LA PROTECTION DES DONNEES PERSONNELLES

EST-ELLE ASSUREE SUR L’INTERNET ?

par
Jean FRAYSSINET
Professeur à l’Université d’Aix-Marseille III

Dans l’histoire du droit de l’informatique c’est le thème de la protection des droits et

libertés des personnes, en particulier de la vie privée, qui est apparu le premier au tournant
des années 70-80.Cela a donné lieu en Europe à une vague de législations spécifiques sur la
protection des données personnelles pour encadrer leur gestion à travers les systèmes
informatiques et les fichiers de toute taille. L’avènement des réseaux, et spécialement de
l’Internet, a déstabilisé les problématiques établies en exacerbant des problèmes anciens sur la
collecte, la mémorisation, le traitement, la diffusion des données personnelles, en accentuant
des problèmes nouveaux comme le profilage et la traçabilité des personnes, la collecte de
données à l’insu des personnes, la sécurisation de la gestion des données, le cryptage, la
circulation des informations sans respect des frontières étatiques.
Les enquêtes menées en Europe comme aux États-Unis révèlent un fort niveau
d’inquiétude et de méfiance des internautes, alimenté par de multiples affaires retentissantes,
quant au respect de leurs droits et libertés ; cela constitue un handicap à la mise en œuvre de
multiples applications attachées par exemple aux sites de santé ou de commerce électronique.
Il est vrai que l’Internet, à travers sa technologie, ses services et ses usages, focalise tous les
problèmes relevant de la protection des données personnelles en jouant un rôle de révélateur
et de catalyseur, en posant la question de l’adaptation des systèmes juridiques de protection
préexistants. En matière de protection des données personnelles on peut dire qu’il y a un
avant et un après de l’Internet, ce qui explique le regain d’intérêt pour le sujet.
A la question directe qui nous est posée on tentera de répondre tout aussi directement. A
nos yeux, il est évident que le fonctionnement du droit de la protection des données
personnelles, replacé dans le contexte de la technologie, des applications, des réalités
politiques, économiques et sociales, conduit à répondre que les droits et libertés des personnes
sont actuellement peu protégés. Sans jouer sur le registre de la peur orwellienne du Big
Brother qui peut s’alimenter à des fantasmes excessifs, on ne cachera pas que, en se fondant
avec prudence sur les seules réalités et tendances observées, on fait partie des personnes
inquiètes. L’attitude consistant à nier les atteintes aux droits et libertés adoptée par ceux qui,
souvent pour des raisons mercantiles ou de pouvoir public ou privé, entendent gérer sans
contrainte les données personnelles doit être combattue. Par ses enjeux individuels et
collectifs la maîtrise des données personnelles est d’une importance mésestimée. L’Internet a
besoin d’une éthique appropriée pour ne pas devenir un outil d’asservissement de l’individu.

1
I – Une protection assurée en apparence

La protection des données personnelles en se rattachant à celle des individus fait partie
du référentiel des valeurs défendues par les pays démocratiques. Cela apparaît clairement
dans le discours de tous les acteurs présents sur la scène Internet : personnels politiques,
organisations internationales (en particulier l’Union européenne, le Conseil de l’Europe et
l’OCDE), fournisseurs d’accès et hébergeurs, commerçants électroniques et responsables de
sites, internautes... Ce bel unanimisme de principe met en avant la nécessaire défense des
droits et libertés fondamentaux des personnes, en particulier de la vie privée, et s’alimente à
l’inquiétude provoquée par la médiatisation de multiples pratiques préjudiciables survenant
sur le réseau.
A la demande sociale de protection le droit répond de manière variable entre
l’application du droit commun protecteur de la personne (quand il existe !) et/ou la mise en
oeuvre d’un droit spécifique à la protection des données personnelles constatée dans environ
une cinquantaine d’États, essentiellement européens. Dans ce cadre simplifié deux modèles
paraissent émerger : le cas européen et le cas des Étas-Unis.
Les quinze États de l’Union européenne disposent de la directive 95/46/CE du 24
octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données, texte transposé dans la
législation nationale de presque tous les États de l’Union (mais pas encore en France où la loi
de 1978 Informatique, fichiers et libertés continue de s’appliquer en attendant d’être modifiée,
un projet de loi ayant été déposé devant l’Assemblée nationale en septembre 2001). Il est
certain que l’Internet est dans le champ d’application de cette directive même si le terme
n’apparaît pas une seule fois. On peut y ajouter la directive 97/66/CE du 15 décembre 1997
concernant le traitement des données à caractère personnel et la protection de la vie privée
dans le secteur des télécommunications, déjà en cours de révision pour intégrer certains
aspects touchant à l’Internet comme le spamming.
La législation européenne paraît assurer sérieusement la protection des données
personnelles des internautes qui se voient attribuer le droit d’accéder à leurs données et de
contester leur qualité ou leur usage, le droit de savoir si des données les concernant sont
traitées, le droit de s’opposer à tout moment à un traitement pour des raisons légitimes etc. Le
responsable du traitement doit mettre en oeuvre de multiples obligations : respect du
consentement de la personne (sauf exceptions), limitation de la gestion des données sensibles,
information préalable de la personne physique concernée, respect de la finalité de la
confidentialité et de la sécurité du traitement, notification des traitements à une autorité
nationale indépendante de protection et de régulation dotée de pouvoirs d’action importants,
compétence du juge pour prononcer des sanctions y compris pénales.

2
 Il n’est contesté par personne que les obligations prévues s’appliquent à tous les
opérateurs de l’Internet ou des télécommunications. Mais force est de constater que la
directive de 1995, comme les législations nationales de transposition, intègrent Internet en le
prenant de biais, sans le considérer en particulier ni sur le plan technique, ni sur le plan des
services ou des formes spécifiques d’atteintes aux droits et libertés fondamentaux des
personnes. Le droit européen applique ainsi le principe de neutralité technologique qui veut
que les mêmes règles de fond doivent s’appliquer sans distinguer les outils technologiques
très évolutifs. On l’observe à travers les dispositions du chapitre VI de la directive relative au
transfert de données personnelles en provenance de l’Union européenne vers des pays tiers
avec l’exigence d’une protection adéquate qui leur est imposée ; l’Internet est donc
particulièrement concerné.
Pour sa part le modèle des États-Unis fait confiance à l’autorégulation pragmatique et
sectorielle par les acteurs privés, l’État fédéral ou fédéré n’intervenant qu’en cas d’extrême
nécessité ou de carence. L’accent est mis sur la protection du consommateur ou des enfants,
sur la capacité du juge à dégager des équilibres nouveaux et adaptés à l’Internet à partir des
droits communs ou de textes très casuels.

II – Une protection mal adaptée et peu efficace

Si on observe le fonctionnement du droit protecteur de la personne dans le contexte de

l’Internet, on peut estimer que les garanties offertes restent largement illusoires ; le droit
positif reste méconnu et peu utilisé face à des illégalités de plus en plus nombreuses et
attentatoires aux droits et libertés. Déjà en dehors de l’Internet l’exercice réel du droit à
l’information, du droit d’accès et de contestation des données, du droit d’opposition au
traitement etc... est peu courant alors que les modalités de mise en oeuvre sont simples. Ces
dernières seront plus compliquées pour un site éloigné, mal identifiable, non national.
Le droit actuel repose sur des concepts mal adaptés aux réalités de l’Internet : l’atteinte
ne concerne pas que la vie privée (notion trop étroite dont le contenu est au surplus différent
de la privacy américaine) mais tous les aspects de la vie personnelles ; faut-il reconnaître des
droits nouveaux comme le droit à l’anonymat (fortement diminué par des lois de police) et le
droit à être laissé tranquille (spamming) ? La notion de données personnelles n’est pas
adaptée aux identifiants nouveaux comme le numéro IP qui s’applique directement à une
machine et non à une personne alors qu’il servira à “ identifier ”, profiler, scorer un
utilisateur, (d’où l’apparition de l’anonyme personnalisé !), les identifiants intégrés aux
composants électroniques et aux logiciels. Les éléments d’identification contenus dans la
future norme IPV6 pourront-ils être pris en compte par le droit ? Quel est le statut du
spamming et des cookies et comment encadrer leur légalité ? Sur ces points des distorsions
nationales législatives déjà observables sont autant de brèches dans le système de protection.

3
La nécessaire cohérence internationale se heurte à des cultures, des intérêts politiques,
économiques, technologiques, des systèmes juridiques différents. Par exemple l’application
de la directive de 1995 aux transferts des données personnelles en provenance de l’Union
européenne s’avère très difficile voire impossible en pratique pour l’Internet ; sinon il faudrait
interdire — et comment ? les transferts vers les pays sans protection adéquate, à commencer
vers les États-Unis ; l’accord sur le “ Safe Harbour ” de 2000 ne débouche que sur son
inefficacité et sa contestation par le nouveau pouvoir exécutif américain. De fait, cette carence
du droit de la protection des données sur Internet favorise les intérêts de ceux qui considèrent
la protection des droits et libertés des internautes comme une contrainte inutile. L’échec de
l’autorégulation américaine est patent.
Le droit existant parait trop déconnecté de certaines réalités techniques comme la
traçabilité des personnes, l’utilisation des données de connexion et de navigation, la difficulté
de sécuriser les traitements.
Il paraît mal conçu pour encadrer le rapprochement technologique entre l’Internet et le
téléphone mobile par exemple, qui va favoriser les services reposant sur la géo-localisation de
l’utilisateur, ou le développement des techniques biométriques et des techniques de
cybersurveillance, notamment au sein du lieu de travail. Tous ces aspects nouveaux ne sont
pas abordés de face par un droit de la protection des données personnelles conçu
essentiellement pour des techniques et des services de l’avant Internet. Cette inadaptation de
règles nuit à sa crédibilité alors qu’un effort de précision et d’adaptation donnerait des
résultats pertinents ; mais encore faut-il que les individus et la société manifestent activement
leur volonté de défendre les droits et libertés des personnes sur l’Internet comme ailleurs.

III – Le rôle paradoxal de l’Internet

Parce que les systèmes juridiques de protection des données personnelles, quand ils
existent, montrent aujourd’hui leurs limites et insuffisances, il convient de porter la défense
des droits de la personne sur de nouveaux terrains sinon on risque d’avoir un droit peu
effectif, tournant sur lui-même en circuit fermé, servant d’alibi et de trompe-l’oeil en faisant
croire à l’existence d’une protection en réalité très partielle. Dormez en paix braves gens, le
droit vous protège ...
C’est pourquoi avec un esprit volontairement provocateur nous disons : vive les excès et
les abus, et ils sont nombreux et variés sur l’Internet ! Que les atteintes aux droits et libertés
des personnes soient graves et fréquentes, que les “ affaires ” se multiplient, qu’elles soient
médiatisées, qu’elles nous affectent gravement personnellement et collectivement. Alors elles
changeront nos comportements en nous faisant sortir de la torpeur ambiante, en éveillant
notre conscience des risques encourus ; alors le droit protecteur deviendra une ressource utile.

4
 Il ne suffit pas de disposer d’un droit théoriquement protecteur : encore faut-il que nous
soyons motivés pour l’utiliser en défense de nos droits et libertés, qu’il serve de levier pour
modifier les rapports de force actuels, pour passer de la méfiance à l’opposition passive et
active.
L’exemple des États-Unis est parlant. Le débat sur la protection des données
personnelles et le respect des droits et libertés est resté atone jusqu’à la multiplication des
failles de sécurité des systèmes informatiques entraînant l’accès et la divulgation illégale des
données personnelles, les cessions des données de connexion par les fournisseurs d’accès,
l’établissement et la commercialisation des profils d’utilisateurs et de consommateurs, les
excès du spamming et des cookies, les abus de collecte de données sur la famille par le
truchement des enfants qui peuvent aussi accéder aux sites pédophiles, pornographiques,
violents, haineux, racistes (ce qui est excessif malgré l’interprétation très libérale et
acceptable de l’amendement premier de la Constitution américaine en faveur de la liberté de
communication et d’expression), la diffusion et la vente de données sensibles sur la santé, le
passé pénal des personnes etc. De multiples start-up de commerce électronique mises en
faillite ont vendu les données personnelles profilées des clients et prospects à des anciens
concurrents, découvrant que c’était la seule valeur d’actif qui leur restait, sans respecter les
droits des personnes ni les engagements pris.
Ces excès fortement médiatisés, ont engendré, au niveau de l’état fédéral comme des
états fédérés, le dépôt d’une multitude de propositions de lois pour interdire ou encadrer les
abus dans le cadre d’une approche sectorielle peu cohérente ; de nombreux contentieux sont
survenus. Si des textes sont en discussion, on relève encore peu de votes sauf en particulier
pour la protection des mineurs ; mais le débat juridique, politique et législatif progresse,
certains réclamant l’édiction de législations fédérales nouvelles et spécifiques.
Sensibilisée, l’opinion publique exerce des pressions croissantes sur les autorités
publiques pour apporter des réponses adaptées. Il existe aujourd’hui une véritable demande
sociale de protection des personnes sur l’Internet. Celle-ci, c’est un autre trait du cas
américain, est suscitée, encadrée, exprimée, par des organisations puissantes de défense des
droits et libertés individuels comme l’EPIC (Electronic privacy information center), l’ACLU
(Americain civil liberties union). Il suffit d’aller sur le site de l’EPIC par exemple
(www.epic.org) pour réaliser la vivacité du débat, des actions, des réactions, la réalité du
contrôle social. C’est grâce à l’existence de tels groupes de pression, actifs et informés, qu’un
meilleur équilibre s’établit entre les défenseurs des droits et libertés des personnes et ceux qui
cherchent à les violer. On ne peut que regretter l’absence de tels contre-pouvoirs en Europe,
et spécialement en France, même si on observe quelques avancées timides à travers la
création de collectifs d’associations de défense ou de structures comme le Forum des droits
sur l’Internet. Pour être vivant le droit protecteur a besoin de relais et de caisses de
résonnance auprès de l’opinion publique.

5
 L’opposition des internautes et l’influence de ces structures de défense des droits des
personnes sur l’Internet est pris en compte par les opérateurs, les responsables de sites privés
et publics, spécialement par les entreprises. Ainsi se multiplient les engagements qui peuvent
servir à engager la responsabilité, de respecter les droits et libertés des personnes, de
discipliner la collecte, le traitement et la diffusion des données personnelles à travers des
chartes affichées, des labélisations de sites. Mais là encore la pratique américaine montre que
cette autorégulation manque souvent de sérieux, met en confiance l’internaute sans éviter les
abus, relève de l’autopromotion, voire de la tromperie. (Comme dans les affaires Double click
ou E-Toys où la Federal Trade Commission a menacé de déclencher un contentieux). Une
cinquantaine de grandes entreprises, parmi lesquelles IBM, American Express et ATT ont
créé en leur sein des postes de “ corporate privacy officer ” rattachés à la direction et
bénéficiant d’une certaine autonomie fonctionnelle ; ce responsable est chargé d’auditer les
sites et les fichiers pour détecter les anomalies, définir les bonnes pratiques, instruire les
plaintes. Cela répond à l’inquiétude du gouvernement américain qui, après enquête, estime
que 20 % seulement des sites Internet garantissent aux internautes une protection contre les
utilisations abusives de leurs données personnelles.
La stratégie la plus efficace pour modifier le comportement de ceux qui sur Internet, ne
respectent pas les droits et libertés des personnes consiste à taper sur le point faible, c’est-à-
dire le “ portefeuille ” des entreprises, le droit servant de support et de légitimation de
l’action. Quand les excès font perdre des clients et prospects devenus méfiants et réclamant
des comptes, quand en représailles on lance un mot d’ordre de boycott du site ou des produits
et services offerts, quand des campagnes médiatiques bien orchestrées nuisent à l’image de
marque de l’institution publique ou privée, quand on déclenche des contentieux retentissants
et coûteux devant les tribunaux, les résultats sont immédiats et spectaculaires. Aucun
organisme public ou privé ne peut résister à des dénonciations justifiées et publiques ; les
exemples abondent aux États-Unis et les internautes européens, beaucoup plus passifs et
inorganisés, feraient bien de s’en inspirer pour soutenir l’action des autorités de régulation.
Alors on découvre l’intérêt d’être vertueux (et pourquoi ne pas alors le faire valoir sur
l’Internet pour conforter une image de marque positive et inspirer confiance) en respectant les
droits des personnes, alors le droit protecteur est perçu comme un bon investissement. En la
matière, l’analyse économique des droits est pertinente : les entreprises américaines avec
l’appui du gouvernement fédéral refusent les législations protectrices, présentées toujours
comme des contraintes inutiles et coûteuses ; leur comportement évoluera sous la pression des
internautes quand elles réaliseront que le manque de confiance, l’opposition active, la perte
d’image, peuvent représenter un coût supérieur. Les États-Unis qui se présentent sur la scène
mondiale comme un exemple à valeur universelle en matière de protection des libertés des
personnes et de régulation de l’Internet éprouvent des difficultés à réaliser que ces libertés ont
aussi une valeur incalculable sur l’Internet même si elle est fluctuante. On le voit bien à

6
travers les législations récentes intervenues aux États-Unis (Patriot Act), en France (loi sur la
sécurité quotidienne), en Grande-Bretagne, en Allemagne etc. au nom de la lutte contre le
terrorisme, ou à travers la Convention sur la cybercriminalité de Budapest du Conseil de
l’Europe. Dans le contexte sécuritaire, la protection des données personnelles, avec la
conservation et l’accès aux traces de connexion, le décryptage des messages (sans parler de
Carnivore et de Magic Lantern…) connaît des brèches où s’engouffrent certaines
administrations publiques aux motivations suspectes, avec l’aval d’un pouvoir politique
manipulateur et en partie lui-même manipulé.
Effectivement l’Internet a un effet paradoxal : il augmente les risques et les dangers
réels pour les droits et libertés des personnes et en même temps il favorise des avancées du
droit protecteur des données personnelles en le rendant plus nécessaire et affirmé dans le
cadre national, communautaire et international, en provoquant le débat et en sensibilisant
l’opinion publique, en modifiant les comportements, les approches juridiques et techniques
confrontées à de nouvelles réalités.
A l’évidence de nouveaux équilibres doivent être trouvés entre le modèle européen
riche en règles de protection mais peu appliqué et respecté parce que peu utilisé par des
sociétés trop inertes, et le modèle nord-américain qui n’offre pas à des internautes sensibles et
revendicatifs un système normatif suffisamment développé. On ne peut que souhaiter et
favoriser une convergence entre ces deux réalités pour empêcher que l’Internet ne se
transforme en une toile d’araignée liberticide.