de la protection des données », Position paper, novembre 2013. http://www.ecommerce-europe.eu/stream/10-recommendations-for-a-data-protection-regulation10
- ICDP
Source : Appel du 24 octobre 2013 à une profonde amélioration du texte adopté par le comité LIBE de Parlement européen. http://www.aalep.eu/industry_coalition_for_data_production_not_happy_with%20text_approved-by-the_EP%27s_civil-liberties_committee
- Définitions des données personnelles
Edri : dans la directive toutes les données liées à des individus sont réputées pesonnelles. Définition extensive de la notion de données personnelles pour prendre en compte les pratiques de tracking et de profilage qui peuvent s’opérer par croisement et corrélation de jeu de données (une liste de numéro de portable par exemple) faiblement identifiantes quand elles sont prises séparément mais pour aboutir à des modélisations de type d’usagers, de clients : des données dites « pseudonymisées »… Donc assujettir ces données et leur traitement et conservation aux mêmes règles de protection que les données à caractère personnel. Car danger des possibilités de ré identification des données « pseudonymisées ». S’oppose aux amendements (ALDE, PPE et Indépendants) qui restreignent le champ en considérant que les données doivent être considérées comme personnelles uniquement pour ceux qui opèrent les traitement « les controllers » et le tiers qui œuvre avec lui. Et ceux (Alde et PPe) qui veulent une protection allégée pour les données « pseudonymisées ». Pour adopter le principe que la « singularisation » des données débouche sur la constitution de données personnelles.
- Le consentement requis : enjeu du passage de « non ambigu » à « explicite »
Edri : Pour un consentement explicite, spécifique et informé.
Contre les systèmes de pré-ticket boxes et autres option d’acception des « conditions générales d’utilisation »…
Contre la nouvelle notion de consentement large « broad consent » introduite par Alde, S&D et PPE
Emota : prône retour à consentement non ambigu. Invoque un frein très préjudiciable au développement du e commerce et le risque d’engendre des procédure de recueil de consentement trop fin et fastidieux sans bénéfice ni pour le consommateur ni pour le commerce.
Ecommerce Europe : veut laisser ouvert le choix des réglages techniques, des formulaires pré remplis assortis des options de refus clairement présentés.
ICDP : demande à restreindre le recueil du consentement explicite aux situations vraiment risquées (genuinely at-risk situations.)
- Intérêt légitime ( article 5 du projet de règlement)
Edri : Pour une acception réduite de cette exemption aux obligations, qui permettrait un traitement de donnée sans lien avec l’objectif initial de la collecte
- Data minimisation : principe selon lequel la collecte, le stockage et le traitement ne peuvent servir à des fins autres que celles énoncées initialement.
- Droit à l’oubli (article 17)
Edri : droit important qui existe déjà dans la directive de 1995 qui donne pouvoir aux individus de demander l’effacement des traces les concernant.
L’introduction du droit à l’effacement a engendré beaucoup de confusion ;
Dénoncent aussi la mauvaise foi des interprétations qui y verraient la possibilité de s’exonérer de toute responsabilité en obtenant le droit à l’effacement de toutes traces (presse, décisions de justices…) les concernant.
Ecommerce europe : veut retirer du texte la notion de « droit à l’oubli » et en contrepartie renforcer l’effectivité du droit existant (dans la directive 95/46/EC.) des individus à obtenir l’effacement de leur données ou le retrait de leur consentement.
- Portabilité des données (article 18)
Idée de garantir aux individus le droit de déplacer ses données d’un service à un autre (réseau social ou autre) sans être par exemple obligé de tout abandonner en quittant un service qui ne satisfait plus.
Edri : y voit une garantie pour l’ouverture du marché à des nouveaux acteurs, stimulante pour l’innovation et la mise en compétition des prestataires ; Les formats doivent être interopérables ; Convoque l’affaire Prism. Permettrait aussi aux individus de ne pas se retrouver captifs des opérateurs américains qui ont exporté leurs données et les ont transmis à la Nsa. Pourraient ainsi choisir des prestataires plus respectueux de leur droit. E commerce Europe : Veut remplacer le « droit à la portabilité des données » par « le droit d’obtenir ses données » et en limiter la portée aux contenus générés par les utilisateurs, les réseaux sociaux en particulier.
- Profilage (Profiling) Art. 20 du projet de règlement
Edri : (convoque affaire des passagers des compagnies aérienne PNR) ; convoque étude de Cambridge sur puissance d’intrusion du profiling (cf. : http://www.cam.ac.uk/research/news/digital-records-could-expose-intima…)
Opération de modélisation par des algorithmes et des automates de plus en plus puissants de « stérétotypes comportementaux » utilisés dans le business et la sécurité sur la base de corrélations et de projections statistiques. Les marges d’erreurs statistiques entre 5 et 10 % « acceptables » par les opérateurs sont très problématiques pour les individus. Prône l’interdiction en ligne et hors ligne en l’absence de consentement et la création de conditions d’information sur l’usage de la modélisation visée. S’oppose aux amendements (surtout Alde) qui veulent transformer la condition imposée d’opt in ( consentement positif préalable des individus) en opt out ( qui n’empêche pas l’opération mais donne le droit à l’individu de demander à ne pas y être soumis et à s’y opposer)
Emota : restreindre le profilage basé sur des données personnelles aurait des conséquences trop lourdes en terme de coût et d’efficacité pour le marketing direct. Demande qu’il ne soit soumis à aucune obligation de consentement pour le profilage à base de données personnelles pour autant qu’il n’engendre aucun effet indésirable sur le sujet des données.
E commerce Europe : veut restreindre le champ d’application de l’article 20 aux seuls cas de profilages néfastes pour la vie privée du sujet des données. Et clarifier dans un considérant distinct que le profilage conduit à des fins de marketing direct et de digital marketing n’entre pas dans ce champ. Convoque en particulier la recommandation du conseil de l’Europe de 2010. Le « profiling » est une ressource essentielle pour les industriels qui doivent anticiper les attentes et honorer les demandes du consommateur : il profite aux industriels et aux consommateurs. Mais l’usage responsable des données personnelles est une condition essentielle de l’entretien de la confiance des individus dans le e-commerce.
- Circulation des données :
Edri convoque le Safe Harbour Agreement sur la base duquel ont été opérés les transferts de données depuis l’UE vers Etats-Unis et les révélation de PRISM) enjeu de garantir aux individus que l’exportations de leur données dans des pays tiers ne leur fait pas perdre le niveau de protection garanti en Europe. Beaucoup d’amendements tentent de minimiser ces obligations
ICDP attend toujours des garanties sur une libre circulation des données au delà des frontières pour permettre aux entreprises d’aborder sans entraves les marchés à croissance rapide situés au-delà de l’Europe.
- Data protection by design & by default :
Idée de prise en compte des risques relatifs aux données personnelles dès le stade de conception d’un service ou d’un produit.
Edri y voit un bon principe de démarche préventive y compris pour l’industrie qui pourrait s’en saisir pour gagner un avantage concurrentiel pour demain en attestant d’un niveau de garantie élevé pour les données personnelles (convoque les solutions de cryptage ; le succès des moteurs de recherche « sans traces » Duck Duck Go, Ixquick) Veulent veiller à ce que cela implique autant les paramètrages techniques que les protocoles organisationnels impliquant les politiques de traitement des données. Contre la minimisation de cette protection par ceux qui y voient un surcoût pour les ets ; Contre la parade des « risk based approach » ou context based approach car : trop flou, créatrices d’incertitude juridique pour les entreprises et les citoyens.
Emota : contre une approche globale de la restriction au traitement des données. Propose des restrictions qui ne concerneraient que le traitement de données sensible et dans le même temps d’alléger les contraintes s’agissant du traitement marketing des clients en cours et des premiers démarchages par voie postale ou électronique visant des nouvelles cibles ou prospects.
- Sanctions : le projet prévoit qu’elles peuvent dépasser 2% du chiffre d’affaires annuel d’une entreprise
Edri : souligne importance cruciale qu’elles soient effectives, proportionnées et dissuasives.
Les points de la proposition de règlement les plus clivants :
Guichet unique Renforcement des sanctions financières Droit à l’oubli Transfert des données
Les principaux points de convergence
Harmonisation de la régulation Homogénéisation des règles Contribution à générer la confiance des opérateurs et des consommateurs Attente de visibilité de la part des opérateurs économiques préoccupés par les situations d'incertitudes juridiques
Chronologie
- 24 octobre 1995
Directive sur la protection des données personnelles
Texte de référence au niveau européen, la directive de 1995 encadre la collecte et l'utilisation des données personnelles. Aujourd'hui en discussion, sa révision permettrait de l'adapter au développement d'Internet, de mieux encadrer les transferts internationaux et d'harmoniser sa mise en œuvre dans les Etats.
- 18 décembre 2009
Entrée en vigueur du 3e Paquet Télécom
C'est dans ces textes législatifs que, pour la première fois, l'Union européenne évoque le principe de neutralité du net.
- 3 mars 2010
L'Union européenne lance la Stratégie Europe 2020
Destinée à relancer la croissance européenne sur 10 ans, la stratégie Europe 2020 présente 7 initiatives phare, dont la mise en oeuvre d'une "stratégie numérique pour l'Europe".
- 19 mai 2010
Stratégie numérique pour l'Europe
La stratégie numérique de l'UE poursuit sept axes : création d'un marché unique, interopérabilité, sécurité de l'internet, rapidité d'accès, investissements R&D, amélioration des compétences numériques et utilisation des TIC pour relever les nouveaux défis (changement climatique, vieillissement de la population…).
- 17 novembre 2011
Neutralité du net
Le Parlement européen demande à la Commission de "veiller à ce que les fournisseurs de services internet ne puissent bloquer, défavoriser, affecter ou amoindrir la capacité de chacun à utiliser un service en vue d'accéder à tout contenu, application ou service mis à disposition via Internet
- 25 janvier 2012
Nouveau projet de règlement sur la protection des données personnelles
La proposition de la Commission européenne soutient le droit à l'oubli et l'obligation de consentement explicite pour qu'une entreprise utilise des données personnelles. Le projet est rejeté par les Etats membres.
- 4 juillet 2012
Rejet du traité ACTA
L'accord commercial anti-contrefaçon entre l'UE et des pays tiers (Etats-Unis, Japon...) est rejeté par le Parlement européen, certaines mesures de lutte contre le piratage étant jugées contraires aux droits fondamentaux.
- 7 février 2013
Stratégie européenne de cybersécurité
Face à l'augmentation des attaques informatiques, la Commission européenne propose plusieurs mesures visant à accroître la résilience des systèmes informatiques, à faire reculer la cybercriminalité et à renforcer la politique internationale de l'UE en matière de cybersécurité et de cyberdéfense.
- 6 juin 2013
Premières révélations du Guardian sur l'Affaire Prism
Le scandale Prism provoque une réaction en chaîne de bouleversements dans le domaine du numérique et accélère le calendrier du projet de règlement relatif aux données personnelles.
- 21 octobre 2013
Le Parlement avance sur la protection des données personnelles
La commission LIBE vote un texte prévoyant notamment le consentement explicite de l'internaute au traitement de ses données personnelles et des sanctions importantes en cas de violation du droit sur la protection des données.
- 24 octobre 2013 — 25 octobre 2013
Conseil européen
L'économie numérique figure parmi les dossiers discutés jeudi soir. Les dirigeants européens doivent se pencher sur la stratégie numérique, les moyens de progresser vers l'achèvement du marché unique numérique d'ici 2015 et la protection des données personnelles.
Acteurs et Lieux de débat
L’ESPACE EUROPEEN DES DEBATS
Met en présence les intérêts et préférences de plusieurs catégories d’acteurs
REPRESENTANTS DE LA SOCIETE CIVILE
European Digital Rights (EDRi) est une association internationale de protection des droits fondamentaux liés à l'ère numérique basée à Bruxelles. Elle a été fondée en Juin 2002 à Berlin par dix ONG de sept pays différents. Les membres
Privacy International (PI) est une ONG fondée en 1990, qui milite pour la défense des droits de l'homme, en particulier contre la violation de la vie privée commis par les gouvernements et autres organisations.
LoobyPlag observe les modifications proposées par les lobbyistes à la commission européenne et compare les versions des documents transmis par les lobbys à ceux adoptés par la General Data Protection Regulation (GDPR).
Le Bureau européen des unions de consommateurs, le BEUC, est une fédération de 43 associations de consommateurs issues de trente et un pays européens (UE, EEE et pays candidats), créée en 1962. Les membres
LES ORGANISATIONS CHARGEES DE LA PROTECTION DES DONNEES
CEDPO a été créée en septembre 2011 par des associations européennes de protection des données personnelles, à savoir, l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel) en France, l’APEP (Asociación Profesional Española de Privacidad) en Espagne, la GDD (Gesellschaftfür Datenschutz und Datensicherheit) en Allemagne, et la NGFG (Nederlands Genootschaap van Functionarissenvoor de Gegevensbescherming) dans les Pays Bas. CEDPO a pour objet de promouvoir le rôle du délégué à la protection des données personnelles, de fournir des conseils pour une protection des données personnelles prenant en compte les intérêts en présence, pragmatique et effective et de contribuer à une meilleure harmonisation de la règlementation et des pratiques en matière de protection des données personnelles au sein de l’UE/EEA.
LES AUTORITES DE CONTROLE FRANCE ET EUROPE
Europe:
- Le G 29 (« Cnil européennes »)
Le Groupe de travail Article 29 sur la protection des données ou G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée.
France:
La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Le correspondant informatique et libertés ou CIL se positionne en intermédiaire entre le responsable des traitements des données concernées et la CNIL.
REPRESENTANTS DU COMMERCE ET DE L’INDUSTRIE DES TICS
- ICDP Industry coalition for data protection
EDiMA, l'Association européenne des médias numériques, est une alliance de nouvelles entreprises de médias dont les membres fournissent des plateformes de nouveaux médias offrent aux consommateurs européens une large gamme de services en ligne, y compris les e-contenu, les médias, le commerce électronique, des communications et de l'information / des services de recherche. EDiMA représente les intérêts du nouveau secteur des médias en Europe dans l'élaboration des politiques. Les membres
La Fédération de l'e-commerce et de la vente à distance (Fevad) est un syndicat professionnel français créé en 1957, regroupant plus de 500 entreprises ayant une activité de vente à distance quel que soit le moyen de communication utilisé (Internet, correspondance, téléphone, etc.).
- LA CCIP
La Chambre de commerce et d’industrie de région Paris - Île-de-France (CCI Paris Île-de-France) est l’une des 163 chambres de commerce et d’industrie françaises. C’est un établissement public à caractère administratif administré par 98 élus chefs d’entreprises, bénévoles et élus pour cinq ans. Elle représente environ 800 000 entreprises dans les huit départements de la région Île-de-France : Paris, Seine-et-Marne, Yvelines, Essonne, Hauts-de-Seine, Seine-Saint-Denis, Val-de-Marne et Val-d'Oise et intervient dans plusieurs domaines liés à la vie économique et à la vie de l'entreprise.
LES REPRESENTANTS DES INSTITUTIONS EUROPEENNES
Le Comité économique et social européen (CESE) est l'assemblée consultative des partenaires économiques et sociaux européens. Le CESE a été établi pour permettre à tous les acteurs économiques de se faire entendre (moyennant des avis formels) de la Commission, du Conseil et du Parlement, et de participer ainsi au processus décisionnel de l'Union européenne.
Le Parlement européen (PE) est l'organe parlementaire de l'Union européenne (UE) élu au suffrage universel direct. Il partage avec le Conseil de l'Union européenne le pouvoir législatif de l'Union européenne.
La Commission européenne est une des institutions de l’Union européenne (UE). C’est un organe indépendant des États doté de pouvoirs importants. Elle représente et défend les intérêts de l’Union dans son ensemble. Elle présente des propositions législatives. Elle veille à la bonne application des politiques et exécute le budget de l’UE.
Le Conseil est l’institution de l’Union où siègent les représentants des gouvernements des Etats membres, c’est-à-dire les ministres de chaque Etat membre compétents dans un domaine donné.
Le poste de Contrôleur européen de la protection des données (CEPD) a été créé en 2001. Il est chargé de veiller à ce que les institutions et les organes communautaires respectent la vie privée des personnes physiques lorsqu’ils traitent des données à caractère personnel les concernant.
LES LIEUX DE DEBATS
Promoteurs du numérique (Think tank)
Renaissance numérique est un think tank créé en 2005 dont l'objectif initial est la lutte contre les fractures numériques et le développement du numérique en France dans une optique citoyenne
Le Conseil national du numérique (CNN ou CNNum) est un organisme consultatif français créé le 29 avril 2011 par Nicolas Sarkozy par le Décret no 2011-476
Espace public européen
La journée européenne de la protection des données à caractère personnel est une initiative du Conseil de l'Europe relayée par la Commission européenne qui a proclamé solennellement le 28 janvier de chaque année comme journée de protection des données.
Son but est de sensibiliser les citoyens européens sur l'importance de la protection de leurs données personnelles et du respect de leurs libertés et droits fondamentaux, en particulier de leur vie privée.
Espaces professionnels
- 3ème édition du Salon Big data Paris 1&2 Avril 2014
- Les Universités de l'AFCDP
Cycle de conférences
Web
La Quadrature du Net (abrégé LQDN) est une association de défense des droits et libertés des citoyens sur Internet1 » fondée en 20082. Elle intervient dans les débats concernant la liberté d'expression, le droit d'auteur, la régulation du secteur des télécommunications, ou encore le respect de la vie privée sur Internet.
L'Electronic Frontier Foundation (EFF) est une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow, connu pour être l'auteur de la Déclaration d'indépendance du cyberespace.
L'objectif essentiel de l'EFF est de défendre la liberté d'expression sur Internet. En effet, le développement de celui-ci ne peut se faire sans la prise en compte des sujets politiques, économiques et légaux.
Mise en évidence des positions d’acteurs qui parle et sur quoi ?
a) Présentation du traitement Calliope
b) Les clusters de Calliope
Conclusion et perspectives
1 Ouverture sur le sujet
2 Commentaires méthodologiques
