Enjeux 2015 (3) : quels nouveaux droits pour mieux maîtriser ses données ?
RSS CNIL - , 15/04/2015
Pour être durables, les nouveaux modèles numériques doivent se construire autour de l’utilisateur. Comment lui redonner une véritable capacité de maîtrise et d’arbitrage sur ses données ?
Si les utilisateurs ne font pas confiance aux services de l’économie numérique, ils ne les utiliseront pas. Cette exigence de confiance est fondamentale, mais elle est encore loin d’être satisfaite à en croire plusieurs études menées par la Commission européenne : ainsi, plus de 90% des Européens* s’inquiètent du fait que des applications mobiles collectent leurs données sans leur consentement (* Source : SPECIAL EUROBAROMETER 359 - Attitudes on Data Protection and Electronic Identity in the European Union, June 2011).
Le projet de règlement sur la protection des données, en cours de négociations à Bruxelles, vise à favoriser le développement de cette confiance en Europe, en particulier en renforçant la capacité des citoyens à contrôler l’usage de leurs données. Pour ce faire, le projet de texte prévoit un véritable « droit à l’oubli », un « droit à la portabilité » des données, ainsi que le droit des personnes d’être informées des failles ayant affecté leurs données personnelles.
Le « droit à l’oubli » permettra d’obtenir la suppression des données de l’utilisateur si celui-ci souhaite qu’elles ne soient plus traitées et s’il n’y a pas de motif légitime pour qu’une entreprise les conserve. Appliqué aux moteurs de recherche, ce droit à l’oubli s’entend comme un « droit au déréférencement » sur lequel la CNIL et ses homologues européens ont adopté des lignes directrices communes en 2014. Une idée fausse encore répandue consiste à soutenir que ce droit permet d’effacer le passé ou de restreindre la liberté de la presse. Tel n’est pas le cas. Le droit à l’oubli permet aux personnes de contrôler l’impact de la diffusion de leurs données sur leur vie personnelle et professionnelle. La pratique quotidienne de la CNIL et de ses homologues européens attestent de l’importance sociale de ce droit.
Le texte vise également à garantir aux personnes un accès libre et aisé à leurs données personnelles, pour qu’elles puissent voir plus facilement quelles sont celles dont disposent les entreprises et les pouvoirs publics et qu’elles puissent transférer leurs données facilement et gratuitement d’un prestataire de services à un autre – c’est le principe de « portabilité des données ». Il s’agit de permettre aux personnes de ne pas demeurer captives d’un seul écosystème numérique et de pouvoir migrer vers d’autres, notamment quand ceux-ci s’avèreraient plus protecteurs en matière de vie privée.
Le texte prévoit enfin une obligation de notification des failles, en imposant aux organisations d’informer les intéressés et l’autorité compétente en matière de protection des données dans les meilleurs délais – dans la mesure du possible, dans les 24 heures – si des données sont accidentellement ou illégalement détruites, perdues, altérées, consultées par des personnes non autorisées ou divulguées à de telles personnes. Aujourd’hui, seuls les opérateurs de communication électronique sont soumis à cette obligation de notification des failles.
La CNIL et ses homologues européens apportent leur plein et entier soutien aux nouveaux droits prévus par le texte.
De façon plus opérationnelle et afin de donner aux citoyens la possibilité d’exercer pleinement leurs droits, la CNIL a pris plusieurs initiatives :
- Mise en ligne, le 28 janvier 2015, à l'occasion de la journée européenne de la protection des données, d’un nouvel espace entièrement dédié aux droits des citoyens en matière de données personnelles. La CNIL y explique les droits et propose de nombreux conseils pour les exercer plus facilement.
- Ouverture en avril 2015 d’un nouveau service de plaintes en ligne étendu à de nouveaux cas de plaintes.
- Lancement à partir de mai 2015 d’un service de réponses en ligne pour accompagner les particuliers au quotidien dans l’exercice de leurs droits.