Les sénateurs Yves Détraigne et Anne-Marie Escoffier ont rendu public le 6 juin 2009 leur rapport d’information intitulé « la vie privée à l’heure des mémoires numériques ». Un document qui apporte une contribution toujours intéressante et parfois novatrice à ce débat de société.

***

Avant même la parution de leur rapport d’information consacré à la vie privée à l’heure des mémoires numériques, les sénateurs Yves Détraigne et Anne-Marie Escoffier avaient prévenu leurs interlocuteurs : ils ne faisaient pas partie des parlementaires spécialistes de la question. C’est finalement ce regard neuf qui constitue l’un des mérites essentiels de ce rapport de 120 pages assortis d’une série de 15 propositions.

Presque toujours en phase avec la CNIL

Pour l’essentiel la tonalité du rapport sénatorial s’inscrit dans la lignée de thèses défendues de longue date par la CNIL et certaines des propositions formulées dans le document l’avaient été antérieurement par Alex Türk, président de l’autorité de protection des données. On citera ici l’idée selon laquelle la CNIL devrait être la seule instance compétente en matière de vidéosurveillance ou encore la défense d’un « financement à l’anglaise » fondé sur une contribution versée par toutes les entreprises et collectivités publiques pour permettre à la Commission de disposer de moyens supplémentaires.

Au chapitre des différences d’interprétation, on remarquera tout de même que les auteurs du rapport atténuent la thèse généralement admise selon laquelle le niveau de protection de la vie privée est bien supérieur en Europe qu’aux Etats-Unis. « Si les Etats-Unis protègent peut-être un peu moins de jure les données personnelles privées, les quelques lois en vigueur sont de facto rigoureusement appliquées » soulignent les sénateurs qui rappellent que les amendes infligées aux entreprises par la FTC (Federal Trade Commission) peuvent atteindre le million de dollars alors que celles de la CNIL plafonnent à quelques dizaines de milliers d’euros.

Nouveauté perçue et nouveauté réelle

Dans le contexte de l’effervescence des débats publics autour de la « Loi Hadopi », les journaux ont principalement relevé la proposition des sénateurs visant à « Affirmer sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel ». Cette prise de position, là encore conforme à la position de la CNIL, a été largement reprise alors que passait relativement inaperçue une autre proposition qui, si elle était mise en œuvre, viendrait modifier largement le dispositif de protection des données à caractère personnel en vigueur depuis la fin des années 70 : « Créer a minimaune obligation de notification des failles de sécurité auprès de la CNIL ». Yves Détraigne et Anne-Marie Escoffier précisent la première loi imposant ce type de notification a été introduite en Californie en 2002 et que la majorité des Etats américains en dispose désormais.

Les innovations de la loi informatique et libertés de 2004 plébiscitées

Si la nouvelle loi Informatiques et Libertés d’août 2004 reprenait pour l’essentiel les grands principes de sa célèbre devancière de janvier 1978, elle n’en comportait pas moins quelques innovations comme le Correspondant Informatique et Libertés (CIL) ou le label CNIL. Ces nouvelles approches font l’objet d’un soutient sans réserve de la part des auteurs du rapport. Ils plaident ainsi pour la généralisation des Correspondant Informatique et Libertés (CIL) pour toutes les structures publiques et privées de plus de cinquante salariés. Rendre le CIL obligatoire alors que sa désignation est aujourd’hui facultative, ferait passer les effectifs d’environ 1500 à plusieurs centaines de milliers, ce qui ne manquerait pas de poser de façon très concrète la question de la formation et de la qualification de ces nouveaux professionnels de la protection des données. Il en va des CIL comme de la construction européenne : on ne pourra certainement pas avoir en même temps l’élargissement et l’approfondissement. Il est ici possible de formuler l’hypothèse selon laquelle le rapport a retenu cette proposition de rendre le CIL obligatoire moins pour voir cette décision appliquée à court terme que pour susciter une prise de conscience dans les secteurs les plus en retard, et plus particulièrement au sein des collectivités territoriales.

Les auteurs du rapport apportent également un soutien complet au dispositif des labels de protection de la vie privée dans la mesure où ils se considèrent « convaincus que les entreprises ont tout intérêt à faire de la protection des données personnelles de leurs clients un axe fort de leur développement ». Ce soutien affirmé aux labels privacy tombe à point nommé car, avec l’adoption de la loi de simplification du droit le 12 mai 2009, la CNIL dispose enfin du texte d’application qui va lui permettre décerner ses premiers labels.

Une dimension prospective

Enfin, le rapport possède également le mérite de proposer une dimension prospective lorsqu’il invite à « réfléchir à la création d’un droit à « l’hétéronymat » et d’un droit à l’oubli ». La question du droit à l’oubli n’est pas à proprement inédite mais elle est ici envisagée sous l’angle renouvelé du « droit au remord » et elle est illustrée par la belle formule de l’avocat Alain Bensoussan pour qui il est nécessaire que l’individu devienne « le seul archiviste de son histoire personnel ». Les sénateurs estiment ainsi que « les moteurs de recherche pourraient mettre à disposition des utilisateurs des outils qui leur permettraient, même d’une manière imparfaite, de « nettoyer leur passé » ». Cette idée selon laquelle il serait envisageable de donner à l’individu la capacité de « brouiller les pistes » peut conduire à la reconnaissance d’un droit à l’hétéronymat qui irait au-delà du simple usage d’un pseudonyme. Un débat public peut ainsi s’ouvrir sur un concept nouveau en matière d’informatique et libertés (même s’il ne l’est pas en littérature). C’est plutôt une bonne nouvelle.

Arnaud Belleil

Arnaud Belleil a fait partie des personnes entendues par les sénateurs Détraigne et Escoffier lors de la phase de préparation du rapport. Cette audition a été effectuée au titre de l’AFCDP (Association Française des Correspondant à la protection des Données à caractère Personnel).