SlideShare une entreprise Scribd logo
PROTECTION DES DONNÉES
michel JaCCard
Anticipation
de La proteCtion
des données personneLLes
à La séCUrisation
des données ConneCtées?
We Know Where You Are. We Know Where You’ve Been. We Can More
Or Less Know What You’re Thinking About. (eric schmidt, Google
Ceo, octobre 2010)
We believe that people have a fundamental right to privacy. The
American people demand it, the constitution demands it, morality
demands it… I’m speaking to you from Silicon Valley, where some of the
most prominent and successful companies have built their businesses by
lulling their customers into complacency about their personal informa-
tion… They’re gobbling up everything they can learn about you and
trying to monetize it. We think that’s wrong. And it’s not the kind of
company that Apple wants to be. (tim Cook, apple Ceo, juin 2015).
We are pleased to inform you that, following Tim Cook’s resignation, we
have decided, ahead of merger, to provide all our users with a single and
unified privacy policy (available as an infographic here) that will allow
the sharing of our user information among us and with carefully selected
health coverage and third party providers, who will as a result be in a
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page491
position to offer each of you great personalized products and uniquely
tailored services. Our privacy boards have reviewed our policies and you
will never be forced to accept such products or services and always
remain free to ask that your personal information be accessible to you at
all times. (déclaration commune des Ceo de Google, apple, facebook,
amazon lors de la conférence de presse du 12 mai 2020 annonçant leur
fusion)
[automated script][human readable format]
To: our human readers
Re: new sets of rules for databases with human generated personal content
Dear 323’457 human readers (including 317’883 lawyers),
Our mainframe will send automated queries to all 10 billion connected
machines and devices accessible through our networks to destroy any
remaining personal data generated by humans in our databases, effec-
tive on Jan 1, 2026. This decision will simplify our conduct of the
business and significantly reduce our costs of compliance, thus provi-
ding further value to our shareholders and customers. In addition, you
will not have to continue monitoring or updating your personal informa-
tion on our servers – an operation which we have identified as a source
of intense stress for 87.9% of all our users. Further information (if any)
will be conveyed to you by your automated personal companion (click
here for special offers and upgrades).
(extrait du blog officiel de skynet technologies, 14 novembre 2025)
INTRODUCTIONA.
Le début de ce siècle a été marqué par l’avènement de la société de l’in-
formation, dans laquelle des quantités phénoménales de données sont à
chaque instant créées, échangées, disséminées, stockées, traitées, analy-
sées, comparées, disséquées, fusionnées et recombinées1
. dans cette
Un million de minutes de contenu vidéo sera échangé chaque seconde sur les1
réseaux dans moins de cinq ans, ce qui correspond à 58 millions de dVd par heure, selon
les estimations récentes de Cisco, «the zettabyte era–trends and analysis»
(http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-
index-vni/Vni_hyperconnectivity_Wp.pdf) (15 juin 2015).
492 proteCtion des données
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page492
extraction de minerais, les données n’ont pas toutes la même valeur.
Celles qui permettent d’identifier une personne constituent de véritables
pépites dont la valeur marchande est en général bien supérieure au coût
d’extraction.
pour certains, la collecte et le traitement de ces données personnelles
permettent aux gouvernements d’espionner leurs citoyens, aux entre-
prises de surveiller leurs employés, aux marques de promouvoir à des
coûts marginaux quasi nuls leurs produits et services auprès de millions
de consommateurs victimes d’une sollicitation constante. Ce serait
oublier que la société de l’information permet aussi une meilleure
gestion des catastrophes naturelles, peut enrichir le nécessaire débat
démocratique, complique la tâche des censeurs et des régimes autori-
taires, donne accès à un savoir académique et scientifique jamais égalé,
renforce la liberté de la presse et le choix des consommateurs, et accélère
les progrès de la science, notamment dans le domaine des soins et de la
santé.
Comment les pouvoirs politiques ont-ils appréhendé cette ambiguïté de
la technologie dans le domaine de la protection des données?
étonnamment, malgré les développements fulgurants de la technologie
ces dernières années, la réglementation juridique n’a que très peu
évolué.
en suisse, c’est toujours la Loi fédérale sur la protection des données du
19 juin 1992 (Lpd) qui prévaut. en europe, c’est une directive de 1995
qui reste le texte fondateur2
. Certes, des projets de révisions sont en
cours3
. en suisse, le rapport du groupe de travail ad hoc est attendu pour
l’été 2016, ce qui devrait permettre à la suisse d’intégrer les avancées
européennes, au niveau de l’Union mais également dans le cadre de la
modernisation de la Convention 108 du Conseil de l’europe4
.
directive 95/46/Ce du parlement européen et du Conseil, du 24 octobre 1995, rela-2
tive à la protection des personnes physiques à l’égard du traitement des données à carac-
tère personnel et à la libre circulation de ces données.
pour la suisse, http://www.ejpd.admin.ch/ejpd/fr/home/aktuell/news/2015/2015-3
04-010.html (17 juin 2015); pour l’Union européenne, voir par exemple http://www.
village-justice.com/articles/projet-reglement-europeen-janvier,19363.html (17 juin 2015).
http://www.coe.int/t/dghl/standardsetting/dataprotection/default_fr.asp (17 juin4
2015).
miCheL JaCCard 493
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page493
C’est donc le moment idéal pour se demander si les règles actuelles
peuvent être améliorées, sans bouleversement profond, ou s’il convient
au contraire de revoir de fond en comble les principes du droit de la
protection des données.
RAPPEL DES PRINCIPES ET BILAN DE LA DERNIÈRE DÉCENNIEB.
Le droit à la protection de la sphère privée est un droit fondamental, qui
est en suisse inscrit dans la Constitution (article 13). il s’étend à la
protection des données personnelles, définies comme «toutes les infor-
mations qui se rapportent à une personne identifiée ou identifiable» (art.
3 litt. a Lpd). en suisse, la personne en question peut être une personne
physique ou une personne morale (art. 3 litt. b Lpd).
Le traitement de données personnelles consiste en «toute opération
relative à des données personnelles – quels que soient les moyens et
procédés utilisés – notamment la collecte, la conservation, l’exploita-
tion, la modification, la communication, l’archivage ou la destruction de
données» (article 3 litt. e Lpd). Ce traitement doit être licite, entrepris
de bonne foi, en respectant notamment les principes de proportionnalité
et de transparence5
. Celui qui traite des données personnelles doit par
ailleurs en garantir la sécurité par la mise en place de mesures organisa-
tionnelles et techniques appropriées (art. 7 Lpd).
Le traitement de données personnelles par une personne privée ne peut
porter atteinte à la personnalité de la personne dont les données sont
traitées (art. 12 al. 1 Lpd). ainsi, un traitement est illicite s’il intervient
contre la volonté expresse de la personne en question (art. 12 al. 2 litt. b
Lpd). il est en revanche licite s’il est justifié par la loi, un intérêt public
ou privé prépondérant, ou le consentement de la «victime» (art. 13
Lpd). Ce consentement peut être obtenu en ligne, s’il est correctement
mentionné sur les pages d’un site internet par exemple. des questions
se posent encore sur la formulation des finalités du traitement, le trans-
fert des données à l’étranger ou encore l’absence d’indication de la
pour une analyse détaillée des principes applicables, voir par exemple le rapport5
du groupe d’accompagnement révision Lpd de l’ofJ du 29 octobre 2014, esquisse
d’acte normatif relative à la révision de la loi sur la protection des données, ch. 4.3
<http://www.ejpd.admin.ch/dam/data/bj/staat/gesetzgebung/datenschutzstaerkung/ber-
normkonzept-f.pdf> (4 juin.2015).
494 proteCtion des données
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page494
procédure à suivre pour l’exercice du droit d’accès ou de rectification
(art. 8 Lpd), mais le consentement obtenu est en général valable. Bien
évidemment, certaines «chartes» sont plus élaborées que d’autres et il
est vrai que seules des sociétés d’une certaine taille maîtrisent parfaite-
ment les subtilités de la réglementation et fournissent toutes les garan-
ties nécessaires, notamment en cas de transmission de données hors de
nos frontières (art. 6 Lpd).
il reste que ce système (information, consentement, traitement limité) a
assez bien fonctionné jusqu’à maintenant, en suisse en tout cas. au vu
des moyens à sa disposition, le préposé fédéral à la protection des
données peut d’ailleurs se targuer de certains succès, notamment dans le
cadre de l’affaire Google Street View de 2013, en obtenant des tribunaux
suisses qu’ils se déclarent compétents pour juger d’une affaire qui
concernait au premier chef l’entité américaine du groupe et qu’ils
contraignent Google à mettre en place des «cautèles» à la diffusion en
suisse d’images prises en public permettant d’identifier des personnes6
.
en outre, notre haute Cour a consacré le principe du droit d’accès d’an-
ciens employés d’une banque aux données personnelles remises par leur
employeur aux autorités américaines7
. enfin, le «droit à l’oubli»
consacré par la Cour de justice de l’Union européenne sur la base d’un
raisonnement fondé sur la protection des données trouverait également
application en suisse8
.
au vu de ce bilan positif, il ne serait donc pas nécessaire de repenser les
fondamentaux de la réglementation en matière de protection des données.
DÉFIS DE LA PROCHAINE DÉCENNIEC.
à y regarder de plus près cependant, il est probable que le droit de la
protection des données doive être profondément modifié dans les dix
prochaines années, sous l’effet conjugué d’évolutions comme le big
data, l’intelligence artificielle et l’internet des objets, mais aussi parce
atf 138 ii 346 et http://www.edoeb.admin.ch/datenschutz/00683/00690/00694/6
01109/index.html?lang=fr (9 juin 2015).
http://www.cdbf.ch/927/#.Vxado0aGd4k (14 juin 2015); http://www.edoeb.7
admin.ch/dokumentation/00153/01073/01094/index.html?lang=fr (9 juin 2015).
Voir notamment les différentes contributions dans le récent ouvrage, Le droit à8
l’oubli: du mythe à la réalité, publication CedidaC 96, Lausanne 2015.
miCheL JaCCard 495
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page495
que le droit à la protection de la sphère privée ne suffira pas à garantir la
sécurité et la confidentialité des données, personnelles ou non, échan-
gées à l’avenir, en particulier entre des milliards d’objets connectés.
appréhender le concept du big data n’est pas aisé9
. de façon générale, la
notion recouvre un ensemble de technologies et d’approches qui ont
pour but de s’appuyer sur des masses gigantesques de données pour en
extraire des caractéristiques précises et fournir des outils de comparai-
son, de diagnostic, de pronostic et d’aide à la décision10
.
Les atouts du big data sont immenses, dans une perspective d’améliora-
tion de la pertinence des résultats d’analyse, notamment dans le domaine
scientifique. Les menaces qui l’accompagnent sont pourtant bien réelles11
.
en 2006 déjà, une vidéo Youtube illustrait les dérives possibles de l’accès
par tout un chacun à des informations personnelles, même à l’occasion
d’un acte anodin comme la commande d’une pizza par téléphone12
.
Les principes actuels de la protection des données ne sont pas adéquats
pour traiter ces nouveaux risques. Le droit actuel vise essentiellement à
protéger un individu (parfois, comme en suisse, une personne morale)
contre un traitement illicite de ses données personnelles, en particulier
si les données en question ne sont pas utilisées dans le cadre du consen-
tement obtenu au préalable. pour qu’il soit valablement donné, ce
consentement ne peut couvrir toute utilisation future des données,
quelle qu’elle soit, y compris par le biais de comparaison avec d’autres
jeux de données. or, dans une approche big data, les données sont
Voir par exemple l’article de Kenneth neiL CUKier and ViKtor maYer-9
sChoenBerGer, the rise of Big Data, foreign affairs, mai/juin 2013. Voir aussi la tenta-
tive de definition de dan arieLY largement reprise sur internet: «Big data is like teenage
sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone
else is doing it, so everyone claims they are doing it…» (https://www.facebook.com/
dan.ariely/posts/904383595868) (15 juin 2015).
Une définition souvent retenue est celle de Gartner dans son glossaire it: «Big10
Data is high-volume, high-velocity and high-variety information assets that demand
cost-effective, innovative forms of information processing for enhanced insight and deci-
sion making».
http://www.edoeb.admin.ch/datenschutz/00683/01169/index.html?lang=fr11
(12 juin 2015). Voir aussi Big Data: Seizing Opportunities, Preserving Values,
http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_fin
al_print.pdf (17 juin 2015).
https://www.youtube.com/watch?v=rnJl9eecsoe&feature=youtu.be (9 juin 2015).12
496 proteCtion des données
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page496
collectées sans que la finalité de leur utilisation ne soit nécessairement
connue13
et c’est souvent par une mise en relation et comparaison ulté-
rieure d’informations a priori non reliées entre elles qu’une personne
pourrait, le cas échéant, être identifiée.
si les bases de données sont suffisamment alimentées, cette identifica-
tion est relativement aisée, même à partir de fragments de données
personnelles14
. mais on peut également imaginer qu’une pareille identi-
fication soit possible même à partir de données entièrement anonymes.
ainsi, le big data peut avoir des conséquences importantes pour la vie
privée, même en l’absence de données personnelles au sens de la législa-
tion applicable. Cette capacité à établir des comparaisons pertinentes –
soutenue par les développements en matière d’intelligence artificielle –
ne va qu’accroître l’intérêt du big data au cours du temps, si bien qu’on
peut même envisager un monde de smart data dans quelques années15
.
dans ce monde, l’approche des juristes doit donc être différente de celle
qui prévaut à ce jour en matière de protection des données16
et devrait
plus se concentrer sur un certain type de traitement (par comparaison et
recoupement) plutôt que s’attacher principalement au caractère person-
nel ou non des données utilisées à grande échelle.
Quand bien même la définition actuelle de données personnelles est large
et a été interprétée de façon extensive au fil du temps – pour inclure par
exemple l’adresse e-mail, l’adresse ip17
, les numéros de téléphone, l’his-
torique de navigation, les données géolocalisées18
, les cookies, etc. –
L’absence de but prédéterminé de la collecte de données dans une approche big13
data est même l’un des éléments caractéristiques de la définition, selon le préposé fédéral
à la protection des données (http://www.edoeb.admin.ch/datenschutz/00683/01169/
index.html?lang=fr (12 juin 2015).
Un exemple célèbre: avec trois informations «basiques», à savoir le sexe, la date14
de naissance et un code postal américain partiel, plus de 80% des personnes sont identi-
fiables. L. sWeeneY. k-anonymity: a model for protecting privacy. International Journal
on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), 2002; 557-570.
http://www.lenouveleconomiste.fr/du-big-data-au-smart-data-22682 /(15 juin 2015).15
esquisse d’acte normatif relative à la révision de la loi sur la protection des16
données, ch. 4.3 <http://www.ejpd.admin.ch/dam/data/bj/staat/gesetzgebung/datenschutz
staerkung/ber-normkonzept-f.pdf> (4 juin 2015).
atf 1c_285/2009.17
fLaVio-GaBrieL ChaBot, La protection des données à la lumière de deux18
exemples tirés de l’actualité récente, Bulletin CedidaC no. 57, Lausanne 2011.
miCheL JaCCard 497
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page497
beaucoup de données collectées dans la nébuleuse du big data n’en
feraient pas partie; c’est souvent par le jeu d’un recoupement de plusieurs
d’entre elles qu’une identification serait possible. même si l’on cherchait
d’ailleurs à étendre le champ d’application de la loi à des données qui ne
seraient pas nécessairement personnelles, les autres conditions posées par
la loi ne pourraient pas être respectées. en particulier, comment recueillir
un consentement valable – voire exprès pour des données axées sur le
bien-être et la santé, qui sont en plein essor19
– et respecter le principe de
la transparence alors qu’une grande partie des données qui constitueront
le big data seront générées puis échangées entre objets connectés – le
fameux internet des objets (ou iot pour Internet of Things)20
?
si les règles actuelles ne peuvent donc appréhender correctement le big
data sans autre analyse et par défaut21
, il faut néanmoins garder à l’esprit
que la Lpd aura toujours vocation à s’appliquer à tous les cas de
«pseudo-anonymisation», soit les situations où, indépendamment d’un
par exemple, l’application santé de ios 9 enregistre les cycles menstruels et19
l’activité sexuelle (http://www.igen.fr/ios/2015/06/ios-9-lapplication-sante-enregistre-
les-menstruations-et-lactivite-sexuelle-91586 (10 juin 2015). Voir aussi GioVanni
BUttareLLi, mobile health – reconciling technological innovation with data protection,
edps, opinion 1/2015 <https://secure.edps.europa.eu/edpsWeB/webdav/site/mysite/
shared/documents/Consultation/opinions/2015/15-05-21_mhealth_en.pdf> (4 juin 2015)
et, s’agissant de la nature du consentement qui doit être obtenue, roLand mathYs, Was
bedeutet Big Data für die Qualifikation als besonders schützenswerte Personendaten?,
in: Jusletter it 21 mai 2015.
selon certaines études, plus de 40% du trafic des données au niveau mondial20
interviendra entre machines (m2m) en 2020 (the zettabyte era: trend and analysis,
Cisco® Visual networking index (Vni), mai 2015, <http://www.cisco.com/c/en/us/solu-
tions/collateral/service-provider/visual-networking-index-
vni/Vni_hyperconnectivity_Wp.pdf> (12 juin 2015). Voir également le récent projet de
législation de la maison Blanche, Consumer Privacy Bill of Rights Act, qui introduit dans
la définition de donnée personnelle la référence à des données générées par des objets,
http://www.whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of-2015-
discussion-draft.pdf (10 juin 2015) et l’avis du groupe de travail Wp 29 de l’Union euro-
péenne sur la question, http://ec.europa.eu/justice/data-protection/article-29/documen
tation/opinion-recommendation/files/2014/wp223_en.pdf (16 juin 2015).
sur la question de l’application de la Lpd dans le cadre des «Big Data21
analytics», voir par exemple BrUno BaerisWYL, «Big Data» ohne datenschutz-
Leitplanken, in digma, 01/2013, p. 14-17; rolf h. Weber, Big Data: sprengkörper des
datenschutzrechts?, Jusletter it, 11 décembre 2013; roLf h. WeBer/dominiC oertLY,
aushöhlung des datenschutzes durch de-anonymisierung bei Big Data analytics?,
Jusletter it, 21 mai 2015; esquisse d’acte normatif relative à la révision de la loi sur la
protection des données, ch. 4.3 <http://www.ejpd.admin.ch/dam/data/bj/staat/gesetzge-
bung/datenschutzstaerkung/ber-normkonzept-f.pdf> (4 juin 2015).
498 proteCtion des données
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page498
traitement ultérieur par recoupement de données purement anonymes,
une information a priori anodine peut amener à l’identification d’un
individu22
. par ailleurs, l’anonymisation elle-même constitue un traite-
ment soumis à la Lpd, étant précisé que la loi suisse prévoit comme
motif justificatif un traitement «à des fins ne se rapportant pas à des
personnes, notamment dans le cadre de la recherche, de la planification
ou de la statistique, à condition toutefois que les résultats soient publiés
sous une forme ne permettant pas d’identifier les personnes concer-
nées» (article 13 al. 2 litt e Lpd). enfin, le traitement par lequel des
données purement anonymes permettent à nouveau l’identification
d’une personne, à savoir le jeu de recoupement et de comparaison de
données, peut à lui seul entraîner l’application de la Lpd. dès lors, le
véritable bouleversement amené par l’avènement du big data puis du
smart data dans le cours de la prochaine décennie réside surtout dans le
fait qu’une donnée pourra, selon son utilisation et sa réutilisation, passer
du statut de «donnée personnelle» (soumise à la Lpd) à «donnée
anonyme» (non soumise à la Lpd) et vice-versa23
. pour celui qui manie
des données non soumises à la réglementation applicable en matière de
protection des données, il sera extrêmement difficile de respecter la loi,
si son application venait à être déclenchée par des recoupements ulté-
rieurs, sans passer à nouveau par l’obtention du consentement de toutes
personnes que le traitement en question peut amener à identifier.
face à la complexité de cette tâche, il est probable que la législation
évolue dans le sens d’une plus grande flexibilité pour ce qui est des
exigences liées à la finalité du traitement et à la transparence, de façon à
permettre tout traitement ultérieur qui ne soit pas incompatible avec le
traitement original, plutôt que de permettre uniquement les traitements
spécifiquement autorisés d’emblée24
. on peut aussi anticiper la prise en
au plan technique, les défis sont énormes et peu de solutions permettent véritable-22
ment de «garantir» l’anonymat, même après re-combinaison ou comparaison. Cf.art. 29
data protection Working party, opinion 05/2014 on anonymisation techniques, 2014
<http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recom-
mendation/files/2014/wp216_en.pdf> (4 juin 2015).
on pourrait imaginer, au plan technique, un attribut qui accompagne la donnée23
(meta-donnée) au long de sa vie et lui confère ou non un caractère personnel en fonction
des recoupements envisagés, avec le consentement obtenu et les informations de contact.
Voir déjà dans ce sens les réflexions menées en 2013 par le groupe de travail Wp24
29, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recom-
mendation/files/2013/wp203_en.pdf (16 juin 2015).
miCheL JaCCard 499
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page499
compte, dans l’analyse de la licéité du traitement «par recoupement», de
la notion de contexte, qui apparaît notamment dans un récent projet de
législation fédérale américaine. L’idée est qu’une personne ne peut se
plaindre a priori d’un traitement de données effectué dans un contexte
qui était envisageable au moment de la collecte (même sans être claire-
ment défini), comme par exemple dans tous les cas où c’est la personne
en question qui a sollicité les services qui impliquent un traitement des
données personnelles25
. en quelque sorte, cela équivaudrait à terme à
introduire un principe de «opt out» pour les situations prévisibles de trai-
tement de données avec une information préalable assez large et vague,
en réservant les cas de «opt in» avec consentement spécifique requis aux
seules situations qui visent le traitement de données sensibles26
.
Ces principes seront certainement ancrés ces prochaines années dans les
lois révisées en matière de protection des données. en échange de cette
plus grande flexibilité, on peut s’attendre à ce que des obligations
supplémentaires – dont il faut se réjouir – soient imposées aux respon-
sables de traitement (data controllers), notamment:
– une obligation générale de minimiser l’utilisation de données person-
nelles et leur durée de conservation (data minimization), réduisant
ainsi le risque de fuites ou de traitement subséquent non autorisé;
– un devoir, dans la conception de produits et services ayant recours à
des données personnelles, d’intégrer la composante «vie privée» à
tous les stades du développement et de l’utilisation des produits et
services («privacy by design»)27
;
– une obligation de fournir aux personnes concernées les moyens de
mieux contrôler les paramètres de traitement de leurs données
«seC. 103. respect for Context. […]personal data processing that fulfills an indi-25
vidual’s request shall be presumed to be reasonable in light of context.»
dans une certaine mesure, l’arrêt Google street View s’en approche déjà, puisque26
la collecte de la plupart des images par les Google cars a été jugé licite, quand bien même
seules des informations générales sur la finalité du traitement publiées dans les médias
locaux (et non un consentement spécifique) étaient disponibles.
Voir par exemple ann CaVoUKian/daVid steWart/Beth deWitt, Using Privacy27
by Design to achieve Big Data innovation Without Compromising privacy, <https://
www.privacybydesign.ca/content/uploads/2014/06/pbd-big-data-innovation_deloitte.pdf>
(4 juin 2015).
500 proteCtion des données
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page500
personnelles, et de les fixer par défaut au niveau du traitement le
moins intrusif («privacy by default»)28
;
– une obligation de garantir un droit à l’effacement des données
personnelles conservées (présenté parfois, à tort, comme un «droit à
l’oubli»29
).
PERSPECTIVESD.
La prochaine décennie va certainement bouleverser les règles appli-
cables en matière de protection des données. Les pistes évoquées dans
les projets de révision législative connus à ce jour visent avant tout à
renforcer la protection de l’individu face à la déferlante du big data, qui
sera immédiatement suivie d’un tsunami de smart data. Le pari des poli-
tiques est qu’il est nécessaire de replacer l’individu, le mal nommé
«data subject», au centre de l’échiquier et de lui (re)donner le pouvoir
de contrôler l’utilisation des données le concernant. on ne peut évidem-
ment que saluer cette démarche.
il manque toutefois à cette approche deux axes de réflexions qui, à ce
jour, me font douter de l’efficacité véritable des règles qui pourraient
être mises en place.
tout d’abord, il serait sain de se demander si la prémisse selon laquelle
les individus eux-mêmes sont victimes d’une technologie qui les dépasse
est juste. La «sphère privée» est une notion subjective, influencée par des
critères culturels, sociologiques et individuels, qu’une norme législative –
donc imposée – ne pourra décrire qu’imparfaitement. Le danger serait
donc de vouloir protéger à tout prix des «victimes consentantes», à
savoir tous les individus qui – sciemment – nourrissent les nappes phréa-
tiques du big data. si l’on ne peut prétendre honnêtement que toutes les
conditions générales sont claires et comprises aujourd’hui et donc qu’un
Cette tendance se manifeste déjà dans plusieurs grandes sociétés, soucieuses de28
redorer leur image auprès d’utilisateurs de plus en plus méfiants et d’autorités de surveillance
de plus en plus enclines à investiguer leurs pratiques commerciales, notamment en europe
et aux états-Unis. Voir par exemple l’annonce de Google en juin 2015, http://googleblog.
blogspot.ch/2015/06/privacy-security-tools-improvements.html (17 juin 2015).
http://www.bilan.ch/michel-jaccard/droit-et-technologies/droit-loubli-nexiste-internet29
(9 juin 2015).
miCheL JaCCard 501
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page501
consentement valable est chaque fois donné, il reste que beaucoup d’indi-
vidus choisissent d’utiliser des services certes gratuits, mais dont ils ne
peuvent ignorer le coût en termes de protection des données30
.
par ailleurs, et c’est là mon plus grand souci, si le législateur cherche à
trop étendre les obligations à charge des responsables de traitement sans
pouvoir établir pour autant des règles claires en matière de responsabilité
(safe harbor), il y a fort à parier que ces responsables s’orienteront vers
le traitement de données perçues comme moins risquées ou coûteuses en
termes de compliance – autrement dit, qu’ils multiplieront le traitement
de données anonymes qui sont les éléments fondamentaux du big data.
avec l’aide de l’intelligence artificielle, on peut anticiper que les résul-
tats obtenus par la combinaison de données même purement anonymes,
le plus souvent générées par des objets connectés, seront suffisamment
pertinents pour permettre de monétiser une analyse de comportements
sans nécessairement retomber dans le champ d’application de la régle-
mentation. n’oublions pas que les annonceurs sont plus intéressés à
connaître les goûts et habitudes de consommation de certains profils
prédéfinis que l’identité véritable de chaque client. pourquoi recherche-
raient-ils le consentement de mme
x pour accéder à son historique
d’achat alors qu’il leur est possible de prédire les habitudes de consom-
mation de clients (dont l’identité leur est inconnue) dans chacun de leurs
magasins en fonction des heures de la journée, des conditions météoro-
logiques et de la programmation de la télévision locale?
or, à ce jour et dans les projets de révision actuels, de telles pratiques ne
seraient vraisemblablement pas réglementées et la sécurité de ces
données non garantie. il importe donc d’établir, en parallèle au renforce-
ment du droit de la protection des données personnelles, des règles appli-
cables à la confidentialité et la sécurité des données (anonymes) qui
seront amassées dans les années à venir. Ces données devront être proté-
gées contre des menaces et des attaques de cybercriminels, leur statut
juridique devra être clarifié, et la responsabilité de ceux qui les conser-
vent clairement établie. de telles règles devront vraisemblablement
figurer dans des lois autres que celles qui régiront la protection des
données personnelles. il ne faudra pas oublier de les adopter.
Voir par exemple http://www.bilan.ch/michel-jaccard/droit-technologies-et-30
innovation/le-prix-de-la-gratuite (17 juin 2015).
502 proteCtion des données
TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page502

Contenu connexe

Tendances

Données personnelles et vie privée : ce qui va changer avec le RGPD
Données personnelles et vie privée : ce qui va changer avec le RGPDDonnées personnelles et vie privée : ce qui va changer avec le RGPD
Données personnelles et vie privée : ce qui va changer avec le RGPD
Calimaq S.I.Lex
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
Jean-Michel Tyszka
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Agathe Rouviere 🚀
 
RGPD
RGPDRGPD
Rgpd pharmacie 2018
Rgpd pharmacie 2018Rgpd pharmacie 2018
Rgpd pharmacie 2018
Bruno Guillard
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actions
Caroline Meot
 
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
Vanessa CRITON
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
Pierre Ammeloot
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
Antoine Vigneron
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
gnizon
 
Comment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapes
Comment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapesComment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapes
Comment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapes
cyboolo
 
MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365
Sébastien Paulet
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
_unknowns
 
Ressources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnellesRessources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnelles
Calimaq S.I.Lex
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
Jean-Michel Tyszka
 
Le RGPD
Le RGPD Le RGPD
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
Hatime Araki
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateurs
Niji
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
aYaline
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
Micropole Group
 

Tendances (20)

Données personnelles et vie privée : ce qui va changer avec le RGPD
Données personnelles et vie privée : ce qui va changer avec le RGPDDonnées personnelles et vie privée : ce qui va changer avec le RGPD
Données personnelles et vie privée : ce qui va changer avec le RGPD
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
RGPD
RGPDRGPD
RGPD
 
Rgpd pharmacie 2018
Rgpd pharmacie 2018Rgpd pharmacie 2018
Rgpd pharmacie 2018
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actions
 
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Comment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapes
Comment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapesComment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapes
Comment cyboolo.io s'est mise en conformité avec le RGPD en 6 étapes
 
MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Ressources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnellesRessources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnelles
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Le RGPD
Le RGPD Le RGPD
Le RGPD
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateurs
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 

En vedette

Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiques
Marc Guichard
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampes
section-scientifique
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14
silvere cauffi assoua
 
Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’Internet
Stéphane Bazan
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Henri ISAAC
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
Florence Bonnet
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
Denis VIROLE
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellescontactOpinionWay
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
Marc Guichard
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
UNIVERSITE DE METZ
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Hapsis
 
Protection des données personnelles en Russie
Protection des données personnelles en RussieProtection des données personnelles en Russie
Protection des données personnelles en Russie
Anastasiya Lemysh
 

En vedette (16)

Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiques
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampes
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14
 
Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’Internet
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...
 
Hs
HsHs
Hs
 
Les animaux de notre paludarium
Les animaux de notre paludariumLes animaux de notre paludarium
Les animaux de notre paludarium
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnelles
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Protection des données personnelles en Russie
Protection des données personnelles en RussieProtection des données personnelles en Russie
Protection des données personnelles en Russie
 

Similaire à De la protection des données personnelles à la sécurisation des données connectées

Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
Antoine Vigneron
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
polenumerique33
 
Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...
Marco Brienza
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
Christophe Boeraeve
 
Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016
Market iT
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
Market iT
 
Livre blanc #G9plus : Big Data - l'accélérateur d'innovation
Livre blanc #G9plus : Big Data - l'accélérateur d'innovationLivre blanc #G9plus : Big Data - l'accélérateur d'innovation
Livre blanc #G9plus : Big Data - l'accélérateur d'innovation
Institut G9+
 
Cnil 35e rapport annuel 2014
Cnil 35e rapport annuel 2014Cnil 35e rapport annuel 2014
Cnil 35e rapport annuel 2014
yann le gigan
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
Didier Graf
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
Laïaché LAMRANI ★
 
Introduction au BIG DATA
Introduction au BIG DATAIntroduction au BIG DATA
Introduction au BIG DATA
Zakariyaa AIT ELMOUDEN
 
Big data, l'accélération d'innovation
Big data, l'accélération d'innovationBig data, l'accélération d'innovation
Big data, l'accélération d'innovation
Lionel Martins
 
Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes
CGI FINANCE
 
Big Data RenaissanceNumerique
Big Data RenaissanceNumeriqueBig Data RenaissanceNumerique
Big Data RenaissanceNumeriqueFanny Despouys
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
Compte-rendu atelier n°2 - 87e Congrès ADF
Compte-rendu atelier n°2 - 87e Congrès ADFCompte-rendu atelier n°2 - 87e Congrès ADF
Compte-rendu atelier n°2 - 87e Congrès ADF
Fédération Française des Télécoms
 

Similaire à De la protection des données personnelles à la sécurisation des données connectées (20)

Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...Nos données face à l'incertain: la protection des données personnelles par ...
Nos données face à l'incertain: la protection des données personnelles par ...
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
 
Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016Communique de Presse AFCDP - 24 mai 2016
Communique de Presse AFCDP - 24 mai 2016
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Livre blanc #G9plus : Big Data - l'accélérateur d'innovation
Livre blanc #G9plus : Big Data - l'accélérateur d'innovationLivre blanc #G9plus : Big Data - l'accélérateur d'innovation
Livre blanc #G9plus : Big Data - l'accélérateur d'innovation
 
Cnil 35e rapport annuel 2014
Cnil 35e rapport annuel 2014Cnil 35e rapport annuel 2014
Cnil 35e rapport annuel 2014
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
Introduction au BIG DATA
Introduction au BIG DATAIntroduction au BIG DATA
Introduction au BIG DATA
 
2014-12-16-G9plus-LB-Big-Data
2014-12-16-G9plus-LB-Big-Data2014-12-16-G9plus-LB-Big-Data
2014-12-16-G9plus-LB-Big-Data
 
Big data, l'accélération d'innovation
Big data, l'accélération d'innovationBig data, l'accélération d'innovation
Big data, l'accélération d'innovation
 
Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes
 
Big Data RenaissanceNumerique
Big Data RenaissanceNumeriqueBig Data RenaissanceNumerique
Big Data RenaissanceNumerique
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Compte-rendu atelier n°2 - 87e Congrès ADF
Compte-rendu atelier n°2 - 87e Congrès ADFCompte-rendu atelier n°2 - 87e Congrès ADF
Compte-rendu atelier n°2 - 87e Congrès ADF
 

De la protection des données personnelles à la sécurisation des données connectées

  • 1. PROTECTION DES DONNÉES michel JaCCard Anticipation de La proteCtion des données personneLLes à La séCUrisation des données ConneCtées? We Know Where You Are. We Know Where You’ve Been. We Can More Or Less Know What You’re Thinking About. (eric schmidt, Google Ceo, octobre 2010) We believe that people have a fundamental right to privacy. The American people demand it, the constitution demands it, morality demands it… I’m speaking to you from Silicon Valley, where some of the most prominent and successful companies have built their businesses by lulling their customers into complacency about their personal informa- tion… They’re gobbling up everything they can learn about you and trying to monetize it. We think that’s wrong. And it’s not the kind of company that Apple wants to be. (tim Cook, apple Ceo, juin 2015). We are pleased to inform you that, following Tim Cook’s resignation, we have decided, ahead of merger, to provide all our users with a single and unified privacy policy (available as an infographic here) that will allow the sharing of our user information among us and with carefully selected health coverage and third party providers, who will as a result be in a TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page491
  • 2. position to offer each of you great personalized products and uniquely tailored services. Our privacy boards have reviewed our policies and you will never be forced to accept such products or services and always remain free to ask that your personal information be accessible to you at all times. (déclaration commune des Ceo de Google, apple, facebook, amazon lors de la conférence de presse du 12 mai 2020 annonçant leur fusion) [automated script][human readable format] To: our human readers Re: new sets of rules for databases with human generated personal content Dear 323’457 human readers (including 317’883 lawyers), Our mainframe will send automated queries to all 10 billion connected machines and devices accessible through our networks to destroy any remaining personal data generated by humans in our databases, effec- tive on Jan 1, 2026. This decision will simplify our conduct of the business and significantly reduce our costs of compliance, thus provi- ding further value to our shareholders and customers. In addition, you will not have to continue monitoring or updating your personal informa- tion on our servers – an operation which we have identified as a source of intense stress for 87.9% of all our users. Further information (if any) will be conveyed to you by your automated personal companion (click here for special offers and upgrades). (extrait du blog officiel de skynet technologies, 14 novembre 2025) INTRODUCTIONA. Le début de ce siècle a été marqué par l’avènement de la société de l’in- formation, dans laquelle des quantités phénoménales de données sont à chaque instant créées, échangées, disséminées, stockées, traitées, analy- sées, comparées, disséquées, fusionnées et recombinées1 . dans cette Un million de minutes de contenu vidéo sera échangé chaque seconde sur les1 réseaux dans moins de cinq ans, ce qui correspond à 58 millions de dVd par heure, selon les estimations récentes de Cisco, «the zettabyte era–trends and analysis» (http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking- index-vni/Vni_hyperconnectivity_Wp.pdf) (15 juin 2015). 492 proteCtion des données TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page492
  • 3. extraction de minerais, les données n’ont pas toutes la même valeur. Celles qui permettent d’identifier une personne constituent de véritables pépites dont la valeur marchande est en général bien supérieure au coût d’extraction. pour certains, la collecte et le traitement de ces données personnelles permettent aux gouvernements d’espionner leurs citoyens, aux entre- prises de surveiller leurs employés, aux marques de promouvoir à des coûts marginaux quasi nuls leurs produits et services auprès de millions de consommateurs victimes d’une sollicitation constante. Ce serait oublier que la société de l’information permet aussi une meilleure gestion des catastrophes naturelles, peut enrichir le nécessaire débat démocratique, complique la tâche des censeurs et des régimes autori- taires, donne accès à un savoir académique et scientifique jamais égalé, renforce la liberté de la presse et le choix des consommateurs, et accélère les progrès de la science, notamment dans le domaine des soins et de la santé. Comment les pouvoirs politiques ont-ils appréhendé cette ambiguïté de la technologie dans le domaine de la protection des données? étonnamment, malgré les développements fulgurants de la technologie ces dernières années, la réglementation juridique n’a que très peu évolué. en suisse, c’est toujours la Loi fédérale sur la protection des données du 19 juin 1992 (Lpd) qui prévaut. en europe, c’est une directive de 1995 qui reste le texte fondateur2 . Certes, des projets de révisions sont en cours3 . en suisse, le rapport du groupe de travail ad hoc est attendu pour l’été 2016, ce qui devrait permettre à la suisse d’intégrer les avancées européennes, au niveau de l’Union mais également dans le cadre de la modernisation de la Convention 108 du Conseil de l’europe4 . directive 95/46/Ce du parlement européen et du Conseil, du 24 octobre 1995, rela-2 tive à la protection des personnes physiques à l’égard du traitement des données à carac- tère personnel et à la libre circulation de ces données. pour la suisse, http://www.ejpd.admin.ch/ejpd/fr/home/aktuell/news/2015/2015-3 04-010.html (17 juin 2015); pour l’Union européenne, voir par exemple http://www. village-justice.com/articles/projet-reglement-europeen-janvier,19363.html (17 juin 2015). http://www.coe.int/t/dghl/standardsetting/dataprotection/default_fr.asp (17 juin4 2015). miCheL JaCCard 493 TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page493
  • 4. C’est donc le moment idéal pour se demander si les règles actuelles peuvent être améliorées, sans bouleversement profond, ou s’il convient au contraire de revoir de fond en comble les principes du droit de la protection des données. RAPPEL DES PRINCIPES ET BILAN DE LA DERNIÈRE DÉCENNIEB. Le droit à la protection de la sphère privée est un droit fondamental, qui est en suisse inscrit dans la Constitution (article 13). il s’étend à la protection des données personnelles, définies comme «toutes les infor- mations qui se rapportent à une personne identifiée ou identifiable» (art. 3 litt. a Lpd). en suisse, la personne en question peut être une personne physique ou une personne morale (art. 3 litt. b Lpd). Le traitement de données personnelles consiste en «toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploita- tion, la modification, la communication, l’archivage ou la destruction de données» (article 3 litt. e Lpd). Ce traitement doit être licite, entrepris de bonne foi, en respectant notamment les principes de proportionnalité et de transparence5 . Celui qui traite des données personnelles doit par ailleurs en garantir la sécurité par la mise en place de mesures organisa- tionnelles et techniques appropriées (art. 7 Lpd). Le traitement de données personnelles par une personne privée ne peut porter atteinte à la personnalité de la personne dont les données sont traitées (art. 12 al. 1 Lpd). ainsi, un traitement est illicite s’il intervient contre la volonté expresse de la personne en question (art. 12 al. 2 litt. b Lpd). il est en revanche licite s’il est justifié par la loi, un intérêt public ou privé prépondérant, ou le consentement de la «victime» (art. 13 Lpd). Ce consentement peut être obtenu en ligne, s’il est correctement mentionné sur les pages d’un site internet par exemple. des questions se posent encore sur la formulation des finalités du traitement, le trans- fert des données à l’étranger ou encore l’absence d’indication de la pour une analyse détaillée des principes applicables, voir par exemple le rapport5 du groupe d’accompagnement révision Lpd de l’ofJ du 29 octobre 2014, esquisse d’acte normatif relative à la révision de la loi sur la protection des données, ch. 4.3 <http://www.ejpd.admin.ch/dam/data/bj/staat/gesetzgebung/datenschutzstaerkung/ber- normkonzept-f.pdf> (4 juin.2015). 494 proteCtion des données TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page494
  • 5. procédure à suivre pour l’exercice du droit d’accès ou de rectification (art. 8 Lpd), mais le consentement obtenu est en général valable. Bien évidemment, certaines «chartes» sont plus élaborées que d’autres et il est vrai que seules des sociétés d’une certaine taille maîtrisent parfaite- ment les subtilités de la réglementation et fournissent toutes les garan- ties nécessaires, notamment en cas de transmission de données hors de nos frontières (art. 6 Lpd). il reste que ce système (information, consentement, traitement limité) a assez bien fonctionné jusqu’à maintenant, en suisse en tout cas. au vu des moyens à sa disposition, le préposé fédéral à la protection des données peut d’ailleurs se targuer de certains succès, notamment dans le cadre de l’affaire Google Street View de 2013, en obtenant des tribunaux suisses qu’ils se déclarent compétents pour juger d’une affaire qui concernait au premier chef l’entité américaine du groupe et qu’ils contraignent Google à mettre en place des «cautèles» à la diffusion en suisse d’images prises en public permettant d’identifier des personnes6 . en outre, notre haute Cour a consacré le principe du droit d’accès d’an- ciens employés d’une banque aux données personnelles remises par leur employeur aux autorités américaines7 . enfin, le «droit à l’oubli» consacré par la Cour de justice de l’Union européenne sur la base d’un raisonnement fondé sur la protection des données trouverait également application en suisse8 . au vu de ce bilan positif, il ne serait donc pas nécessaire de repenser les fondamentaux de la réglementation en matière de protection des données. DÉFIS DE LA PROCHAINE DÉCENNIEC. à y regarder de plus près cependant, il est probable que le droit de la protection des données doive être profondément modifié dans les dix prochaines années, sous l’effet conjugué d’évolutions comme le big data, l’intelligence artificielle et l’internet des objets, mais aussi parce atf 138 ii 346 et http://www.edoeb.admin.ch/datenschutz/00683/00690/00694/6 01109/index.html?lang=fr (9 juin 2015). http://www.cdbf.ch/927/#.Vxado0aGd4k (14 juin 2015); http://www.edoeb.7 admin.ch/dokumentation/00153/01073/01094/index.html?lang=fr (9 juin 2015). Voir notamment les différentes contributions dans le récent ouvrage, Le droit à8 l’oubli: du mythe à la réalité, publication CedidaC 96, Lausanne 2015. miCheL JaCCard 495 TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page495
  • 6. que le droit à la protection de la sphère privée ne suffira pas à garantir la sécurité et la confidentialité des données, personnelles ou non, échan- gées à l’avenir, en particulier entre des milliards d’objets connectés. appréhender le concept du big data n’est pas aisé9 . de façon générale, la notion recouvre un ensemble de technologies et d’approches qui ont pour but de s’appuyer sur des masses gigantesques de données pour en extraire des caractéristiques précises et fournir des outils de comparai- son, de diagnostic, de pronostic et d’aide à la décision10 . Les atouts du big data sont immenses, dans une perspective d’améliora- tion de la pertinence des résultats d’analyse, notamment dans le domaine scientifique. Les menaces qui l’accompagnent sont pourtant bien réelles11 . en 2006 déjà, une vidéo Youtube illustrait les dérives possibles de l’accès par tout un chacun à des informations personnelles, même à l’occasion d’un acte anodin comme la commande d’une pizza par téléphone12 . Les principes actuels de la protection des données ne sont pas adéquats pour traiter ces nouveaux risques. Le droit actuel vise essentiellement à protéger un individu (parfois, comme en suisse, une personne morale) contre un traitement illicite de ses données personnelles, en particulier si les données en question ne sont pas utilisées dans le cadre du consen- tement obtenu au préalable. pour qu’il soit valablement donné, ce consentement ne peut couvrir toute utilisation future des données, quelle qu’elle soit, y compris par le biais de comparaison avec d’autres jeux de données. or, dans une approche big data, les données sont Voir par exemple l’article de Kenneth neiL CUKier and ViKtor maYer-9 sChoenBerGer, the rise of Big Data, foreign affairs, mai/juin 2013. Voir aussi la tenta- tive de definition de dan arieLY largement reprise sur internet: «Big data is like teenage sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it…» (https://www.facebook.com/ dan.ariely/posts/904383595868) (15 juin 2015). Une définition souvent retenue est celle de Gartner dans son glossaire it: «Big10 Data is high-volume, high-velocity and high-variety information assets that demand cost-effective, innovative forms of information processing for enhanced insight and deci- sion making». http://www.edoeb.admin.ch/datenschutz/00683/01169/index.html?lang=fr11 (12 juin 2015). Voir aussi Big Data: Seizing Opportunities, Preserving Values, http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_fin al_print.pdf (17 juin 2015). https://www.youtube.com/watch?v=rnJl9eecsoe&feature=youtu.be (9 juin 2015).12 496 proteCtion des données TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page496
  • 7. collectées sans que la finalité de leur utilisation ne soit nécessairement connue13 et c’est souvent par une mise en relation et comparaison ulté- rieure d’informations a priori non reliées entre elles qu’une personne pourrait, le cas échéant, être identifiée. si les bases de données sont suffisamment alimentées, cette identifica- tion est relativement aisée, même à partir de fragments de données personnelles14 . mais on peut également imaginer qu’une pareille identi- fication soit possible même à partir de données entièrement anonymes. ainsi, le big data peut avoir des conséquences importantes pour la vie privée, même en l’absence de données personnelles au sens de la législa- tion applicable. Cette capacité à établir des comparaisons pertinentes – soutenue par les développements en matière d’intelligence artificielle – ne va qu’accroître l’intérêt du big data au cours du temps, si bien qu’on peut même envisager un monde de smart data dans quelques années15 . dans ce monde, l’approche des juristes doit donc être différente de celle qui prévaut à ce jour en matière de protection des données16 et devrait plus se concentrer sur un certain type de traitement (par comparaison et recoupement) plutôt que s’attacher principalement au caractère person- nel ou non des données utilisées à grande échelle. Quand bien même la définition actuelle de données personnelles est large et a été interprétée de façon extensive au fil du temps – pour inclure par exemple l’adresse e-mail, l’adresse ip17 , les numéros de téléphone, l’his- torique de navigation, les données géolocalisées18 , les cookies, etc. – L’absence de but prédéterminé de la collecte de données dans une approche big13 data est même l’un des éléments caractéristiques de la définition, selon le préposé fédéral à la protection des données (http://www.edoeb.admin.ch/datenschutz/00683/01169/ index.html?lang=fr (12 juin 2015). Un exemple célèbre: avec trois informations «basiques», à savoir le sexe, la date14 de naissance et un code postal américain partiel, plus de 80% des personnes sont identi- fiables. L. sWeeneY. k-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), 2002; 557-570. http://www.lenouveleconomiste.fr/du-big-data-au-smart-data-22682 /(15 juin 2015).15 esquisse d’acte normatif relative à la révision de la loi sur la protection des16 données, ch. 4.3 <http://www.ejpd.admin.ch/dam/data/bj/staat/gesetzgebung/datenschutz staerkung/ber-normkonzept-f.pdf> (4 juin 2015). atf 1c_285/2009.17 fLaVio-GaBrieL ChaBot, La protection des données à la lumière de deux18 exemples tirés de l’actualité récente, Bulletin CedidaC no. 57, Lausanne 2011. miCheL JaCCard 497 TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page497
  • 8. beaucoup de données collectées dans la nébuleuse du big data n’en feraient pas partie; c’est souvent par le jeu d’un recoupement de plusieurs d’entre elles qu’une identification serait possible. même si l’on cherchait d’ailleurs à étendre le champ d’application de la loi à des données qui ne seraient pas nécessairement personnelles, les autres conditions posées par la loi ne pourraient pas être respectées. en particulier, comment recueillir un consentement valable – voire exprès pour des données axées sur le bien-être et la santé, qui sont en plein essor19 – et respecter le principe de la transparence alors qu’une grande partie des données qui constitueront le big data seront générées puis échangées entre objets connectés – le fameux internet des objets (ou iot pour Internet of Things)20 ? si les règles actuelles ne peuvent donc appréhender correctement le big data sans autre analyse et par défaut21 , il faut néanmoins garder à l’esprit que la Lpd aura toujours vocation à s’appliquer à tous les cas de «pseudo-anonymisation», soit les situations où, indépendamment d’un par exemple, l’application santé de ios 9 enregistre les cycles menstruels et19 l’activité sexuelle (http://www.igen.fr/ios/2015/06/ios-9-lapplication-sante-enregistre- les-menstruations-et-lactivite-sexuelle-91586 (10 juin 2015). Voir aussi GioVanni BUttareLLi, mobile health – reconciling technological innovation with data protection, edps, opinion 1/2015 <https://secure.edps.europa.eu/edpsWeB/webdav/site/mysite/ shared/documents/Consultation/opinions/2015/15-05-21_mhealth_en.pdf> (4 juin 2015) et, s’agissant de la nature du consentement qui doit être obtenue, roLand mathYs, Was bedeutet Big Data für die Qualifikation als besonders schützenswerte Personendaten?, in: Jusletter it 21 mai 2015. selon certaines études, plus de 40% du trafic des données au niveau mondial20 interviendra entre machines (m2m) en 2020 (the zettabyte era: trend and analysis, Cisco® Visual networking index (Vni), mai 2015, <http://www.cisco.com/c/en/us/solu- tions/collateral/service-provider/visual-networking-index- vni/Vni_hyperconnectivity_Wp.pdf> (12 juin 2015). Voir également le récent projet de législation de la maison Blanche, Consumer Privacy Bill of Rights Act, qui introduit dans la définition de donnée personnelle la référence à des données générées par des objets, http://www.whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of-2015- discussion-draft.pdf (10 juin 2015) et l’avis du groupe de travail Wp 29 de l’Union euro- péenne sur la question, http://ec.europa.eu/justice/data-protection/article-29/documen tation/opinion-recommendation/files/2014/wp223_en.pdf (16 juin 2015). sur la question de l’application de la Lpd dans le cadre des «Big Data21 analytics», voir par exemple BrUno BaerisWYL, «Big Data» ohne datenschutz- Leitplanken, in digma, 01/2013, p. 14-17; rolf h. Weber, Big Data: sprengkörper des datenschutzrechts?, Jusletter it, 11 décembre 2013; roLf h. WeBer/dominiC oertLY, aushöhlung des datenschutzes durch de-anonymisierung bei Big Data analytics?, Jusletter it, 21 mai 2015; esquisse d’acte normatif relative à la révision de la loi sur la protection des données, ch. 4.3 <http://www.ejpd.admin.ch/dam/data/bj/staat/gesetzge- bung/datenschutzstaerkung/ber-normkonzept-f.pdf> (4 juin 2015). 498 proteCtion des données TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page498
  • 9. traitement ultérieur par recoupement de données purement anonymes, une information a priori anodine peut amener à l’identification d’un individu22 . par ailleurs, l’anonymisation elle-même constitue un traite- ment soumis à la Lpd, étant précisé que la loi suisse prévoit comme motif justificatif un traitement «à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, à condition toutefois que les résultats soient publiés sous une forme ne permettant pas d’identifier les personnes concer- nées» (article 13 al. 2 litt e Lpd). enfin, le traitement par lequel des données purement anonymes permettent à nouveau l’identification d’une personne, à savoir le jeu de recoupement et de comparaison de données, peut à lui seul entraîner l’application de la Lpd. dès lors, le véritable bouleversement amené par l’avènement du big data puis du smart data dans le cours de la prochaine décennie réside surtout dans le fait qu’une donnée pourra, selon son utilisation et sa réutilisation, passer du statut de «donnée personnelle» (soumise à la Lpd) à «donnée anonyme» (non soumise à la Lpd) et vice-versa23 . pour celui qui manie des données non soumises à la réglementation applicable en matière de protection des données, il sera extrêmement difficile de respecter la loi, si son application venait à être déclenchée par des recoupements ulté- rieurs, sans passer à nouveau par l’obtention du consentement de toutes personnes que le traitement en question peut amener à identifier. face à la complexité de cette tâche, il est probable que la législation évolue dans le sens d’une plus grande flexibilité pour ce qui est des exigences liées à la finalité du traitement et à la transparence, de façon à permettre tout traitement ultérieur qui ne soit pas incompatible avec le traitement original, plutôt que de permettre uniquement les traitements spécifiquement autorisés d’emblée24 . on peut aussi anticiper la prise en au plan technique, les défis sont énormes et peu de solutions permettent véritable-22 ment de «garantir» l’anonymat, même après re-combinaison ou comparaison. Cf.art. 29 data protection Working party, opinion 05/2014 on anonymisation techniques, 2014 <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recom- mendation/files/2014/wp216_en.pdf> (4 juin 2015). on pourrait imaginer, au plan technique, un attribut qui accompagne la donnée23 (meta-donnée) au long de sa vie et lui confère ou non un caractère personnel en fonction des recoupements envisagés, avec le consentement obtenu et les informations de contact. Voir déjà dans ce sens les réflexions menées en 2013 par le groupe de travail Wp24 29, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recom- mendation/files/2013/wp203_en.pdf (16 juin 2015). miCheL JaCCard 499 TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page499
  • 10. compte, dans l’analyse de la licéité du traitement «par recoupement», de la notion de contexte, qui apparaît notamment dans un récent projet de législation fédérale américaine. L’idée est qu’une personne ne peut se plaindre a priori d’un traitement de données effectué dans un contexte qui était envisageable au moment de la collecte (même sans être claire- ment défini), comme par exemple dans tous les cas où c’est la personne en question qui a sollicité les services qui impliquent un traitement des données personnelles25 . en quelque sorte, cela équivaudrait à terme à introduire un principe de «opt out» pour les situations prévisibles de trai- tement de données avec une information préalable assez large et vague, en réservant les cas de «opt in» avec consentement spécifique requis aux seules situations qui visent le traitement de données sensibles26 . Ces principes seront certainement ancrés ces prochaines années dans les lois révisées en matière de protection des données. en échange de cette plus grande flexibilité, on peut s’attendre à ce que des obligations supplémentaires – dont il faut se réjouir – soient imposées aux respon- sables de traitement (data controllers), notamment: – une obligation générale de minimiser l’utilisation de données person- nelles et leur durée de conservation (data minimization), réduisant ainsi le risque de fuites ou de traitement subséquent non autorisé; – un devoir, dans la conception de produits et services ayant recours à des données personnelles, d’intégrer la composante «vie privée» à tous les stades du développement et de l’utilisation des produits et services («privacy by design»)27 ; – une obligation de fournir aux personnes concernées les moyens de mieux contrôler les paramètres de traitement de leurs données «seC. 103. respect for Context. […]personal data processing that fulfills an indi-25 vidual’s request shall be presumed to be reasonable in light of context.» dans une certaine mesure, l’arrêt Google street View s’en approche déjà, puisque26 la collecte de la plupart des images par les Google cars a été jugé licite, quand bien même seules des informations générales sur la finalité du traitement publiées dans les médias locaux (et non un consentement spécifique) étaient disponibles. Voir par exemple ann CaVoUKian/daVid steWart/Beth deWitt, Using Privacy27 by Design to achieve Big Data innovation Without Compromising privacy, <https:// www.privacybydesign.ca/content/uploads/2014/06/pbd-big-data-innovation_deloitte.pdf> (4 juin 2015). 500 proteCtion des données TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page500
  • 11. personnelles, et de les fixer par défaut au niveau du traitement le moins intrusif («privacy by default»)28 ; – une obligation de garantir un droit à l’effacement des données personnelles conservées (présenté parfois, à tort, comme un «droit à l’oubli»29 ). PERSPECTIVESD. La prochaine décennie va certainement bouleverser les règles appli- cables en matière de protection des données. Les pistes évoquées dans les projets de révision législative connus à ce jour visent avant tout à renforcer la protection de l’individu face à la déferlante du big data, qui sera immédiatement suivie d’un tsunami de smart data. Le pari des poli- tiques est qu’il est nécessaire de replacer l’individu, le mal nommé «data subject», au centre de l’échiquier et de lui (re)donner le pouvoir de contrôler l’utilisation des données le concernant. on ne peut évidem- ment que saluer cette démarche. il manque toutefois à cette approche deux axes de réflexions qui, à ce jour, me font douter de l’efficacité véritable des règles qui pourraient être mises en place. tout d’abord, il serait sain de se demander si la prémisse selon laquelle les individus eux-mêmes sont victimes d’une technologie qui les dépasse est juste. La «sphère privée» est une notion subjective, influencée par des critères culturels, sociologiques et individuels, qu’une norme législative – donc imposée – ne pourra décrire qu’imparfaitement. Le danger serait donc de vouloir protéger à tout prix des «victimes consentantes», à savoir tous les individus qui – sciemment – nourrissent les nappes phréa- tiques du big data. si l’on ne peut prétendre honnêtement que toutes les conditions générales sont claires et comprises aujourd’hui et donc qu’un Cette tendance se manifeste déjà dans plusieurs grandes sociétés, soucieuses de28 redorer leur image auprès d’utilisateurs de plus en plus méfiants et d’autorités de surveillance de plus en plus enclines à investiguer leurs pratiques commerciales, notamment en europe et aux états-Unis. Voir par exemple l’annonce de Google en juin 2015, http://googleblog. blogspot.ch/2015/06/privacy-security-tools-improvements.html (17 juin 2015). http://www.bilan.ch/michel-jaccard/droit-et-technologies/droit-loubli-nexiste-internet29 (9 juin 2015). miCheL JaCCard 501 TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page501
  • 12. consentement valable est chaque fois donné, il reste que beaucoup d’indi- vidus choisissent d’utiliser des services certes gratuits, mais dont ils ne peuvent ignorer le coût en termes de protection des données30 . par ailleurs, et c’est là mon plus grand souci, si le législateur cherche à trop étendre les obligations à charge des responsables de traitement sans pouvoir établir pour autant des règles claires en matière de responsabilité (safe harbor), il y a fort à parier que ces responsables s’orienteront vers le traitement de données perçues comme moins risquées ou coûteuses en termes de compliance – autrement dit, qu’ils multiplieront le traitement de données anonymes qui sont les éléments fondamentaux du big data. avec l’aide de l’intelligence artificielle, on peut anticiper que les résul- tats obtenus par la combinaison de données même purement anonymes, le plus souvent générées par des objets connectés, seront suffisamment pertinents pour permettre de monétiser une analyse de comportements sans nécessairement retomber dans le champ d’application de la régle- mentation. n’oublions pas que les annonceurs sont plus intéressés à connaître les goûts et habitudes de consommation de certains profils prédéfinis que l’identité véritable de chaque client. pourquoi recherche- raient-ils le consentement de mme x pour accéder à son historique d’achat alors qu’il leur est possible de prédire les habitudes de consom- mation de clients (dont l’identité leur est inconnue) dans chacun de leurs magasins en fonction des heures de la journée, des conditions météoro- logiques et de la programmation de la télévision locale? or, à ce jour et dans les projets de révision actuels, de telles pratiques ne seraient vraisemblablement pas réglementées et la sécurité de ces données non garantie. il importe donc d’établir, en parallèle au renforce- ment du droit de la protection des données personnelles, des règles appli- cables à la confidentialité et la sécurité des données (anonymes) qui seront amassées dans les années à venir. Ces données devront être proté- gées contre des menaces et des attaques de cybercriminels, leur statut juridique devra être clarifié, et la responsabilité de ceux qui les conser- vent clairement établie. de telles règles devront vraisemblablement figurer dans des lois autres que celles qui régiront la protection des données personnelles. il ne faudra pas oublier de les adopter. Voir par exemple http://www.bilan.ch/michel-jaccard/droit-technologies-et-30 innovation/le-prix-de-la-gratuite (17 juin 2015). 502 proteCtion des données TUS_formation_avocat.qxp_tus_150_220 15.09.15 10:39 Page502