« 30 ème Conférence Internationale sur la protection des données personnelles : protéger la vie privée dans un monde sans frontières «

Profitant de la présidence française de l’Union Européenne, la Cnil et le BFDI, (Bundesbeaufragte für den Datenschutz und die Informations Freiheit), (Bureau Fédéral pour la protection des Données personnelles et la liberté de l’information), l’équivalent allemand de la CNIL ont organisé du 15 au 17 octobre au Conseil de l’Europe, à Strasbourg, une conférence de portée mondiale sur le thème suivant : « protéger la vie privée dans un monde sans frontières », pour leur trentième anniversaire respectif. ¨Pas moins de six tables rondes et au moins une trentaine d’intervenants venant du monde entier –des chercheurs, des responsables d’associations de consommateurs et des Présidents d’agences de différents pays à la protection des données personnelles ont animé ce colloque, lui conférant une portée mondiale, et une dimension à laquelle les 700 personnes présentes ont été très sensibles. Reportage in situ dans un des lieux les plus prestigieux de l’Histoire Européenne.

Il ne faut pas que la confiance baisse
 

En introduction, Alex Türk, Président de la Cnil, et Président des CNIL européennes et Peter Schaar, Président du BFDI, ont souhaité d’emblée rappeler les priorités de cette conférence. Le monde se trouve actuellement dans une situation critique, où la notion de confiance dans les institutions, notamment financières, a été fortement érodée. Alex Türk le dit simplement en introduction : « si la confiance disparaît, qui aura envie d’échanger ses données ? La crise financière nous montre les limites de la confiance dans un système qui s’autorégule, et il aura fallu en arriver là afin que l’on se pose la question d’une éventuelle réglementation. Il ne faut pas que la confiance baisse, et il ne faut pas avoir peur d’adopter des règles claires pour que les citoyens aient confiance dans la protection de leur vie privée », déclare en préambule Alex Türk. Le thème générique de la première journée, et notamment de la première table-ronde, était de savoir si la protection de la vie privée était un obstacle pour la croissance économique. Elle a été modérée par Jennifer Stoddart, Commissaire de l’autorité de protection des données au Canada (cf. encadré). Plusieurs intervenants ont été sollicités pour répondre à cette question centrale. Parmi eux, Jon Hoak, Vice-Président et responsable de la conformité éthique d’Hewlett-Packard : « Nous sommes à la croisée des chemins », indique-t-il « d’un côté, le respect de la vie privée (privacy en anglais) est indéniablement un facteur de croissance économique, car elle permet de créer de la confiance d’une manière nouvelle et novatrice, génératrice de richesse pour l’entreprise. D’un autre côté, les normes sont extrêmement contraignantes, et ont parfois des effets négatifs sur les entreprises ». Hewlett-Packard se félicité d’être « privacy friendly », « C’est un énorme défi pour nous, mais notre politique est basée sur la confiance, le respect et l’intégrité de la vie privée, et nous nous conformons à la loi française, et à la directive européenne N° 95-46 sur la protection de la vie privée », se félicite Jon Hoak. HP a développé un programme qui s’inspire de cet objectif, et met en place un « outil éducatif sur la vie privée qui nous permet de mieux faire notre travail. HP a notamment édité un Privacy Rule Book de 300 pages pour sensibiliser ses 300.000 salariés à la protection de la vie privée

La protection des données : un atout pour la croissance
 

Hervé Labaude, directeur juridique de EMIEA Europe, Moyen Orient, Inde, Afrique de Ernst et Young, fait aussi valoir « que la protection des données peut être un atout pour la croissance économique. Plus que jamais », enseigne-t-il, il est urgent de mettre en place des politiques internationales courtes et conviviales, adaptées et simples pour qu’on les applique ». Mais, en contrepartie, « si la protection peut devenir un atout, les autorités de réglementation doivent faciliter les choses, et faire preuve de flexibilité ». Il paraît néanmoins difficile de faire preuve de trop de flexibilité dans un monde en pleine mouvance où les repères et les cadres doivent être clairement identifiés.

Rasmus Kjeldahl (cf. encadré) est danois et responsable de la protection des données au Bureau Européen des Unions de Consommateurs (BEUC). Il se fait le ardent défenseur, dans l’enceinte de l’Hémicycle européen, des consommateurs européens sur la protection des données. Il rappelle que chaque citoyen est tracé, parfois à son insu. D’après lui, 64% des citoyens européens se sentent concernes par la protection des données, mais 40% ont une connaissance insuffisante du débat sur la vie privée. Selon lui « les consommateurs donnent souvent leurs données de manière négligente », ce qui n’empêche pas certaines entreprises d’évoluer vers un modèle favorable à la protection des données (privacy friendly). Les solutions possibles aux problèmes de la vie privée portent, selon lui vers la régulation ou la co-régulation. « Il n’y a pas de solutions magiques », rappelle –t-il. Pour lui, il faut réfléchir à des modèles qui inscrivent la protection des données dans les business models d’origine (Privacy by Design).

La Chine : une situation très différente
 

La parole est ensuite donnée à un représentant du monde asiatique, le docteur HanHua Zhou, Professeur, Institute of Law, Chinese Academy of Social Science (CASS). La Chine est dans une situation très différente de celle des continents européens, et elle évolue à grands pas sur la protection de la vie privée. Il faut dire qu’elle revient de loin. »Il y a un abîme entre la Chine et les pays développés, mais la Chine évolue très vite » note HuanHua Zhou ». Il y a en Chine une émergence de la société de l’information. Répondant à une question de la salle, le docteur HuanHua Zhou confirme : « c’est une occasion unique pour la Chine de rattraper son retard. Tout a été mis sur le même plan, l’industrialisation et l’informatisation. Il y a eu une loi sur la signature électronique en 2004, une loi sur la liberté de l’information en 2007, pas moins de 50 lois ou décrets concernent l’informatique. Il est difficile de savoir quand la loi sur la protection des données sera appliquée.« Dans un grand journal chinois, « estime le Professeur, Huanhua Zhou « 90% des Chinois ont estimé qu’il y avait eu des attaques. Ils souffrent de ce manque de confiance concernant la protection des données », établit-il. Mais la situation évolue : « il y a de plus en plus de pression de la part des entreprises qui ont des outils de protection personnelles. Les autres entreprises vont être mises à l’écart. La Chine a mis en place le premier code de conduite dans les entreprises », et la Chine souhaite garder la confiance de ses clients. Selon HuanHua Zhou « la protection des données personnelles est un des fondements de la croissance économique en Chine. » Pamela Jones Harbour, Commissaire à la FTC (Federal Trade Commission), est quant à elle partisane d’une réglementation. « La vie privée aux USA est une notion fondamentale », argumente-t-elle « nous nous sommes penchés dessus officiellement en l’an 2000, en votant des lois pour empêcher les atteintes à la vie privée ». Néanmoins fortement mise sur la sellette avec le Patriot Act (NDLR : le Patriot Act a été voté par le Congrès et signé par le Président Bush le 26 octobre 2001, dans le contexte de l’après 11 septembre. Il donne des pouvoirs accrus de surveillance à la NSA, au FBI, à la CIA et à l’armée. C’est une loi d’exception), le respect des données personnelles font l’objet de vifs débats aux Etats-Unis, entre le respect des droits de l’homme, le pouvoir des associations de consommateurs, les autorités fédérales, le marketing parfois intrusif des entreprises, et le rôle grandissant des réseaux sociaux. C’est une source de tension avec l’Europe.

La vie privée est-elle un espace en voie de disparition ?
 

Le colloque s’est ensuite intéressé, à la question suivante : la vie privée est-elle un espace en voie de disparition ? Pour traiter le sujet, pas moins de six personnes étaient présentes, dont le modérateur, Jacob Kohnstamm, Commissaire à la Protection des Données Néerlandaises. Il est d’ailleurs remarquable que les organisateurs aient confié systématiquement à des représentants des autorités sur la protection des données personnelles les animations du colloque. Plusieurs questions ont été élaborés lors de cette table-ronde, notamment la question du pouvoir des réseaux sociaux. Bruce Schneier, chercheur dans le domaine de la sécurité et auteur, a d’abord prononcé un d’un long discours sur la protection des données personnelles. Il dénonce les abus des entreprises « Pour tout ce que nous faisons, il y a des traces, les données sont extrêmement peu onéreuses à sauvegarder, et un certain nombre de sites, comme Amazon, peuvent y avoir accès. Par ailleurs, quand je sollicité un prêt, l’octroi du prêt dépend des données que nous avons laissé à la banque », déclare-t-il. « Nous laissons partout une empreinte numérique. J’aimerai bien avoir un certain contrôle de ce qu’on fait de mes données », argumente-t-il.

Le réseau social, un moyen unique de gérer son image
 

L’intervention suivante, celle de Mozelle Thomson, conseiller de Facebook, était attendue impatiemment par tous les détracteurs des réseaux sociaux. Sans surprise, l’orateur s’est livré à une apologie des réseaux sociaux qui, selon lui, ne constituent pas du tout une atteinte à la protection des données personnelles. « Des dizaines de milliers de personnes utilisent FaceBook tous les jours » argumente Mozelle Thomson « c’est un moyen unique pour un adolescent de gérer son image de relations publiques. Le but de Facebook n’est pas de créer un monde virtuel, mais bien de gérer la vie réelle », se défend-il en face d’une salle qui n’est pas complètement gagnée à son propos. Dominique Cardon, sociologue au Laboratoire SENSE Orange Labs, continue sur le thème intarissable des réseaux sociaux. Selon lui, il y a une attitude ambiguë des utilisateurs, qui hésitent entre l’ambivalence et la paranoïa. « Le plaisir du Web 2.0, c’est de gérer des identités multiples » argumente-t-il, « et c’est l’utilisateur qui contrôle la visibilité qu’il donne sur son identité aux autres. FaceBook permet le mélange des identités, et correspond à des tendances très profondes de la société. Il y a une nouvelle forme d’exclusion entre ceux qui sont capables d’augmenter leurs réseaux, et ceux qui ne le peuvent pas ». Cette fracture sera visible au sein de la société. Répondant à une question de la salle, Bruce Schneier tranche : « FaceBook, c’est la cour de récréation d’aujourd’hui ».

La parole est ensuite donnée à Alexander Dix, commissaire à la protection des données personnelles du Land de Berlin (NDLR : en Allemagne, la protection des données est organisée au niveau fédéral par le BFDI, et au niveau de chaque Land du pays). Sans surprise, mais sans condamner les utilisateurs de réseaux sociaux, Alexander Dix plaide en faveur de plates forme de réseaux sociaux bordés par la loi, qui dépend du Conseil de l’Europe. Poète à ses heures, Alexander Dix repend un vieux conte allemand où un homme échange en costume très gris vend son ombre contre un sac d’or à un vendeur qui n’est autre que le Diable lui-même. L’homme perd la paix et ne cesse de vouloir retrouver cette part d’ombre de lui-même. L’analogie avec les données personnelles est vite faite...

La salle réagit différemment sur les réseaux sociaux : certains y sont très hostiles, certains, comme Peter Schaar, Président du BFDI, commissaire à la protection des données allemand, déclare « qu’il faut organiser les réseaux sociaux, avec quelques grandes règles en matière de protection des données. S’il y a des personnalités exhibitionnistes, il faut mettre un verrou », déclare Peter Schaar.

Des points de friction avec les USA
 

Trois tables-rondes ont été organisées le lendemain sur des thèmes aussi divers que la protection des données pour une adolescente (« Clara 14 ans, ma vie mon œuvre), « l’homme assisté, ange ou démon numérique » « quels outils et quels limites pour la régulation future de la vie privée ». Selon Stavros Lambridinis, Vice-Président de la Commission des Libertés Civiles, de la Justice et des Affaires Intérieures du Parlement Européen, est violemment critique sur le respect par les Etats-Unis des données personnelles, notamment en ce qui concerne les PNR. (NDLR : Les données passagers, appelées PNR (Passengers Names Record) sont des informations collectées auprès des passagers aériens au stade de la réservation commerciale. Elles concernent tout un ensemble de données qui va de l’itinéraire de déplacement, jusqu’ aux coordonnées du contact à terre du passager. Peu après les attentats du 11 septembre, les compagnies aériennes se sont vues dans l’obligation de communiquer aux services de douane et de sécurité américains les données PNR de leur passager, faute de quoi il y aurait des sanctions, des amendes et un refus du droit d’atterir. Les négociations sur cet accord ont été marqués par des exigences américaines toujours croissantes. La CNIL a exprimé ses craintes à de nombreuses reprises avec ses homologues européens autour du groupe dit de l’article 29.)

Par ailleurs, et en conclusion de ces deux jours de colloque fort intéressants, Barry Steinhardt, directeur de l’ACLU, (American Civil Liberties Union), qui est une ONG, et Luis Lopez Guerra, juge à la Cour Européenne des Droits de l’homme, sont intervenus. Barry Steinhardt milite en faveur d’un peu plus de protection des données personnelles : « Nous devons cesser de financer des systèmes de surveillance partout dans le monde », se justifie-t-il Quant à Luis Lopez Guerra, Juge à la Cour Européenne des Droits de l’Homme, ilfait le point sur les nouveaux champs d’investigations des données personnelles. « Il y a de nouveaux problèmes avec la biométrie, des images photos. Il y a une nombreuse jurisprudence, et la Convention 108 du Conseil de l’Europe ». selon lui, « il est difficile d’avoir une véritable coopération au niveau européen pour les données personnelles, même s’il existe des autorités administratives de contrôle : Schengen, Eurojust, Europol.

En conclusion, la cause des données personnelles avance en Europe. Lentement, mais sûrement.

Au cours des deux journées, Mag Securs a interviewé au vol plusieurs personnalités, dont des commissaires responsables à la protection des données personnelles, qui ont indiqué comment ils travaillaient dans leur agence à la protection des données personnelles. Tour d’horizon.

« Je milite en faveur du droit à l’oubli »
 

Alex Türk, Président, CNIL (France)
 

Mag Securs : pourquoi avoir organisé une conférence en commun avec le BFDI à Strasbourg ?
 

Alex Türk :

Nous nous entendons très bien avec le BFDI, nous avons à peu près le même niveau d’organisation et le même fonctionnement, et il nous a paru important d’organiser ensemble cet événement à Strasbourg. Cela permet d’asseoir le travail des CNIL dans la mouvance européenne. Personnellement, en temps que Président des CNIL européennes, je ne peux que m’en féliciter. Nous avons aussi beaucoup d’accords bilatéraux avec les groupes du G29.

MS. : Où sont les dangers actuels sur la protection des données personnelles ?
 

Alex Türk :

Les données personnelles sont menacées partout. Je m’inquiète beaucoup sur le développement des réseaux sociaux, la biométrie, la vidéosurveillance. Face à des plates-formes comme FaceBook, les jeunes prennent des risques, et perdent la maîtrise de ces informations. Je milite en faveur du droit à l’oubli. Nous avons rencontré des personnes de Google et de FaceBook, car les réseaux sociaux et les moteurs de recherche représentent une question centrale pour nous.

MS. : Quelle est la nature de vos relations avec les Etats-Unis ?
 

Alex Türk. :

Il y a un fossé dans la coopération Europe-USA. Les Etats-Unis considèrent les données personnelles comme des biens marchands, alors qu’en Europe, on est axé sur la protection de l’individu. La crise financière a posé des problèmes, et entraîne une nécessaire régulation. C’est la même chose pour les données personnelles. Nous reprochons aussi aux Etats-unis une conduite unilatérale et contraignante à propos des PNR.

MS. : La loi de 2004 avait innové en créant des CIL (Correspondants Informatiques et Libertés). Où en est-on sur la place et le rôle des correspondants en entreprises ?
 

Alex Türk :

Les CIL connaissent un grand succès et prennent leur place dans les entreprises. Il y en a dans toutes les entreprises, celles du CAC 40 comme les associations. Les entreprises comprennent que c’est leur intérêt, et ont confiance dans les CIL. Le besoin de confiance va forcer les uns et les autres à se mettre autour d’une table, et à nommer des CIL en entreprise.

MS. : Existe-t-il une mouvance européenne dans les différentes autorités de régulation ?
 

Alex Türk :

Cela se passe très bien entre les CNIL europénnes, avec un bon esprit de coopération. Il y a des accords bilatéraux avec les membres du G29, en vue de travailler ensemble.

« Nous sommes très proches les uns des autres « 
 

Peter Schaar, Président, BFDI (Allemagne)

Mag Securs : Avez-vous des liens très développés avec la CNIL ?
 

Peter Shaar :

Nous sommes très proches les uns des autres. Nous voulions organiser cette conférence ensemble, car nous fêtons le trentième anniversaire des deux autorités ! C’était une occasion unique de travailler, et d’ancrer la protection des données personnelles dans l’enceinte européenne, avec une présence au Conseil de l’Europe. De plus, j’ai occupé le même poste de direction des CNIL européennes qu’Alex Türk avant.

MS. : Que craignez vous le plus aujourd’hui sur la protection des données personnelles ?
 

Peter Schaar. :

Il existe aujourd’hui des possibilités technologiques immenses pour collecter et achiver des données personnelles, sans qu’il y aie de regard dessus. Par ailleurs, les états s’intéressent de plus en plus aux individus, comme en témoigne Edvige chez vous. Enfin, il faut craindre le danger de ce que j’appelle « l’ubiquitus computing », le fait, par les réseaux sociaux, d’être partout à la fois en même temps, avec des « exhibitionnistes électroniques ».

MS. : Comment êtes-vous organisés ?
 

Peter Schaar :

notre organisation ressemble à celle de la CNIL, nous sommes nés en même temps, nous avons des correspondants à la protection des données personnelles. Par contre, nous déléguons à chaque Land une partie de notre rôle sur la protection des données personnelles. Nous sommes 70 personnes, 300 quand on compte les Länder.

Des sanctions de 6000 à 60.000 euros
 

Artemi Rallo Lombarte, Président, Agencia Espanola de Proteccion de Datos (Espagne)
 

Mag Securs : Comment travaillez-vous ?
 

Artemi Rallo Lombarte :

Nous sommes nés en 1992 et nous sommes 166 personnes. La plupart des personnes sont des inspecteurs. Chaque plainte que nous recevons génère une procédure d’inspection, avec une sanction : en général, les sanctions vont de 6000 euros à 60.000 euros. Nous avons 1300 plaintes en cours, et plus de 400 dossiers étudiés. Nous avons eu des situations critiques pour les données personnelles, comme une affaire récente où un hopital de notre pays a laisse filtrer à une personne des informations concernant des dossiers d’avortement. Cette affaire a fait beaucoup de tort et a sensibilisé le grand public à la notion de protection des données personnelles.

MS. : Que craignez-vous le plus pour les données personnelles aujourd’hui ?
 

Artemi Rallo Lombarte :

Vis-à-vis des mineurs, l’autorité de régulation fait que personne ne peut collecter des données personnelles concernant les enfants. Il y a un réel renforcement de la politique de protection des données personnelles, mais les gens ne sont pas capables d’éviter le risque, comme pour les réseaux sociaux : personne ne sait les maitriser.

« Nous avons un pouvoir équivalent à celui de la CNIL française »
 

Jennifer Stoddart, Commissaire à la Protection des Données Personnelles, Canada

Mag Securs : Quels sont les pouvoirs de votre autorité ?
 

Jennifer Stoddart :

Nous avons, au Canada, un pouvoir équivalent à celui de la CNIL française. Par contre, nous ne pouvons pas imposer directement des sanctions, il n’y a que la Cour Fédérale pour demander que l’on impose des dommages et intérêts aux entreprises qui fraudent. Je demande systématiquement que le citoyen puisse voir ses données personnelles, un citoyen peut aller en Cour de Justice si l’Etat utilise mal ses données.

MS. : Comment travaillez-vous ?
 

Jennifer Stoddart. :

nous sommes 135, avec un nouveau budget qui devrait nous permettre approcher les 160. Nous avons jusqu’à 40.000 appels par mois, 450.000 appels par an. Notre manière de travailler se rapproche plutôt des Etats Européens, car nous sommes très différents dans notre approche de celle des Etats-Unis. Les USA ne reconnaissent pas dans le secteur privé le droit des citoyens à protéger leurs données privées. On ne collabore pas assez entre pays, les collègues américains ne nous ressemblent pas. Les collègues européens nous ressemblent par contre, nous avons beaucoup en commun, mais la distance est un obstacle. Le Watergate a permis la protection des renseignements personnels des citoyens face à l’Etat, et il y a eu une loi au Canada dans les débuts des années 1980 pour protéger les données personnelles.

MS. : Que craignez-vous le plus ?
 

Jennifer Stoddart. :

Je ne pense pas en termes de craintes, j’essaie à mon niveau d’aider les gens qui utilisent les nouvelles technologies à mieux s’armer. Il faut avoir la capacité, dans un monde complexe, à chercher des réponses simples.

« Il faut aller plus loin dans le domaine de la protection des données personnelles « 
 

Rasmus Kiejdahl, Président de l’Association Européenne des Unions de Consommateurs (BEUC), Danemark Rasmus Kiejdahl, Danois, est un consommateur averti. Pour lui, les etats ne vont pas toujours assez loin et il faut en faire plus en matière de protection des données personnelles.

Mag Securs : que pensez-vous de l’action européenne en matière de protection des données ?
 

Rasmus Kiejdahl :

Je pense que par rapport à d’autres pays, notre situation est relativement bonne, mais elle ne va pas assez loin, la réaction des citoyens européens à différents sondages le prouve. 65% des citoyens pensent que leurs données ne sont pas suffisamment protégées, c’est un vrai défi à relever. Nous avons besoin d’un régime européen plus clair avec l’approche de nouveaux sujets de préoccupation sur le marché, comme FaceBook et comme Google. Les conditions d’utilisation de FaceBook sont par exemples confuses et peu connues, il y a un vide juridique autour de cela. Mais parfois les entreprises réagissent quand nous arrivons à créer un débat public autour de leurs pratiques. Il faut avoir la capacité à résister aux pressions, notamment commerciales.

MS. : Comment peut-on aller plus loin ?
 

Rasmus Kiejdahl :

En temps que consommateurs, nous attendons des législateurs qu’ils aient les moyens de faire respecter les lois, et nous attendons aussi des lois plus adaptées aux nouvelles technologies. Les agences de différents pays sont simplement capables d’enquêter sur les gros cas. Le problème actuel, c’est qu’ont éteint les catastrophes, on ne les prévoit pas.

Pamela Jones Harbour, Commissaire, FTC (Federal Trade Commission), USA.
 

« Nous veillons à la protection des consommateurs »
 

Pamela Jones Harbour, présente lors de la première table-ronde, donne ici, de manière succinte l’opinion de la FTC sur les données personnelles.

Mag Securs : les Etats-Unis se préoccupent-ils des données personnelles ? On les critique beaucoup parce que les entreprises ont parfois une attitude intrusive sur la vie privée des citoyens…
 

Pamela Harbour Jones :

La protection des données personnelles fait partie chez nous de la protection des droits de l’Homme, de même que du droit des consommateurs et nous veillons à son respect. Je ne veux citer ici comme exemple, que la section 5 du FTC Act, qui protège les consommateurs. Il y a une culture politique au sein des Etats-Unis pour la protection des consommateurs, et le niveau de protection me semble suffisant. Il y a eu une loi en 1990 contre le spam, et une loi pour la protection des enfants, le COPPA (Children Online Privacy Protection Act). La politique de protection des consommateurs s’est considérablement renforcée, et nous y veillons.

MS. : Le résultat de l’élection présidentielle va-t-il influencer sur la politique de données personnelles ? Quel est la position de chaque candidat sur ce sujet ?
 

Pamela Harbour Jones :

Je suis relativement confiante. Quel que soit le futur Président, il doit gouverner sagement et avec transparence, au sein d’une Nation unifiée. Obama a parlé des données personnelles, Mc Cain a parlé des données personnelles. Il faut renforcer la protection des données personnelles, je pense que chaque candidat en est persuadé, et je suis confiante pour l’avenir.

Propos recueillis par Sylvaine Luckx.

---

Peut être que certains, même si ils sont mondialistes et ultra libéraux, veulent plus de protection!

Ils le disent dans l'article:  "protéger la vie privée dans un monde sans frontières ", c'est donc bien la preuve qu'il y a des : " limites de la confiance dans un système qui s’autorégule, et il aura fallu en arriver là afin que l’on se pose la question d’une éventuelle réglementation".

Hé oui, Messieurs, un système ne peut s'autoréguler....vous avez danser, et bien, chantez maintenant!!!