Données de connexion et données à caractère personnel:Quelle interopérabilité pour quelle protection sur internet ?

0
4101

L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité humaine ni aux droit de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Ainsi dispose substantiellement l’article 379 de la loi n°2017-20 du avril 2018 portant Code du numérique en République du Bénin pour révéler in fine le fossé entre la modernité technologique, les pratiques qu’elle induit et le conservatisme juridique qui s’y rapporte.

Depuis leur avènement et leur essor qu’on peut situer au milieu des années 2000, les publications multimédias ont baigné dans un véritable bouillonnement discursif et idéologique, matière première pour une véritable appréhension épistémologique. Mais derrière toute la rhétorique des sachants, c’est l’interactivité des internautes à travers leurs contributions (empowerment) et le partage des contenus qu’il faut véritablement considérer . C’est d’ailleurs ce caractère participatif et les caractéristiques fonctionnelles de l’internet qui,sans aucun doute, justifient la prise d’assaut des plateformes numériques. Il est difficile de s’imaginer ce que serait la vie aujourd’hui sans internet puisqu’il est présent dans notre quotidien ; que ce soit au travail, à la maison et même dans nos déplacements grâce à desterminaux intelligents de plus en plus perfectionnés. Mais cette relation de l’internaute avec le cyberespace peut lui être préjudiciable car il se déleste à son insu, la plupart du temps, d’informations sensibles ou susceptibles de retracer son profil et favoriser l’utilisation de ses données à des fins pas toujours avantageuses . En effet, la technologie permet aujourd’hui dans de nombreux domaines d’activités de développer des mécanismes d’individualisation. Ces procédures se basent sur l’accumulation de données et permettent un profilage affiné. C’est en cela que la problématique présente un intérêt et devrait obliger les pouvoirs publics à se pencher sur leur encadrement.

 

L’individu ainsi numérisé perd la maîtrise des informations qui le concernent  car il est une réalité que l’informatique, qu’elle soit communicante ou non, génère un espace de vulnérabilité pour l’internaute. Un recruteur est en mesure de consulter la page Facebook d’un candidat ou un moteur de recherche (les Gafa sont les plus puissants) pour se faire une idée réelle des capacités de celui-ci à prendre en charge la responsabilité qu’il voudrait lui confier. Il est donc acquis que l’espace de chair ou physique et celui virtuel forment deux réalités indissociables. Il y a comme sur internet une surveillance implacable et insidieuse des moindres détails de la vie de l’internaute qui est ainsi mis sous observation. La vie privée et les données à caractère personnel en sont les premières victimes.                

Les risques sont davantage accrus en cas d’interopérabilité des données de connexion des internautes notamment avec les données à caractère personnel .L’interopérabilité s’appuie sur l’utilisation par les plates-formes existant sur internet et les traces numériques générées par la sédimentation des données de connexion des internautes. Toute chose qui suppose que des informations publiées sur Facebook ou Instagram peuvent se retrouver dans un moteur de recherche comme Google. Dans ces conditions, il est loisible de s’interroger sur la protection des données sensibles de l’internaute étant donné qu’en général son consentement éclairé n’est pas requis.

Dans un double mouvement, la présente réflexion permettra de montrer que l’environnement cybernétique est un terreau favorisant la vulnérabilité des données à caractère personnel qui restent encore tributaires d’une protection insuffisamment formalisée. C’est pourquoi, des suggestions seront faites en s’appuyant des mécanismes que nous préciserons.

 

I- L’interopérabilité entre le refus d’un principe et l’impuissance de la maîtrise des données

 

L’utilisation des données des internautes a opposé deux courants de pensées : le premier favorable à l’interopérabilité a prôné à travers le web2(lire web à la puissance deux)la possibilité d’utiliser les données des internautes par les différentes plates-formes existant sur internet; le second courant plutôt protectionniste défend les usagers contre l’utilisation de leurs données à caractère personnel. Cependant, cette controverse doctrinale n’a véritablement pas eu d’impact sur la protection des données étant donné qu’on observe une tendance générale à l’usage libre desdites données sur internet, usage qui semble être consubstantiel à l’internet.

 

A- L’échec de la théorie du web2

 

Le web2 dont la philosophie est portée par Tim O’Reilly et John Battelle, s’appuie sur certaines applications telles que la géolocalisation, la personnalisation ou encore la réalité augmentée et utilise les données fournies par les internautes sciemment ou non, volontairement ou non. La position défendue s’articule autour de l’idée qu’il est impensable qu’un internaute ne peut, au cours de ses pérégrinations, ne pas laisser de traces .

Ces traces numériques et indélébiles sont alors vues comme une opportunité, un facteur de progrès de développement pour l’internet. Il s’agit donc d’une base de données ouverte dans laquelle tout utilisateur peut s’approvisionner sans formalité particulière. Ces deux auteurs soutiennent que la participation des internautes, par la sédimentation des données ainsi accumulées depuis l’époque du web 2.0, a rendu possible les développements liés au web2.

 

Il s’ensuit que les données même celles dites personnelles devraient être soustraites à toutes formes de protection pour tomber dans le « domaine public ». C’est sur ce point que la théorie du web2 est préoccupante. En effet, elle ne distingue aucunement entre les différentes données qu’elles soient privées ou publiques, commerciales ou non commerciales.

Au contraire, elle soutient l’idée d’une intelligence collective dans le sens du crowdsourcing encore appelé externalisation ouverte ou production participative qui est l’utilisation de la créativité, de l’intelligence et du savoir-faire d’un grand nombre de personnes pour réaliser certaines tâches traditionnellement effectuées par une seule personne. C’est dans cette perspective que l’on peut construire des applications de manière à orienter les utilisateurs vers la réalisation de tâches spécifiques, comme l’élaboration d’une encyclopédie en ligne, l’annotation d’un catalogue en ligne, l’ajout de points de données sur une carte (les nombreuses applications web de cartographie), ou la découverte des actualités les plus populaires.

Dans un article intitulé « Critiques du Web² : Quelles données libère-t-on ? » Guillaud Hubert prend le contre-pied de cette théorie en soulevant ses faiblesses. En effet, il soutient que l’ouverture des données suppose que celui qui décide de les exploiter obtient in fine le droit de les agréger, les croiser, les analyser, en extraire d’autres significations ou d’autres décisions. Ce qui pourrait à la longue générer des conflits car les données en cause ne sont pas juste importantes parce qu’elles peuvent être rattachées à la vie privée de la personne, elles peuvent aussi revêtir un caractère commercial. Or, libérer une donnée suppose sa mise en circulation donc la possibilité pour la personne à laquelle elle est rattachée d’en perdre le contrôle mais aussi son pouvoir économique sur elle.

La théorie du web2 n’attache aucune importance à la nature des données. Or, lorsque celles-ci prennent le caractère de données à caractère personnel, il n’est plus possible d’en user ni à sa guiseni selon son bon vouloir. Le droit à la protection des données personnelles est issu du droit à la vie privée, dont on craignait qu’il soit largement bafoué par l’utilisation généralisée de l’informatique pour le traitement de l’information et la création de fichiers . Le droit fondamental à la protection des données personnelles s’est aujourd’hui émancipé et constitue un droit fondamental à part entière, même si ses liens avec le droit à la vie privée demeurent. Protéger les données personnelles, ou plus spécialement protéger les individus à l’égard du traitement de données personnelles les concernant constitue clairement une protection de la vie privée.

Toutefois, il ne faudrait pas confondre droit au respect de la vie privée, et protection des données personnelles. Si une mauvaise utilisation de données personnelles peut porter atteinte au droit à la vie privée d’une personne, toute utilisation de données personnelles ne constitue pas une telle atteinte. De même, les données personnelles n’ont pas toutes, trait à la vie privée . Ainsi, la protection des données personnelles est étroitement liée à la protection de la vie privée, même si les deux notions ne se recouvrent pas entièrement. On peut comprendre et soutenir la doctrine opposée à l’interopérabilité.

 

B- La consubstantialité à l’internet de l’exploitation des données à caractère personnel

 

L’interopérabilité des données à caractère personnel sur le réseau internet est dans son principe contraire aux règles qui régissent lesdites données. Les développements faits plus haut ont montré à suffisance l’étroitesse des liens entre les données à caractère personnel et la vie privée de la personne rattachée au domaine des droits fondamentaux. Ce qui suppose que l’usage de ces données sans l’autorisation de celui qui en est titulaire est une fraude à ses droits.C’est d’ailleurs ce que prévoit la loi béninoise sur la protection des données à caractère personnel en conférant au titulaire certains droits comme le droit d’information,  le droit d’accès , le droit d’opposition et le droit de rectification .

Toutefois,pour des motifs d’intérêt public, la loi prévoit que les interdictions de collecter ou de traiter des données à caractère personnelsoient levées. Elle prévoit en son article 7 prévoit ces différentes interdictions qui concernent :

 les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf lorsque la loi prévoit que l’interdiction visée à l’article 6 de la présente loi ne peut être levée même par le consentement de la personne concernée ;

les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ;

les traitements mis en œuvre par une association ou tout autre organisme à but non lucratif ou à caractère religieux, philosophique ou syndical et dont la finalité est relative à la gestion de leurs membres ou celle des personnes qui entretiennent avec eux des contacts réguliers dans le cadre de leurs activités ;

les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ;

les traitements ayant pour fin, le suivi thérapeutique ou médical individuel des patients ;

les traitements ayant pour fin, la recherche dans le domaine de la santé.

Cette disposition s’inscrit dans la tendance désormais générale qui prône l’ouverture des données, c’est l’open data. Un autre exemple peut être trouvé au niveau de l’article 7 de la loi n°2015-07 du 20 mars2015 portant code de l’information et de la communication qui dispose que « Toute personne a droit à l’information. L’Etat s’oblige, à travers ses différentes structures et institutions, à garantir à toute personne, l’accès aux sources d’informations notamment publiques.

Les services de l’Etat chargés de cette mission s’engagent par conséquent à fournir tout renseignement, à communiquer tout document et à veiller à faire constituer, au besoin, un dossier de presse à mettre à la disposition des professionnels sur tout sujet intéressant légitimement le public ».

 

 

Au premier regard, il faut considérer que les données concernées sont celles qui présentent un intérêt pour le public.

 

C’est d’ailleurs cette option qu’a faite le législateur français à travers la loi pour une République numérique. La réforme française de l’ouverture et du partage des données publiques vise deux objectifs. Dans un premier temps, il s’agit d’offrir aux citoyens français l’opportunité d’exploiter le formidable gisement que constituent ces données (le big data)et de leur donner les moyens de mieux contrôler l’administration publique.

Cependant, l’open data soulève à cet égard une question spécifique : en principe, il exclut toute diffusion de données à caractère personnel, mais bien souvent, les données détenues par les administrations ont été élaborées à partir d’informations individuelles, qui peuvent être retrouvées grâce aux formidables capacités de traitement que permet l’informatique moderne. L’impératif de protection de la vie privée est-il en mesure de toujours prévaloir ?

Quelle instance sera compétente lorsque des informations remises à un journaliste par une administration comporteraient des données à caractère personnel ? La question est d’autant plus pertinente que la loi elle-même donne pouvoir au journaliste de s’en référer à la HAAC pour contester une décision de rejet de sa demande. L’Autorité de Protection des Données Personnelles (APDP) peut également revendiquer le droit de connaître d’un éventuel conflit mettant en cause l’utilisation des données à caractère personnel.

 Cette double possibilité ne devrait pas être perçue comme couvant un conflit d’attribution. Au contraire, la diversité augure d’une meilleure protection ou à tout le moins, l’assurance de faire valoir ses droits dans un contexte où la violation semble être la règle et le respect, l’exception. Mais la situation n’est pas désespérée si la protection reste de mise avec une orientation sur l’identité numérique et le droit à l’oubli numérique.

 

II- La nécessaire affirmation d’une protection des données à caractère personnel sur internet

L’incapacité des différents mécanismes à assurer de façon autonome et isolée la protection des données à caractère personnel sur internet suggère une complémentarité entre eux. Ainsi, qu’ils soient d’ordres normatifs, techniques ou technologiques, ils appellent des actions positives du législateur.

 

A- La protection par la reconnaissance d’une identité numérique

 

Les éléments disparates que l’on retrouve dans le cyberespace et qui sont des données à caractère personnel donneront toujours l’impression de données libres d’utilisation si une protection juridique appropriée n’est pas établie.Certes, une loi sur la protection des données personnelles en droit interne peut trouver à s’appliquer lorsque la personne considérée est assujettie à ses dispositions. Mais les problématiques impliquant des éléments d’extranéité ne sont jamais une sinécure. C’est pourquoi, il est recommandé qu’un dispositif juridique qui intègre cette réalité soit mis en place avec l’avantage de prévoir les règles de compétences extraterritoriales.

La reconnaissance et la consécration d’une identité numérique propre à chaque individu doit être aperçue comme un ensemble d’informations que le législateur protège en tant que telles. Il est vrai que dans l’environnement digital, la notion d’identité peut prêter à confusion vu qu’un seul et même individu peut avoir plusieurs identités. Ce qui fait même dire à certains auteurs qu’il est plus juste de parler des « identités numériques » plutôt que de l’ « identité numérique » .

L’identité numérique est la représentation numérique de soi, la représentation d’un individu dans l’espace digital ou encore une partie de soi . Ainsi, la perception de l’identité numérique est très large et la multiplicité des supports sur lesquels elle se manifeste, associée à la pluralité de ces types de présence, en font une nouvelle forme d’identité caractérisée par une diversité dans les modes d’expression de soi donnant lieu à une extension de soi dans l’environnement digital . De manière plus circonstanciée, l’identité numérique peut être définie comme la collection des traces (écrits, contenus audios ou vidéos, messages sur des forums, identifiants de connexion, etc.) que nous laissons derrière nous, consciemment ou inconsciemment, au fil de nos navigations sur le réseau et le reflet de cet ensemble de traces, tel qu’il apparaît « remixé » par les moteurs de recherche.

Mais tous les éléments et toutes les informations (traces numériques ou identités numériques) que l’internaute laisse au cours de ses pérégrinations sont-elles des données à caractère personnel ?

Il faut rapidement lever l’équivoque. Les traces « profilaires », ,les traces « navigationnelles »  et les traces inscriptibles et déclaratives  peuvent contenir des éléments qui ne sont pas toutes des données à caractère personnel. Les données de connexion ou encore l’identité numérique est un vaste réceptacle duquel il faut extirper les données à caractère personnel.

Mais il n’en demeure pas moins que la protection accordée aux données à caractère personnel doit être étendue aux autres éléments de l’identité numérique (identifiants numériques, données formelles et informelles ou encore e-reputation).

 

B- La consécration d’un droit à l’oubli numérique

 

Pour remédier à l’usage frauduleux des données à caractère personnel collectées sur internet, il convient de développer des mécanismes juridiques protecteurs des droits de l’individu. Ils sont certes nombreux avec un champ d’efficacité aussi aléatoire que l’appréhension d’un cyberdéliquant. C’est le cas du droit à l’oubli numérique dont la première évocation remonte à l’affaire dite Landru  où le professeur Gérard Lyon-Caen l’expose comme fondement juridique possible d’une action intentée par une des maîtresses de Landru, qui demandait alors réparation du dommage que lui aurait causé un film de Claude Chabrol relatant une ancienne liaison. Le juge fonde alors son argumentaire sur une autre notion non moins éponyme, la « prescription du silence », pour finalement rejeter la demande au motif que la requérante avait elle-même publié ses mémoires. Mais cette approche n’a pas fait florès. C’est ainsi que dans une autre décision dite Madame Filipacchi et Cogedipresse, la notion de droit à l’oubli a été consacrée en droit positif français. Ainsi, dans cette décision, le Tribunal de Grande Instance de Paris s’est appliqué à consacrer une nouvelle liberté publique  : « Attendu que toute personne qui a été mêlée à des évènements publics peut, le temps passant, revendiquer le droit à l’oubli ; que le rappel de ces évènements et du rôle qu’elle a pu y jouer est illégitime s’il n’est pas fondé sur les nécessités de l’histoire ou s’il peut être de nature à blesser sa sensibilité ;

Ce raisonnement du juge est fondé, surtout dans une démarche qui tend à la protection des données à caractère personnel. Il trouve son fondement dans des institutions juridiques assez connues que sont par exemple la réhabilitation et le pardon. En effet, il n’est pas juste de reprocher à une personne, ad vitam aeternam, ses caprices de jeunesse ou encore des déviances qu’il aurait commise dans son passé à l’image d’un forçat qui trimbalerait le boulet attaché à ses pieds.

 

L’intérêt d’un droit à l’oubli réside certes dans sa formalisation mais encore plus dans son effectivité  sur internet.

La complexité de la mise en œuvre du droit à l’oubli sur internet est symbolisée par cette déclaration de l’Autorité de Régulation des Communications Electroniques et de la Poste française, « Le droit à l’oubli fait ainsi l’objet d’une consécration assez théorique, et en réalité son caractère de liberté publique ne lui confère qu’une force illusoire de garantie. Actuellement, ni la loi française ni les directives européennes ne permettent d’instaurer un véritable droit à l’oubli. Il ne s’agit sur Internet pour le moment que d’un principe de conservation des données à caractère personnel limité dans le temps. Il reste encore beaucoup à parcourir avant de permettre à l’internaute de devenir le seul archiviste de son histoire personnelle. Les nouveaux droits liés à la généralisation de l’Internet rendent nécessaire la recherche d’un niveau supérieur de protection : il est désormais indispensable de passer de l’encadrement de la collecte des données personnelles à la consécration d’un véritable droit à la « mort virtuelle ».

La posture de l’ARCEP est empreinte d’un pessimisme qui pourrait laisser croire que pour le droit à l’oubli, l’internet est un obstacle rédhibitoire. Mais une législation sur la société de l’information gagnerait à formaliser ce droit qui pourra toujours être évoqué pour protéger des droits de la personne. Le danger réside plutôt dans le silence de la loi. Il s’agira comme l’affirme TÜRK (A) de « retraduire une fonction naturelle, l’oubli, qui fait que la vie est supportable » .

 

Nous pensons, à l’instar de Chateauraynaud, que le sujet de la protection des données personnelles dans l’espace cybernétique est inscrit dans un « champ de forces » international au sein duquel sont imbriqués des éléments hétérogènes. Il peut s’agir de textes de régulation (des lois, des règlements et des normes techniques), d’artefacts technologiques (des matériels et des logiciels), d’intérêts et de modèles industriels et socioéconomiques, de discours médiatiques, de pratiques d’entreprises ou de pouvoirs publics . Joseph Djogbenou ne dit pas autre chose lorsqu’il évoque les difficultés d’appréhension de l’agent criminel en rapport avec le territoire comme élément de rattachement. En effet, la transnationalité des réseaux…permet au criminel de pouvoir commettre une infraction de sorte que les éléments de l’infraction puissent se retrouver dispersés sur le territoire de plusieurs pays dont les législations ne sont pas forcément homogènes avec d’inévitables problèmes de conflits de souveraineté .

Dans ce contexte, les institutions nationales et les mécanismes de protections au niveau national, communautaire et régional doivent être mis à contribution. Il nous semble que dans ce magistère, l’Autorité de Protection des Données Personnellesne prend pas assez la place qui est la sienne. Pour qu’elle joue pleinement son rôle, elle doit cesser d’être une excroissance de l’appareillage du pouvoir exécutif mais une autorité administrative indépendante avec une réelle indépendance organique et fonctionnelle.

 

La réflexion sur la protection des données à caractère personnel dans le cyberespace relève d’une aporie. Certes. Mais, il y a lieu de reconnaître que le droit du cyberespace est lui-même en construction après les nombreuses controverses sur l’opportunité voire la nécessité de faire intervenir la règle de droit. Dans ce contexte, le droit positif qui estresté longtemps silencieux sur l’encadrement des activités dans cet espace, a été dynamisé par l’adoption du Code du numérique  avec des avancées notables l’encadrement de la cryptologie, la signature électronique, l’archivage électronique, la cybercriminalité, l’horodatage, la cybersécurité, etc .

Cependant, la loi ne saurait à elle seule être la mesure prophylactique si le besoin de développement qui la sous-tend occultait les aspects liés à la protection des droits fondamentaux de la personne qui devraient  être le point centrifuge de toute réforme dans ce secteur. Ce qui à terme devrait permettre de structurer comme le pense Mbissane NGOM , l’ordre public cyberspatial dont les adjuvants nécessaires se retrouvent dans la sécurité informatique des infrastructures publiques et privées, la protection des données et des « big data », le traitement de la connectivité, etc.

 

Par Marius Janvier Dossou-Yovo

 

Administrateur civil

Docteur en droit privé/ Enseignant Chercheur

Expert en droit du cyberespace et des médias

Secrétaire Général Adjoint de la Haac

Tél : +229 95967257/91134624

E mail : mariusjanvierd@yahoo.fr

LEAVE A REPLY

Please enter your comment!
Please enter your name here