Les données personnelles : l’or noir du XXIe siècle

Des leaks et des cyberattaques qui défraient régulièrement la chronique, des téléviseurs comme ceux du coréen LG qui espionnent leurs téléspectateurs, des moteurs de recherche comme Google qui photographient des passants inadvertis (street view), des réseaux sociaux comme Face book qui exploitent toutes les données qu’y exposent ses utilisateurs en confiance… Serions-nous entrés dans l’ère du « Big brother is watching you » du 21^e siècle ? « Comment protéger nos données personnelles dans ce contexte ? » C’est la question passionnante et inquiétante qui était au cœur de la journée d’étude organisée par l’Indecosa CGT, le 28 juin. Souvent trop occupés à découvrir ou profiter gaiement des nouvelles fonctionnalités offertes par ces petites merveilles technologiques pour songer au revers de la médaille, les consommateurs citoyens n’ont pas toujours connaissance de leurs droits ni de l’exploitation qui est faite des données qu’ils renseignent parfois même à leur insu. Or, « D’ici 2020, plus de 80 milliards de produits seront ainsi connectés à internet. Cela va concerner les ordinateurs, les smartphones, les tablettes, les montres connectées…, prévient Arnaud Faucon, secrétaire national de l’Indecosa CGT. Face à cette situation, le consommateur est inquiet, mais pas naïf. Une étude commandée par Intel montre que 81 % des Français craignent que les données collectées par leurs objets connectés soient utilisées à des fins marketing et 90 % se préoccupent du piratage. Dans le même temps, ils sont plus de 6 sur 10 à être prêts à vendre ou échanger lesdites données... » Dans ce contexte et sous la pression de l’opinion publique, les pouvoirs publics ont dû faire évoluer la législation. Ainsi la loi informatique et liberté de janvier 1978 a été complétée par la loi d’octobre 2016 pour une république numérique, qui sera elle-même « remplacée » par le règlement européen de protection des données personnelles dès mai 2018. Mais si cette première loi prévoit de protéger le citoyen et notamment de respecter le principe de la pertinence des données collectées et les délais de stockage des données, la législation européenne en voie de s’imposer prochainement est plus insidieuse car remettant en cause le principe de précaution. Elle a fait l’objet d’une bataille féroce autour du paradoxe : « besoin de régulation et pouvoir d’innovation des entreprises ». Et s’explique par la taille des enjeux financiers : le marché du big data représentait 6,3 milliards de dollars en 2012, il en représentait 23 en 2016 et devrait atteindre les 67 milliards dès 2021…. En clair, les lobbys les plus puissants – ceux représentants les grands groupes des télécommunications, des sociétés de l’information, mais aussi des industries chimiques ou pétrolières – ont réussi à imposer l’idée selon laquelle : « une législation trop sensible aux risques serait néfaste à l’innovation et donc source de blocage à l’investissement, à la productivité, etc. », déchiffre Denis Meynent, conseiller confédéral CGT et vice-président du groupe des travailleurs au CESE européen, membre de la section « marché intérieur production consommation ». Et de développer : « le règlement européen change la donne, car il marque le passage d’un contrôle à priori par la CNIL — gardien du temple — à une responsabilisation des acteurs avec suppression des déclarations et obligations préalables et renforcement des contrôles a posteriori, explique ce qui suppose une forte responsabilisation du consommateur, charge à lui de s’informer et d’être vigilant ». Le renversement de la charge… Mais pour Jean Baptiste Boissy, des sociétés d’études CGT, « dans un contexte d’état d’urgence, d’affaiblissement des libertés individuelles et de répression syndicale, il est urgent de sortir de l’opposition travailleurs producteurs et consommateurs usagers, car la protection des données personnelles touche plusieurs fronts et requiert une approche transversale tant entre les différents acteurs sociaux qu’entre les organisations de la CGT ».  

Pourquoi qualifier les données personnelles de « pétrole du 21^e siècle » ?

C’est une expression utilisée par la Présidente de la CNIL (commission nationale informatique et libertés). Le développement du numérique, celui des objets connectés, des réseaux sociaux ont permis de collecter énormément d’informations communiqués par les consommateurs et citoyens ce qui va permettre de cibler les choix, les goûts des personnes dans un tas de domaines comme l’alimentation, la mode, etc. Or, ces données personnelles ont une valeur puisqu’elles vont permettre aux professionnels d’offrir de nouveaux vecteurs, de nouveaux produits, de nouveaux services adaptés aux personnes. On parle donc de pétrole parce qu’elles sont monétisables et qu’elles constituent un grand gisement financier.

D’un côté, les consommateurs veulent être protégés, de l’autre, ils sont très bavards… Jusqu’où l’INC peut-il les protéger ?

Il est de notre responsabilité en tant qu’association de consommateur de sensibiliser les consommateurs à la nécessité d’être vigilants lors de la collecte des données personnelles par exemple. Qui va collecter ces données ? À quelles fins ? Où vont-elles être stockées ? Nous pouvons également alerter sur la nécessité d’être vigilant quant aux données communiquées sur les réseaux sociaux. La limite de l’exercice étant qu’il faut que le consommateur aille lire l’information qui lui sera rendue disponible. Or, très souvent, il va être pressé d’obtenir un produit ou un service. En matière d’objet connecté, il va être concentré sur le côté gadget ou branché de la chose, sans se poser la question des données personnelles. Ce n’est bien souvent qu’en cas de difficulté, qu’il revient vers les associations. C’est toute la limite de l’infirmation des consommateurs. Le site de service public de l’INC et celui de la CNIL restent des lieux ressource.

L’évolution de la réglementation tend-elle à renforcer la protection du consommateur ?

La réglementation européenne a procédé à une harmonisation et s’imposera fortement à tous puisque les états membres n’auront quasiment aucune liberté d’adaptation des textes. Les consommateurs citoyens européens seront protégés de la même façon. C’est une évolution, car ils auront davantage de droits à l’information, à l’exercice des droits d’accès, de rectification, limitation pour les professionnels du droit au profilage… La limite, c’est la manière dont va être mis en œuvre ce règlement européen qui change la donne puisque nous passons d’un système global de déclaration de fichiers avec un contrôle à priori par les autorités de régulation à un système où les entreprises vont mettre en œuvre dès le départ la création de fichiers, etc. des règles visant à protéger les données personnelles avec un contrôle a posteriori par les autorités de contrôle. Quels seront leurs moyens pour vérifier la bonne application des règles ? On peut dire que ça va dans le sens d’un renforcement des droits du consommateur, car vont être mis en place : un vrai consentement, un droit à l’oubli, à la mort numérique…

Au final, consommer va devenir plus simple ou plus compliqué ?

Les entreprises et leurs sous-traitants vont être responsables de la mise en œuvre du nouveau règlement européen puisqu’en cas de contrôle, c’est à elles de se justifier, de présenter leur registre de traitement des données, documenter tout ce qu’elles auront mis en œuvre pour permettre la sécurisation des données, etc. Mais le règlement renforçant également le droit à l’information des consommateurs, ceux-ci vont devoir — encore plus qu’avant – faire attention aux informations qui leur sont communiquées au départ et surtout avant de communiquer leur consentement à l’utilisation d’un objet connecté et à l’utilisation de leurs données personnelles. Ça va devenir un vrai métier.